lunedì, 21 settembre 2020

W la Privacy

W la Privacy

Garante Privacy, prescritte ad Aruba misure urgenti per la sicurezza del servizio Pec

24/03/2020

ROMA - Con un provvedimento d’urgenza, il Garante per la protezione dei dati personali ha prescritto ad Aruba Pec S.p.a. l’implementazione di misure per la messa in sicurezza del proprio servizio di posta elettronica certificata, che gestisce oltre sei milioni di caselle utilizzate da soggetti pubblici, amministrazioni centrali e locali dello Stato, società private e singoli professionisti.

A seguito delle vulnerabilità emerse a seguito di un accertamento ispettivo in merito alla gestione del servizio pec, accertamento svolto nella seconda metà del 2019, l’Autorità ha adottato questo provvedimento, al fine di evitare che diverse categorie di interessati coinvolti (intestatari delle caselle pec, mittenti e destinatari dei messaggi, soggetti i cui dati sono presenti all’interno dei messaggi o degli allegati) fossero esposti a gravi rischi per i diritti e le libertà derivanti da possibili utilizzi impropri di dati personali o da furti d’identità.

La pubblicazione del provvedimento è stata però posticipata per consentire alla società di implementare le misure prescritte e impedire che le vulnerabilità rilevate potessero essere sfruttate da eventuali malintenzionati. La società ha dichiarato di aver adempiuto, nei termini previsti, alle prescrizioni impartite.

Vulnerabilità nelle procedure informatiche

Gli accertamenti hanno fatto emergere che circa 560.000 utenti utilizzavano ancora, per l’accesso alla propria casella pec, la password iniziale, scelta per loro da uno degli 8.900 partner della società (come ordini professionali, Pa e soggetti privati) senza che fosse imposto, come avrebbe dovuto, l’obbligo di modifica al primo accesso. Le procedure informatiche adottate contenevano, poi, ulteriori gravi vulnerabilità.

Le password tecniche di gestione di alcuni servizi informatici erano riportate in chiaro nei log di tracciamento delle operazioni, aumentando così considerevolmente la possibilità di accessi illeciti, sia da parte di soggetti interni non autorizzati che in caso di attacco informatico.

Un’altra criticità riguardava la possibilità di consultare ed esportare, da rete internet, i log dei messaggi scambiati da oltre 6 milioni di caselle pec. Tale operazione era per altro effettuabile da un’utenza, con elevati privilegi di amministrazione (superadmin), utilizzata da più persone, in violazione dei più elementari principi di sicurezza del trattamento (che richiedono invece l’attribuzione a ogni operatore di credenziali individuali) e senza un’adeguata valutazione dei rischi connessi alla possibilità di accedere a queste informazioni, anche al di fuori della rete aziendale.

Il Garante ha quindi imposto ad Aruba Pec S.p.a. la modifica obbligatoria delle password di accesso alle caselle di posta certificata rilasciate in modo non sicuro, la ridefinizione delle modalità di tracciamento, prevedendo che i log prodotti non contengano informazioni non indispensabili per le finalità di controllo e sicurezza, nonché un intervento sulle modalità di consultazione ed esportazione dei log dei messaggi inviati o ricevuti da tutte le caselle pec.

Con un successivo provvedimento, il Garante valuterà ulteriori aspetti del trattamento dei dati svolto da Aruba Pec S.p.a., nonché il complesso delle violazioni rilevate.

 


maggiori informazioni su:
www.fedeprivacy.org



Tutte le news

Calendario Corsi 2020

INTERACTIVE LIVE STREAMING
23-24-25 settembre 2020

Formazione privacy

  • Videosorveglianza e privacy: tecnologie, GDPR, videosorveglianza, cosa cambia?
    Validato da TÜV Italia
  • 10 domande sulla Privacy
    Validato da TÜV Italia

Formazione Norme CEI

  • Norma CEI 64-8: Criteri di prestazione dell'impianto elettrico
    Validato da TÜV Italia
  • Realizzi un impianto antintrusione secondo la norma?
    Validato da TÜV Italia
  • Norme CEI: Analisi e valutazione del rischio
    Validato da TÜV Italia

Formazione Antincendio

  • Il nuovo Codice di Prevenzione incendio

Formazione Responsabilità

  • Obblighi e responsabilità per gli operatori della videosorveglianza
    Validato da TÜV Italia

Formazione Commerciale

  • Vendere Sicurezza - Prima e dopo il Covid: come è cambiata la vendita

Formazione Manageriale

  • Welfare aziendale: come costruire un piano di successo

Videsorveglianza Urbana integrata

  • Per Operatori della Pubblica Amministrazione
    23 settembre, 9:00-12:30

Privacy Channel

Ethos Academy

  • Nuova data Privacy Officer e consulente della privacy nel settore Videosorveglianza
    Bologna, 29-30 Ottobre

Tecniche di vendita

Vitekna

  • Vendere sicurezza 2.0: dopo il Covid-19 come cambia la vendita
    Cercola (NA), 3-10-17 ottobre

Vigilo4You - Vigilanza Group

  • Vendere sicurezza oggi
    Brescia, data in definizione

Pillole formative

DST
Norme CEI sistemi videosorveglianza

  • Cologno Monzese (MI)
    data in definizione

Ethos Academy propone corsi propedeutici che portano alla certificazione degli operatori
Scopri la programmazione »