Cosa è accaduto?
- La nostra società ha subito in data 05.09.2022 un attacco ransomware che ha determinato la momentanea impossibilità di acceso ad alcuni dati personali trattati per le attività interne e per l’erogazione dei servizi alla clientela.
Quali sono state le azioni intraprese nell’immediato?
- Sono state immediatamente attivate le procedure interne di intervento e contenimento del data breach che hanno previsto anche analisi dei sistemi per verificare l’effettivo impatto dell’incidente (vedasi punto successivo);
- Abbiamo provveduto a presentare querela all’autorità giudiziaria
- In data 08.09.2022 abbiamo provveduto ad inviare una prima tempestiva notifica del Breach all’autorità garante per la protezione dei dati personali come previsto dall’art.32 del Gdpr, per permettere la verifica di quanto è stato fatto dalla società per prevenire e/o risolvere adeguatamente siffatti effetti. Inoltre, abbiamo fornito ulteriori integrazioni in data 26.09.2022.
Allo stato attuale quali sono gli effetti dell’accaduto?
- Le attività tecnico informatiche di analisi dell’incidente occorso (ad esempio analisi dei log e azioni tecniche similari) allo stato attuale forniscono evidenza che, oltre alla citata indisponibilità dei dati, NON risultano, furti o divulgazione dei dati personali coinvolti a terzi non autorizzati. In ogni caso i dati personali erano protetti, tra le altre cose, anche con tecniche crittografiche dei DB e/o dei sistemi di archiviazione determinando l’inutilizzabilità degli stessi anche nella remota ed altamente improbabile possibilità di furto.
- Molti sistemi e dati personali non sono stati impattati dall’attacco e la maggior parte di quelli compromessi sono stati ripristinati pochi giorni dopo l’accadimento.
- Alcuni sistemi sono ancora in fase di ripristino, ed abbiamo ritenuto necessario comunicare l’accaduto anche agli interessati per adeguata ed effettiva trasparenza.
I dati personali sono stati sottratti?
- Come indicato in precedenza allo stato attuale NON risultano furti, esfiltrazioni o qualunque altra azione di asportazione di dati personali.
Erano adottate misure di sicurezza al momento dell’accadimento? Quali sono state le misure che si sono pianificate per innalzare i livelli di sicurezza?
Al momento dell’accadimento erano già in essere molteplici misure di sicurezza sia da un punto di vista organizzativo che tecnico. Ad esempio:
- Policy e procedure previste dal sistema di gestone della sicurezza delle informazioni secondo lo standard ISO 27001 per il quale abbiamo ottenuto certificazione di parte terza
- Implementata crittografia dei dati (anche sui dispositivi e strumenti portatili)
Ulteriori misure si stanno implementando per innalzare la sicurezza dei dati personali trattati.
Quali possono essere le conseguenze di una violazione di questo tipo e come mi posso proteggere?
Attualmente le conseguenze della violazione sono legate ad un’impossibilità di accesso ai dati personali non ancora ripristinati.
In base alle azioni di ripristino intraprese tale impossibilità di accesso risulta valutabile come temporanea. Qualora durante le attività si riscontrassero elementi diversi sarà nostra cura aggiornare la presente comunicazione.
Allo stato attuale non necessitano azioni da parte degli interessati.
Gli interessati riceveranno ulteriori comunicazioni?
Intendiamo fornire ogni nuovo elemento importante per gli interessati, di conseguenza procederemo ad effettuare ulteriori comunicazioni ove rilevanti e necessarie.
Riteniamo che il completo ripristino dei dati possa avere successo, in ogni caso effettueremo anche controlli incrociati per verificare la correttezza degli stessi. In caso di dubbi o necessità contatteremo il singolo interessato.
In caso di bisogno di maggiori informazioni a chi ci si può rivolgere
Abbiamo definito un punto di contatto dedicato per dare supporto a tutti i soggetti interessati:
tel. 06.85365 e.mail intermatica@pec.intermatica.it