Cerca

600.000€ di sanzione per mancata gestione privilegi minimi

Il Garante della Privacy ha sanzionato UNICREDIT per 600.000€ dopo il DATA BREACH scoperto nel 2017. Gli accessi abusivi ai dati sono stati per circa 760 mila clienti ed inerenti alla gestione delle richieste dei finanziamenti. Le informazioni trafugate sono i dati anagrafici, di contatto, professione, livello di studio, estremi identificativi di un documento di identità, datore di lavoro, salario, importo del prestito, stato del pagamento, ed altri. Dagli accertamenti le vulnerabilità del sistema riguardavano la mancata gestione degli accessi secondo il criterio del privilegio minimo necessario. Invece, un incaricato poteva accedere ad ogni pratica di finanziamento, non unicamente alle proprie.

Oggigiorno vi sono tecnologie di sicurezza informatica che ben implementano la gestione dei privilegi di accesso e PAM – Privileged Access Management – è la tecnologia principe in questo campo. Essa è in grado di autorizzare gli utenti con i privilegi minimi necessari, quindi evitare le classiche tecniche di “defence evasion”, come i movimenti laterali, i “privilege escalation e la modalità invisibile-stealth, messe in atto dai Ransomware più evoluti.