Contenuto principale

Comunicazione agli interessati di data breach (violazione di sicurezza dei dati)

Il 1 marzo 2022 il Comune di Mantova è venuto a conoscenza di una possibile violazione di dati che riguardano gli utenti dei servizi scolastici. Aster srl, responsabile esterno dei trattamenti, incaricata della gestione dei servizi informatici comunali, ha informato il Comune di Mantova, titolare del trattamento, di una segnalazione pervenuta al Comune sulla vulnerabilità dei

  • - Dati anagrafici (nome, cognome, sesso, data di nascita, luogo di nascita, codice fiscale)
  • - Dati di contatto (indirizzo postale o di posta elettronica, numero di telefono fisso o mobile) degli iscritti ai servizi. Scolastici del Comune di Mantova (trasporto scolastico, mensa, scuole per l'infanzia e asili nido).

La violazione non riguarda dati:

  • - di minori,
  • - di accesso e di identificazione (username, password, customer ID, altro...)
  • - di pagamento (numero di conto corrente, dettagli della carta di credito, altro...)
  • - relativi alla fornitura di un servizio di comunicazione elettronica (dati di traffico, dati relativi alla navigazione internet, altro...)
  • - relativi a documenti di identificazione/riconoscimento (carta di identità, passaporto, patente, altro...)
  • - di localizzazione
  • - che rivelino l'origine razziale o etnici o relativi a opinioni politiche o a convinzioni religiose o filosofiche
  • - q) Dati relativi alla salute

La violazione è consistita nella diffusione del percorso della cartella di rete contenente dati personali comunicata a CSIRT Italia è istituito presso l'Agenzia per la cybersicurezza nazionale (ACN) da parte di esperti di sicurezza informatica.

Il software oggetto della violazione, è l'applicativo SIMEAL per la gestione dei servizi scolastici prodotto da ICCS Informatica SRL (società del Gruppo Maggioli) Infrastruttura. Il server di proprietà comunale è ubicato presso il data center Maggioli di Mantova , via Taliercio 3 a Mantova)

Le misure tecniche e organizzative, in essere al momento della violazione, adottate per garantire la sicurezza dei dati personali coinvolti sono:

  • - protezione da virus firewall meccanismi di continuità operativa, backup e di disaster recovery
  • - penetration test e vulnerability assessment;
  • - sistemi di intrusion detection;
  • - sistemi di autenticazione e di autorizzazione;
  • - aggiornamento centralizzato dei sistemi operativi
  • - nomina del personale istruito ed autorizzato al trattamento dei dati;
  • - controllo degli accessi;
  • - procedura di modifica delle credenziali.

Le possibili conseguenze della violazione sono la perdita di riservatezza dei dati degli interessati con la conoscenza da parte di terzi non autorizzati.
Le verifiche operate, a campione sul sito internet ;Have I Been Pwned? (HIBP), non hanno rilevato la violazione dei dati degli interessati.
Ulteriori verifiche verranno effettuate nei prossimi giorni.
Il gruppo di lavoro dedicato sta procedendo agli interventi conseguenti e necessari al fine di porvi rimedio. alla violazione e ridurne gli effetti negativi per gli interessati.
Tra le concrete operazioni poste in essere:

  • - Ripristino corretta configurazione della cartella dei permessi di accesso;
  • - Avvio analisi file di log
  • - riconfigurazione del web server che eroga il servizio per la rimozione delle directory esposte
  • - rimozione dei dati presenti nella directory che non necessitino di essere pubblicatI
  • - ulteriori misure raccomandata da CSIRT Italia (Computer Security Incident Response Team - Italia): rimozione dei banner del prodotto Apache, implementazione delle "Security tips" di Apache e di regole o sistemi di protezione dagli attacchi DoS\DDoS).

Saranno pubblicati aggiornamenti sul nostro sito che potrà verificare al seguente link: Privacy

Ulteriori informazioni: Segreteria Settore Servizi Educativi e Pubblica Istruzione

Tweet
Share
share with Whatsapp
share with Telegram