Lavoro: dal Garante Privacy nuove tutele per la email dei dipendenti. Varato un Documento di indirizzo sulla conservazione dei metadati

Tratto da www.garanteprivacy.it – Newsletter del 06/02/2024

I datori di lavoro pubblici e privati che per la gestione della posta elettronica utilizzano programmi forniti anche in modalità cloud da oggi hanno a disposizione nuove indicazioni utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori.

Il Garante per la protezione dei dati personali ha infatti adottato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati.

Il documento nasce a seguito di accertamenti effettuati dall’Autorità dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’email). In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.

Con il documento odierno il Garante chiede quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. Periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.

I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro). L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.

6 Febbraio 2024

Responsabile protezione dati, il Garante sanziona 4 Comuni. Al via una nuova serie di controlli su una vasta platea di enti locali

Tratto da www.garanteprivacy.it – Newsletter del 06/02/2024
 
Con l’adozione di quattro provvedimenti [doc. web n. 9979112, 9979128, 9979152, 9979171] sanzionatori nei confronti di enti locali, il Garante Privacy ha concluso la prima fase dell’indagine avviata per verificare il rispetto dell’obbligo di comunicazione all’Autorità dei dati di contatto del Responsabile della protezione dei dati (RPD, o Data protection officer, DPO).

Ed è già al via una nuova serie di controlli indirizzati ad una platea ancora più ampia di Comuni che non hanno comunicato all’Autorità i dati di contatto del RPD.

Rilevata la violazione per la mancata comunicazione del RPD il Garante ha comminato a tre enti locali una sanzione di 2.000 euro ciascuno, mentre al quarto ha applicato una sanzione di 5.000 euro, maggiorata poiché l’inadempimento ha riguardato la nomina di due RPD.

In tutti i provvedimenti sanzionatori il Garante ha ricordato che, per essere in linea con il Regolamento Ue, se il titolare del trattamento dei dati personali è un soggetto pubblico, quali, ad esempio, amministrazioni dello Stato, Regioni, Province, Comuni, università, aziende del Servizio sanitario nazionale, è obbligato a designare un RPD e a comunicarne i dati di contatto al Garante privacy, attraverso l’apposita procedura messa a disposizione dall’Autorità sul suo sito.

L’obbligo della comunicazione, previsto nel Regolamento Ue, mira a garantire la possibilità per l’Autorità di garanzia di contattare in modo facile e diretto il RPD, figura che ha tra i suoi compiti anche quello di fungere da punto di riferimento fra il titolare (o responsabile) del trattamento e l’Autorità stessa.

Pubblicata una vulnerabilità nella libreria Glibc

 
 
Tratto da www.kaspersky.it/blog
Redazione:  Editorial Team – 06/02/2024
 

Il 30 gennaio, alcuni ricercatori di sicurezza hanno pubblicato informazioni su una vulnerabilità scoperta di recente nella libreria glibc (GNU C Library) che potrebbe potenzialmente consentire agli hacker di elevare i propri privilegi sui sistemi Linux fino al livello di root. La libreria consente di effettuare chiamate di sistema e utilizzare funzioni di base del sistema, tra cui syslog e vsyslog, che vengono utilizzate per scrivere messaggi nel registro dei messaggi di sistema. La vulnerabilità è stata identificata con il codice CVE-2023-6246 e ha ricevuto un punteggio di 8,4 sulla scala CVSS v3.1. Nonostante il livello di questa minaccia non sia critico (è solo alto) esiste un’alta probabilità che venga sfruttata in attacchi su larga scala: Ceglibc è la principale libreria di sistema utilizzata da quasi tutti i programmi Linux.

Quali sistemi possono essere colpiti da CVE-2023-6246?

I ricercatori di Qualys che hanno scoperto la vulnerabilità hanno testato una serie di installazioni di sistemi basati su Linux e hanno identificato diversi sistemi vulnerabili: Debian 12 e 13, Ubuntu 23.04 e 23.10 e Fedora Linux dalle versioni 37 a 39. Tuttavia, gli esperti aggiungono che probabilmente anche altre distribuzioni potrebbero essere affette da questa vulnerabilità.

CVE-2023-6246 è presente nella versione 2.36 e precedenti della libreria. Gli sviluppatori di glibc hanno corretto la vulnerabilità nella versione 2.39 il 31 gennaio, un giorno dopo la pubblicazione della notizia.

Che cos’è la vulnerabilità CVE-2023-6246 e da dove proviene?

La vulnerabilità CVE-2023-6246 è legata a un buffer overflow della memoria dinamica e appartiene alla classe LPE (Local Privilege Escalation). In poche parole, un hacker che ha già accesso come utente a un sistema può utilizzare le chiamate di funzione vulnerabili per scalare i propri privilegi fino al livello di super-utente.

Questa vulnerabilità è stata aggiunta per la prima volta alla libreria nella versione 2.37 nell’agosto 2022, nel tentativo di risolvere una vulnerabilità meno pericolosa, la CVE-2022-39046. In seguito, gli sviluppatori della libreria hanno apportato le stesse modifiche alla versione 2.36.

Release di EndianOS 6.6.4 – Miglioramento della funzionalità – Oggetti di rete FQDN

Tratto da www.endian.com – 12/12/2023
 

In uno degli ultimi rilasci della versione 6.6.4 di EndianOS è stata aggiunta una nuova ed interessante funzionalità per ampliare il supporto degli oggetti di rete includendo gli FQDN (Fully Qualified Domain Name).

Questa nuova funzionalità migliora il precedente supporto per gli oggetti che includevano: sottoreti, indirizzi IP e intervalli di indirizzi IP.

Con questa nuova funzione è ora possibile creare un oggetto di rete e includere nomi di host (come ad esempio, siti web come www.yahoo.com) e quindi utilizzare questi oggetti all’interno di regole di routing di rete e firewall supportate.

In questo modo l’appliance Endian aggiungerà automaticamente i relativi indirizzi IP appartenenti a tali host e li includerà nelle impostazioni specificate.

Inoltre è stata aggiunta una funzione di memorizzazione degli indirizzi IP visti in precedenza per aumentare la compatibilità anche con siti complessi di bilanciamento del carico.

Per verificare le nuove potenzialità aggiornate la vostra appliance.

13 Dicembre 2023

Misure di sicurezza inadeguate: il Garante sanziona una Asl

 
Tratto da www.garanteprivacy.it – Newsletter del 23/10/2023
 

Sanzione del Garante privacy di 30.000 euro ad una Asl napoletana per non aver protetto adeguatamente da attacchi hacker i dati personali e i dati sanitari di 842.000 tra assistiti e dipendenti.

La struttura sanitaria aveva subito un attacco ransomware che attraverso un virus aveva limitato l’accesso al data base della struttura sanitaria e richiesto un riscatto per ripristinare il funzionamento dei sistemi.

Come previsto dalla normativa in materia protezione di dati personali, l’Asl aveva provveduto a comunicare il data breach al Garante che ha immediatamente aperto un’istruttoria sull’accaduto per verificare le misure tecniche e organizzative adottate dalla Asl sia prima che dopo l’attacco subito.

Diverse le importanti criticità rilevate dal Garante a seguito dell’attività ispettiva, come la mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali e a garantire la sicurezza delle reti, anche in violazione del principio della protezione dei dati fin dalla progettazione (privacy by design). L’accesso alla rete tramite vpn avveniva infatti mediante una procedura di autenticazione basata solo sull’utilizzo di username e password. Inoltre, la carenza di segmentazione delle reti aveva causato la propagazione del virus all’intera infrastruttura informatica.

Nel sanzionare l’illecito il Garante ha tenuto conto del fatto che il data breach ha riguardato dati idonei a rilevare informazioni sulla salute di un numero molto rilevante di interessati, ma anche dell’atteggiamento non intenzionale e collaborativo della Asl. Dopo l’accaduto, l’azienda ha adottato una serie di misure volte non solo ad attenuare il danno subito dagli interessati, ma anche a ridurre la replicabilità dell’evento stesso, tra le quali l’attivazione di una procedura di accesso alla rete tramite vpn con doppio fattore di autenticazione.

24 Ottobre 2023

Blog & News

Categorie