Comunicazione agli interessati di data breach (violazione di sicurezza dei dati)

Il 1 marzo 2022 il Comune di Mantova è venuto a conoscenza di una possibile violazione di dati che riguardano gli utenti dei servizi scolastici. Aster srl, responsabile esterno dei trattamenti, incaricata della gestione dei servizi informatici comunali, ha informato il Comune di Mantova, titolare del trattamento, di una segnalazione pervenuta al Comune sulla vulnerabilità dei

- Dati anagrafici (nome, cognome, sesso, data di nascita, luogo di nascita, codice fiscale)

- Dati di contatto (indirizzo postale o di posta elettronica, numero di telefono fisso o mobile) degli iscritti ai servizi. Scolastici del Comune di Mantova (trasporto scolastico, mensa, scuole per l'infanzia e asili nido).

La violazione non riguarda dati:

- di minori,

- di accesso e di identificazione (username, password, customer ID, altro...)

- di pagamento (numero di conto corrente, dettagli della carta di credito, altro...)

- relativi alla fornitura di un servizio di comunicazione elettronica (dati di traffico, dati relativi alla navigazione internet, altro...)

- relativi a documenti di identificazione/riconoscimento (carta di identità, passaporto, patente, altro...)

- di localizzazione

- che rivelino l'origine razziale o etnici o relativi a opinioni politiche o a convinzioni religiose o filosofiche

- q) Dati relativi alla salute

La violazione è consistita nella diffusione del percorso della cartella di rete contenente dati personali comunicata a CSIRT Italia è istituito presso l'Agenzia per la cybersicurezza nazionale (ACN) da parte di esperti di sicurezza informatica.

Il software oggetto della violazione, è l'applicativo SIMEAL per la gestione dei servizi scolastici prodotto da ICCS Informatica SRL (società del Gruppo Maggioli) Infrastruttura. Il server di proprietà comunale è ubicato presso il data center Maggioli di Mantova , via Taliercio 3 a Mantova)

Le misure tecniche e organizzative, in essere al momento della violazione, adottate per garantire la sicurezza dei dati personali coinvolti sono:

- protezione da virus firewall meccanismi di continuità operativa, backup e di disaster recovery

- penetration test e vulnerability assessment;

- sistemi di intrusion detection;

- sistemi di autenticazione e di autorizzazione;

- aggiornamento centralizzato dei sistemi operativi

- nomina del personale istruito ed autorizzato al trattamento dei dati;

- controllo degli accessi;

- procedura di modifica delle credenziali.

Le possibili conseguenze della violazione sono la perdita di riservatezza dei dati degli interessati con la conoscenza da parte di terzi non autorizzati.
Le verifiche operate, a campione sul sito internet ;Have I Been Pwned? (HIBP), non hanno rilevato la violazione dei dati degli interessati.
Ulteriori verifiche verranno effettuate nei prossimi giorni.
Il gruppo di lavoro dedicato sta procedendo agli interventi conseguenti e necessari al fine di porvi rimedio. alla violazione e ridurne gli effetti negativi per gli interessati.
Tra le concrete operazioni poste in essere:

- Ripristino corretta configurazione della cartella dei permessi di accesso;

- Avvio analisi file di log

- riconfigurazione del web server che eroga il servizio per la rimozione delle directory esposte

- rimozione dei dati presenti nella directory che non necessitino di essere pubblicat

- ulteriori misure raccomandata da CSIRT Italia (Computer Security Incident Response Team - Italia): rimozione dei banner del prodotto Apache, implementazione delle "Security tips" di Apache e di regole o sistemi di protezione dagli attacchi DoS\DDoS).

Saranno pubblicati aggiornamenti sul nostro sito che potrà verificare al seguente link:https://www.comune.mantova.it/index.php/privacy

Mantova, 11 marzo 2021

TITOLARE DEL TRATTAMENTO.

Comune di Mantova

Codice Fiscale/P.IVA: 00189800204

Stato: Italia

Provincia: Mantova

Comune: Mantova

CAP: 46100

Indirizzo: Via Roma, 39

Telefono: 0536338502

Email: Indirizzo e-mail protetto dal bots spam , deve abilitare Javascript per vederlo  (delegato del titolare)

Pec: Indirizzo e-mail protetto dal bots spam , deve abilitare Javascript per vederlo

RESPONSABILE PROTEZIONE DATI

Denominazione : ICAR SRL

Indirizzo : VIA E TEDESCHI N 12F Citta' : REGGIO EMILIA

Telefono : 0522517193

E-mail : Indirizzo e-mail protetto dal bots spam , deve abilitare Javascript per vederlo

PEC : Indirizzo e-mail protetto dal bots spam , deve abilitare Javascript per vederlo

Soggetto individuato quale referente per il titolare/responsabile

Cognome : GOLTARA

Nome : SIMONA

Dati di contatto

Telefono : 0376 803074

Mobile : 0376 803074

E-mail : Indirizzo e-mail protetto dal bots spam , deve abilitare Javascript per vederlo

PEC : Indirizzo e-mail protetto dal bots spam , deve abilitare Javascript per vederlo

Responsabili esterni del trattamento:

Aster srl 02071790204

Maggioli SPA 02066400405