Agid (Agenzia Italia Digitale) ha pubblicato i risultati dei test richiesti dal Piano triennale per l’informatica 2020-2022 e ha rilevato che il 67% dei domini pubblici presenta “gravi problemi” mentre il 22% dei siti è “mal configurato”. Solo il 9% è “sufficientemente sicuro”.
Tra i 21.682 portali Istituzionali sottoposti a monitoraggio, sono risultati correttamente raggiungibili 20.050 portali Istituzionali, per i quali è stato possibile procedere con il monitoraggio della versione del CMS.
A fronte dei 20.050 portali Istituzionali sottoposti a monitoraggio solo 9.965 (49.7%) utilizzano un CMS tra i più diffusi (WordPress, Joomla, Drupal..ecc). Di questi, 2.738 (13.7%) portali Istituzionali, utilizzano un CMS aggiornato all’ultima versione disponibile alla data di monitoraggio, in 4.631 (23.1%) utilizzano una versione non aggiornata mentre per 2.596 (12.9%) la configurazione era tale da non rendere possibile il rilevamento della versione.
Indice degli argomenti
Perché è grave che pochi siti PA siano sicuri
Un portale non sicuro in generale è tale perché presenta delle versioni di software non aggiornate o non correttamente configurate. In questo caso, un attaccante può sfruttare le vulnerabilità esistenti per riuscire a prendere il pieno controllo del portale o comunque di parti di esso. L’intrusione può essere sfruttata per esfiltrare dati sensibili degli utenti del portale o per introdursi nella rete dell’ospitante.
Il problema può essere molto serio per i cittadini perché l’uso dei portali amministrativi diventerà sempre più diffuso e obbligatorio per accedere ai servizi della Pubblica Amministrazione. I problemi sul software dei portali possono consentire agli attaccanti di infiltrarsi nel portale e rilevare dati sensibili dei cittadini, credenziali di pagamento, dati sanitari e qualsiasi altra informazione riservata.
Inoltre, le vulnerabilità dei software deboli o non aggiornati possono consentire attacchi ai portali, disservizi e discontinuità, intaccando la qualità del servizio al pubblico. Queste stesse vulnerabilità sono sfruttabili per infiltrare malware nelle reti ospitanti che possono estrarre dati sensibili registrati nei sistema della Pubblica Amministrazione in modo massivo, oppure sabotare il sistema.
Che soluzione
La soluzione è insita nell’uso di software robusti e aggiornati, che richiedono investimenti economici e di risorse umane costanti nel tempo.
Recentemente è stato lanciato un attacco massivo con ddos sui portali e richiesta di riscatto (ransom) per terminare l’attacco e i conseguenti disservizi. Questo tipo di problema può essere contrastato con sistemi aggiornati, robusti e con tool di rilevazione dei ddos.
Nel corso del 2021 il Cert-AgID continuerà a monitorare l’utilizzo del protocollo Https e delle versioni dei Content Management System della Pubblica Amministrazione per perseguire il miglioramento dei siti monitorati verificando che siano state intraprese le contromisure indicate dalla stessa Agid.
Pochi investimenti nella cyber pubblica italiana
Il problema è comunque legato anche agli investimenti. Le Pubbliche Amministrazioni avranno necessità di essere supportate negli investimenti per la cyber security in generale e per la sicurezza dei portali, oggi sempre più necessari per la digitalizzazione del Paese.
Resta infatti un controsenso affermare che si lavora per la completa digitalizzazione dell’Italia e al tempo stesso tralasciare di prevedere adeguati investimenti per la messa in sicurezza degli aspetti digitali delle Pubbliche Amministrazioni e in particolari degli strumenti, i portali appunto, di interfaccia tra le Amministrazioni e i cittadini.
L’aggiornamento dei software e dei Content Management System dei portali è una priorità per l’Italia e per i cittadini e l’Italia dovrà impegnarsi a perseguire tale obiettivo entro tempi stretti e mantenere costante l’attenzione sulla cyber security.
