Siti e sistemi della PA italiana, ancora non ci siamo. Lo dicono i dati rilevati dal CERT-AgID nel secondo monitoraggio dello stato di aggiornamento del protocollo HTTPS e dei CMS sui sistemi della PA.
Il monitoraggio effettuato mediante una serie di strumenti sviluppati internamente dagli analisti di AgID ha infatti confermato che la percentuale di siti che utilizza una corretta configurazione HTTPS è più che raddoppiata, ma al contempo ha evidenziato una lieve regressione per quanto riguarda la percentuale dei CMS aggiornati.
Sul fronte HTTPS i siti votati come sicuri sono più che raddoppiati, passando dal 9% ad un più consistente 22% (da 1.766 a 4.149 unità), mentre i siti con gravi problemi di sicurezza presentano un calo del 14%.
Sul lato dei CMS la situazione non è migliorata: i siti con CMS in versione aggiornata sono passati dal 13,7% del totale all’8,3%.
Indice degli argomenti
Sicurezza dei sistemi della PA: c’è ancora tanto da fare
In realtà, i numeri assoluti non dicono tutta la verità: il miglioramento sul fronte dell’utilizzo di HTTPS, infatti, non ha riguardato quella percentuale di portali amministrativi che più ne aveva bisogno, ovvero tutti quei server che non supportavano (e che continuano a non supportare) il protocollo di comunicazione sicura.
“Sono dati che dimostrano una notevole distanza tra le pratiche usate nella PA e gli standard minimi di sicurezza, anche se ovviamente in uno spaccato minimale (i CMS non sono necessariamente dei sistemi particolarmente critici)”, è il commento di Stefano Zanero, professore associato di Computer Security al Politecnico di Milano.
“Ne usciamo con un percorso molto lungo, che comincia dalla formazione del personale interno addetto e da una infusione di personale proveniente dal privato. Un po’ come le quote dedicate alla safety nei lavori pubblici, dovremmo iniziare ad avere quote incomprimibili delle gare della PA dedicate alla cyber security”, continua ancora Zanero.
Di ugual tenore anche l’analisi fatta a Cybersecurity360 da Pierluigi Paganini, analista di cyber security e CEO Cybhorus: “I dati mostrano un progresso che tuttavia è lontano dagli obiettivi di una PA sicura. Sono evidenti miglioramenti ma ancora troppi servizi non sono sicuri. Il dato sui CMS è sconfortante in quanto proprio le versioni vulnerabili in uso da molti siti possono agevolare incursioni di attori malevoli”. Che conclude: “Se consideriamo la pandemia e il maggiore ricorso a servizi online da parte dei cittadini, direi che si è fatto poco per farli operare in sicurezza”.
È vero anche che la valutazione della sicurezza dei sistemi della Pubblica amministrazione non può certo basarsi esclusivamente sulla misurazione del numero di enti che hanno il CMS aggiornato e la configurazione del protocollo HTTPS sicura, ma l’attenzione dimostrata verso questi due aspetti è comunque significativa e indicativa della diffusione della cultura della cyber sicurezza nazionale, in particolare nelle amministrazioni pubbliche.
A tal proposito, Manuel Salvi, esperto in data protection, osserva giustamente che “se vogliamo guardare il bicchiere mezzo pieno possiamo rallegrarci, nel senso che qualcosa si muove e i dati hanno intrapreso un confortante processo di miglioramento. Se, al contrario, vogliamo essere realisti, il dato evidenzia la pessima situazione in cui verte l’intero paese e ancor di più la pubblica amministrazione. Il protocollo HTTPS è il minimo sindacale. Celebrare il 22% di siti come sicuri, significa dimenticare che il 78% non lo è”.
Sempre secondo Salvi, “un esempio non legato al protocollo HTTPS, ma coerente con la scarsa attenzione nazionale al tema della cyber security, sono le dichiarazioni di alcuni politici quando fu “bucata” la Regione Lazio, che gridarono alla minaccia terroristica per allontanare i sospetti e i riflettori dalle loro mancanze. Piuttosto che cercare un capro espiatorio fuori casa, dovremmo intensificare le operazioni in casa andando oltre il mero compitino e intraprendere un virtuoso percorso di protezione del dato”.
“Un paese come il nostro”, conclude Salvi, “povero di materie prime e ricco d’ingegno, dovrebbe divenire pioniere nel tutelare il suo patrimonio di dati. A tal proposito, recentemente in presenza di alcuni data breach, mi ha rattristato sentir dire a primarie aziende italiane, con orgoglio mal riposto, di avere i backup, creduta panacea a qualsiasi problema, come se l’unica conseguenza spiacevole di un data breach fosse il solo fermo operativo e non certo la riservatezza del patrimonio informativo sottratto”.
I numeri del monitoraggio dei sistemi della PA
Il monitoraggio sull’utilizzo del protocollo HTTPS e sull’aggiornamento dei CMS nei sistemi della Pubblica Amministrazione è un’attività prevista dal Piano Triennale per l’informatica nella Pubblica Amministrazione.
I risultati del primo monitoraggio sono stati pubblicati lo scorso 5 dicembre 2020. In questo secondo monitoraggio, le cui conclusioni sono state pubblicate il 30 settembre 2021, i dati emergono da una rilevazione svolta sull’elenco dei siti della Pubblica Amministrazione disponibile nell’Indice PA (IPA).
In particolare, sono stati 19.130 i domini testati per la configurazione HTTPS e 17.203 i siti correttamente testati.
Per quanto riguarda la configurazione HTTPS, dei 19.130 domini testati il 2% non ha l’HTTPS, il 53% ha gravi problemi di sicurezza, il 23% è mal configurato e solo il 22% sono sufficientemente sicuri.
Su Shodan le vulnerabilità che affliggono la PA
Se il monitoraggio dello stato di aggiornamento del protocollo HTTPS e dei CMS rappresenta una fotografia sulla situazione di sicurezza dei sistemi della PA, risulta interessante anche utilizzare le informazioni di Shodan per avere una panoramica delle vulnerabilità macroscopiche che la affiggono.
Shodan, lo ricordiamo, è un particolare motore di ricerca che raccoglie numerose informazioni sui dispositivi connessi a Internet, inclusi i server, consentendo di analizzare i metadati dei dispositivi come i banner dei servizi esposti, le porte aperte, le versioni dei software rilevate e molto altro ancora.
In particolare, una delle funzionalità più interessanti di Shodan è quella di elencare le vulnerabilità note dei software esposti su una specifica macchina.
Sfruttando Shodan e partendo ancora una volta dall’IndicePA (IPA) su cui sono censiti i siti della Pubblica Amministrazione, il CERT-AgID è riuscito a raccogliere numerosi dati sulle vulnerabilità presenti nei server della Pubblica Amministrazione.
Come se non bastassero già i dati del monitoraggio effettuato sui sistemi della PA a fotografare una situazione preoccupante in ambito cyber security, anche quanto emerso dalle ricerche effettuate su Shodan evidenzia una situazione preoccupante sullo stato di salute dei sistemi della Pubblica Amministrazione in cui ancora predominano server e applicativi ormai obsoleti.
Tra questi, molti potrebbero non essere aggiornati per questioni puramente tecnologiche, ma è anche vero che tanti altri potrebbero invece essere facilmente aggiornabili.
L’analisi dei risultati di Shodan analizzati dal CERT-AgID, quindi, è ancora una volta un’utile lezione sull’importanza fondamentale di costruire in tutte le organizzazioni pubbliche e private (e nella PA in particolare) quella consapevolezza delle minacce informatiche necessaria a raggiungere un alto livello di attenzione che consentirebbe di migliorare notevolmente le prospettive in termini di sicurezza informatica della Pubblica Amministrazione.
Solo una corretta formazione e security awareness di tutti gli attori coinvolti, infatti, consente di adottare standard di sicurezza sempre più elevati per diminuire la superficie di attacco esposta e abbattere il livello di rischio derivante da attacchi informatici sempre più efficaci e mirati (su tutti, i ransomware e il phishing).
