PA Digitale: il report sui siti degli enti pubblici

News-HS

Nei giorni scorsi il CERT di AGID ha diramato un report nel quale ha trattato l’argomento della sicurezza e dell’aggiornamento dei siti web delle Pubbliche Amministrazioni italiane. Nel lungo articolo vengono analizzati due fattori considerati chiave come l’utilizzo del protocollo HTTPS ed il corretto update dei sistemi CMS sui quali vengono sviluppati i suddetti siti.

Vediamo innanzitutto il grafico riguardante tutti gli aspetti presi in considerazione nello studio di CERT-AGID.

Come si può vedere la situazione appare in miglioramento rispetto ai dati riscontrati nel 2021, tuttavia persistono alcune criticità in tutti gli ambiti. Partiamo dal protocollo HTTPS, segnalando che rispetto allo scorso anno attualmente i siti delle PA senza tale accorgimento sono scesi del 34% e sono 223, una percentuale dell’1% sul totale, un dato doppiamente positivo visto che si tratta anche della metà dei siti senza HTTPS riscontrati nel 2020.

I gravi problemi di sicurezza affliggono attualmente il 41% dei portali, un dato grave ma migliore di quello del 2021, quando la percentuale era oltre il 50%. L’analisi in questo caso è stata fatta sempre sui protocolli HTTPS, nello specifico si sono presi in considerazione i siti con certificati deboli e/o aggirabili. I siti con problemi sono quindi scesi di una cifra pari a 2200 unità. Le modifiche fatte dal supporto IT delle PA sono invece state principalmente tre, ovvero il redirect di HTTP verso HTTPS, correzione dei certificati e diminuzione drastica di siti che utilizzano TLS 1.1 e precedenti.

Passando ai siti cosiddetti malconfigurati, ovvero quelli che usano versioni vecchie dei TLS e i cifrari CBC (a blocchi), si è potuto vedere il dimezzamento delle cifre viste nel 2021 ad eccezione dei cifrari CBC, che resistono su numeri abbastanza simili a quelli del 2021. Il passaggio a versioni più aggiornate di TLS va di pari passo ad una modernizzazione dei sistemi e della sicurezza degli stessi siti.

Rimaniamo su questo argomento per arrivare al quarto soggetto di interesse per il protocollo HTTPS, ovvero il numero di siti sicuri. Rispetto al 2021 infatti attualmente i siti delle PA sicuri sono in maggioranza rispetto a quelli meno sicuri. Si tratta di un sorpasso avvenuto proprio nel 2022, pertanto di un dato estremamente positivo. Come abbiamo detto ciò è dovuto all’uso di certificati validi, al passaggio ad HTTPS ed all’utilizzo di TLS 1.3, triplicato in un solo anno.

La seconda fase del report CERT AGID riguarda invece i CMS sui quali vengono sviluppati i siti delle PA, per i quali il miglioramento è effettivo ma meno visibile. Per iniziare, viene spiegato che attualmente solo un quarto dei domini delle PA che si appoggiano su CMS utilizzano l’ultima versione aggiornata di quest’ultimo, dato però particolarmente più alto di quello del 2021 che si era fermato solo all’8%. Dei restanti siti presi in esame, più del 50% non risulta aggiornato all’ultima release mentre per il 21% non è possibile comprendere la versione utilizzata. Questa rilevazione non è di per sé negativa, poiché gli sviluppatori potrebbero aver usato dei tool interni che bloccano la visualizzazione delle versioni installate.

Il CMS più utilizzato è ovviamente WordPress, che stacca tutti gli altri e risulta essere installato su oltre 5000 siti delle pubbliche amministrazioni, un dato peraltro in salita di 715 unità rispetto al 2021. Al secondo posto, ma con numeri praticamente che arrivano alla metà, troviamo Joomla!, che è installato su oltre 2000 siti ma che in un anno è cresciuto di sole tre unità. Al terzo posto possiamo vedere Drupal, che non raggiunge i mille siti e appare in calo rispetto al 2021 di sette unità.

In generale, guardando al report brevemente analizzato, il miglioramento della parte tecnica dei siti utilizzati dalle PA italiane appare abbastanza visibile. Queste sono senz’altro buone notizie e, volendo vedere il bicchiere mezzo pieno, c’è da aspettarsi un ulteriore aumento della sicurezza anche nei mesi a venire. Nel 2023 sarà possibile quindi vedere se questa strada è stata intrapresa in modo deciso oppure se subirà un rallentamento.

 

Link per leggere l’intero report