CERT-AgID ha di recente diffuso un aggiornamento sullo stato dell’arte delle potenziali vulnerabilità dei sistemi delle Pubbliche Amministrazioni. Più nel dettaglio, tale report mostra quanto viene attualmente utilizzato il protocollo HTTPS e quanto vengono aggiornati i CMS sui quali vengono sviluppati i portali.
Per analizzare i siti, CERT-AgID si è rifatto alla lista ufficiale dei siti delle PA, che però non è ancora completa. Quel che basta però per dare un quadro statistico allarmante sulla tenuta dei siti web istituzionali. Iniziando dal protocollo HTTPS, i grafici mostrano come tra il 2020 e il 2021 siano aumentati i siti considerati sicuri.
Il dato passa dal 9% del 2020 ad un 22% registrato quest’anno, così come una netta diminuzione dei siti con vulnerabilità gravi, che passano dal 67% al 53% (-14%). Questi dati sono certamente positivi ma si può e si deve fare di più. Come vediamo nei grafici, attualmente solo il 2% dei siti pubblici non utilizza il protocollo HTTPS e sono anche aumentati dell’1% i siti malconfigurati (23%).
Sul 2% che non utilizza il protocollo HTTPS, CERT-AgID fa sapere che seppur la percentuale sia invariata adesso siamo passati da più di 440 siti a 340. Passando poi alle situazioni definite come Gravi, la ricerca AgID spiega che a livello di percentuali non si è smosso nulla dall’ultima osservazione. È tuttavia interessante vedere la composizione di questa categoria.
Gli accorgimenti maggiormente utilizzati sono stati il redirect a HTTPS (4000 siti), l’aggiustamento del Certificato SSL (3500 siti circa) ed infine l’abbandono di TLS 1.0 e 1.1, ormai da tempo obsoleti e sconsigliati.
Passando ai CMS è interessante notare come la situazione sia meno rosea rispetto ai protocolli appena visti.
Sia per quel che riguarda i CMS aggiornati che per quelli non aggiornati, le percentuali risultano essere peggiori dello scorso anno. I primi passano dal 13% circa all’8,3% (-5,4%), mentre i secondi aumentano del 7% passando dal 23% al 30%. Incuriosisce anche il dato sul mancato rilevamento del CMS utilizzato (ultimo grafico a destra), che mostra come per la metà dei siti non sia possibile capire quale piattaforma viene utilizzata.
A proposito di piattaforme, quella col maggior numero di utenti tra le PA è ovviamente WordPress, che con 4490 siti batte e doppia Joomla, ancora in seconda posizione con 2348 siti. Le Pubbliche Amministrazioni, però, non utilizzano soltanto i CMS più noti. Dal report si può notare che son stati rilevati almeno 31 diverse piattaforme. Questo forse potrebbe rendere anche più farraginoso il discorso sulla sicurezza.
Se da un lato questi dati sulla cybersecurity del settore pubblico possono sembrare preoccupanti, specialmente quelli sui CMS, è anche doveroso spiegare che non ci si può basare solo su certe osservazioni. Di fatto, l’implementazione di HTTPS oramai non è neanche più sinonimo di sicurezza del sito mentre non basta soltanto aggiornare i CMS. Ciò invece che se ne può evincere è un aspetto più volte sottolineato anche in questo blog: la scarsa cultura di cybersecurity all’interno della Pubblica Amministrazione.
Vedendo come le strutture pubbliche sembrano gestire i loro portali, magari pieni di dati sensibili, si possono capire anche i rischi per cittadini e per l’immagine di istituzioni che dovrebbero tutelare quest’ultimi. Alla luce di questo non stupiscono fatti gravi come quelli della Regione Lazio o altri casi di cronaca estera che hanno bloccato intere strutture con enormi danni successivi.
Fonte: 1