Bocciati in cyber security i siti della pubblica amministrazione italiana. Lo dice uno studio della struttura deputata presso la Presidenza del Consiglio: Agid, l’Agenzia per l’Italia Digitale.
Risulta che solo il 9 per cento, meno di uno su dieci, è “sufficientemente sicuro”. Gli altri siti hanno tanti e tali problemi da esporre i dati dei cittadini e i servizi della pubblica amministrazione a rischi di sicurezza inaccettabili. I criminali possono con relativa facilità rubare informazioni e compromettere i servizi pubblici, se il sito ha gravi falle, infatti.
Il 2% dei domini pubblici addirittura non ha Https, lo standard base di una connessione sicura. Il 67% presenta “gravi problemi di sicurezza”, il 22% dei siti sono mal configurati.
Agid ha monitorato nelle prime settimane di dicembre 2020 21.682 portali istituzionali primari, escludendo gli eventuali sotto-domini presenti. Per poter controllare i 21.682 portali istituzionali è stato necessario interrogare 25.519 server, per un totale di 408.304 test.
Il problema principale è che i siti utilizzano spesso software di base minoritari e non aggiornati per essere sicuri contro gli attacchi.
Solo 9.965 siti utilizzano un cms (sistema gestione dei contenuti del sito) tra i più diffusi (WordPress, Joomla, Drupal e altri). Di questi, solo 2.738 (13.7%) portali Istituzionali, utilizzano un Cms aggiornato all’ultima versione disponibile alla data di monitoraggio. In 4.631 (23.1%) utilizzano una versione non aggiornata mentre per 2.596 (12.9%) la configurazione era tale da non rendere possibile il rilevamento della versione.
Si noti che le PA sarebbero obbligate a rispettare regole di cyber security base, secondo quanto stabilito dalla stessa Agid.
“Sono problemi molto seri per i cittadini perché l’uso dei portali amministrativi diventerà sempre più diffuso e obbligatorio per accedere ai servizi della Pubblica Amministrazione”, dice Luisa Franchina, senior analyst presso Hermes Bay e presidente dell’Associazione Italiana esperti in Infrastrutture Critiche.
“I criminali possono rubare i nostri dati, credenziali di pagamento. Oppure possono bloccare i servizi pubblici erogati dal sito”, spiega.
Un attaccante ben organizzato – ad esempio uno Stato-nazione, come quello (probabilmente la Russia) che ha spiato il Governo Usa per mesi – può sfruttare queste vulnerabilità per paralizzare l’attività della pubblica amministrazione per un certo periodo.
La vulnerabilità di questi siti è spia di un problema più grosso di cyber security della pubblica amministrazione, secondo gli esperti. “L’Italia investe troppo poco in cyber security della pubblica amministrazione. Deve aumentare fondi per sistemi e personale. Ed è un paradosso di fronte alla spinta pubblica a una maggiore digitalizzazione”, dice Franchina.
Si pensi anche al rischio che sistemi pubblici poco sicuri possano compromettere le attività di distribuzione vaccini, già da tempo sotto attacco degli hacker.
“Manca una regia, regole comuni perché siano sicuri i software della pubblica amministrazione”, aggiunge Rocco de Nicola, professore di Informatica presso la Scuola IMT Alti Studi di Lucca, direttore del Centro di Competenza in Cybersecurity.
“I software usati dalla PA, come i CMS, ora sono fatti a volte da piccole software house. Senza garanzie né regole che assicurino il rispetto di principi base di cyber security, come l’aggiornamento della versione installata”, aggiunge.
Una spinta per uniformare la security della pubblica amministrazione potrebbe arrivare dalla riforma della direttiva europea Nis (Network and information security), appena avviata dalla Commissione europea, con una proposta pubblicata questa settimana.
“E’ necessario rafforzare l’attività di gestione sicura dei servizi digitali pubblici, che deve basarsi su due principali pilastri”, dice Luca Bechelli, dell’associazione sicurezza informatica Clusit. “In primo luogo le competenze del personale della pubblica amministrazione, che devono crescere sia in termini di know how interno che di consapevolezza del problema, anche ai livelli direzionali per capire come e quando indirizzare delle risorse per la sicurezza”. “In secondo luogo – aggiunge – , le procedure IT e i contratti con la filiera di fornitori, che devono adeguarsi per garantire che oltre alla realizzazione dei servizi, siano poi dedicate risorse con continuità nel tempo”.
