Sicurezza a rischio per i portali della PA. Il 2% dei domini “pubblici” non ha Https, il 67% presenta “gravi problemi di sicurezza”, il 22% dei siti sono mal configurati. Solo il 9% sono “sufficientemente sicuri”.
Emerge dal monitoraggio condotto da Agid – rese note sul sito di Cert-Agid – sul corretto utilizzo del protocollo Https e dei livelli di aggiornamento delle versioni dei Cms dei portali istituzionali delle amministrazioni censite in Ipa (l’Indice PA): l’analisi è stata realizzata nell’ambito delle azioni sulla sicurezza contenute nel Piano triennale per l’informatica nelle PA 2020-2022. L’attività è effettuata con lo scopo di “ridurre i rischi di eventuali attacchi cyber e al contempo aumentare il livello della consapevolezza di tali rischi all’interno delle proprie organizzazioni”.
Il monitoraggio Agid
Nelle prime settimane di dicembre 2020 sono stati monitorati 21.682 portali istituzionali primari, escludendo gli eventuali sotto-domini presenti.
Tra i portali sottoposti a monitoraggio, sono risultati correttamente raggiungibili esclusivamente 20.018 domini per i quali è stato possibile rilevare correttamente i parametri della connessione Https. Per poter controllare i 21.682 portali istituzionali è stato necessario interrogare 25.519 server, per un totale di 408.304 test effettuati.
A fronte dei 20.050 portali Istituzionali sottoposti a monitoraggio solo 9.965 (49.7%) utilizzano un Cms tra i più diffusi (WordPress, Joomla, Drupal ecc). Di questi, 2.738 (13.7%) portali Istituzionali, utilizzano un Cms aggiornato all’ultima versione disponibile alla data di monitoraggio, in 4.631 (23.1%) utilizzano una versione non aggiornata mentre per 2.596 (12.9%) la configurazione era tale da non rendere possibile il rilevamento della versione.
Nel corso del 2021 il Cert-AgID continuerà a monitorare l’utilizzo del protocollo Https e delle versioni dei Cms per intraprendere un percorso utile alla mitigazione dei problemi riscontrati.
Obiettivo protezione dei dati
“La minaccia cibernetica cresce continuamente in quantità e qualità – fa sapere Agid -, determinata anche dall’evoluzione delle tecniche di ingegneria sociale volte a ingannare gli utenti finali dei servizi digitali sia interni alla PA che fruitori dall’esterno”.
L’esigenza per la PA di contrastare minacce diventa fondamentale in quanto garantisce non solo la disponibilità, l’integrità e la riservatezza delle informazioni proprie del Sistema informativo della Pubblica Amministrazione, ma è il presupposto per la protezione del dato che ha come conseguenza diretta l’aumento della fiducia nei servizi digitali erogati dalla PA.