Il 22 ottobre 2021 AgID ha pubblicato i dati sul monitoraggio dei sistemi della PA, un report che affronta anche tematiche sulla sicurezza e i risultati non sono andati benissimo.
Il report era qualcosa di atteso e, si potrebbe dire, con una certa trepidazione essendo questi risultati particolarmente rilevanti. La stessa AgID, in un articolo pubblicato sul portale, spiega molto bene quali sono i risultati ottenuti dall’analisi.
La situazione lato HTTPS appare nettamente migliorata, evidenziando come le problematiche di sicurezza legate a questo aspetto siano spesso dovute ad una cura delle configurazioni a volte poco attenta. […[ Sul lato dei CMS la situazione non è migliorata: i siti con CMS in versione aggiornata sono passati dal 13,7% del totale all’8,3%.
Fonte: AgID
Il grafico riportato all’interno del report “Utilizzo del protocollo https nei siti della pubblica amministrazione“di AgID mostra la classificazione adoperata.:
- Assenza di protocollo HTTPS
- Configurazioni “Gravi”
- Sistemi mal configurati
- Sistemi sicuri
E non può non saltare all’occhio che i mal configurati sono comunque un valore ancora molto altro per non contare di quelli che vertono in situazione “grave” (per l’appunto il 53%). Sul fronte dei CMS, ossia i software utilizzati per presentare sul web portali con notizie, dati, informazioni, etc…, la situazione è forse ancora più preoccupante ma assolutamente nota da almeno 6-7 anni.
E’ quindi indispensabile, durante lo sviluppo di progetti dei sistemi informativi, garantire che le scelte implementative fatte non compromettano la possibilità di aggiornare costantemente il CMS che viene utilizzato.
Fonte: AgID
È una condizione che è stata resa nota proprio grazie anche ai numerosi attacchi fatti dai collettivi italiani (Anonymous Italia, LulzSec_ITA, etc…) che negli anni hanno mostrato un pericoloso atteggiamento di negligenza nei confronti degli aggiornamenti a questi portali. Il pregevole lavoro di AgID mostra uno scenario noto agli addetti ai lavori che, si spera, sia prossimo alla risoluzione.
CMS e plugin non aggiornati sono uno dei principali vettori di attacco utilizzati dai malintenzionati. Questi software sono continuamente sotto la lente dei criminali che, con poco o nessun sforzo, possono rilevarli (esistono numerosi strumenti in grado di rilevare versioni obsolete e vulnerabilità nei cms ed i relativi plugin) e lanciare attacchi a tappeto verso un gran numero di siti.
Fonte: AgID