Molto preoccupante il rapporto Cert-Agid sulla sicurezza dei siti pubblici uscito il 18 dicembre. Si chiama “Monitoraggio sul corretto utilizzo del protocollo HTTPS e dei livelli di aggiornamento delle versioni dei CMS nei portali Istituzionali della PA” e conferma le nostre peggiori paure sulla sicurezza dei nostri dati affidati agli enti pubblici; al tempo stesso confermano il modo “vecchio stampo”, frammentato e non cybersecurity-by-design con cui continua a ragionare la PA; perlomeno, quella locale.
E di questi tempi non ce lo possiamo permettere. Vediamo perché.
Il rapporto Agid-Cert sui siti della PA
In tale rapporto si riassumono i risultati di una grande indagine sullo stato della sicurezza di più di 21mila siti istituzionali della Pubblica Amministrazione, riguardante nello specifico lo stato dell’utilizzo del protocollo HTTPS e la tipologia dei CMS utilizzati.
Il tema è assai rilevante, in quanto il protocollo HTTPS è diventato in pochi anni un punto assai importante dell’attività di messa in sicurezza dei siti internet, tanto che si è più volte discusso dell’opportunità di intraprendere delle azioni concrete al fine di abbandonare completamente il protocollo non sicuro HTTP.
Il secondo aspetto invece riguarda più concretamente due obiettivi, in primis quello di censire l’utilizzo di CMS al fine di limitare il proliferare di soluzioni custom per la gestione dei portali, dall’altra quello di verificarne la sicurezza dal punto di vista degli aggiornamenti periodici delle piattaforme.
I problemi dei siti pubblici
L’uso di HTTPS è diventato ormai un requisito minimo di sicurezza di siti web e portali.
HTTPS garantisce l’aspetto della confidenzialità della comunicazione tra le due parti e quello dell’autenticazione degli stessi. Oltre a prevenire che “occhi indiscreti” possano intercettare la trasmissione di informazioni confidenziali o iniettare informazioni malevole, HTTPS permette anche di verificare che il server che risponde alle richieste sia effettivamente il destinatario delle stesse e non un dispositivo ostile interposto tra le due parti della connessione. Infine esso permette anche l’autenticazione del Client, sebbene il suo uso in tal senso sia più raro in quei contesti di servizi forniti all’ampio pubblico.
La verifica dei CMS, invece, è finalizzata a vari aspetti. In primis, il censimento degli strumenti utilizzati al fine di identificare quelli che potrebbero essere magari sostituiti con strumenti standard, o più moderni, o più mantenuti; dall’altra uniformare ed ottimizzare l’adozione di software comune tra le varie PA, rendendo meno difficile la manutenzione e consolidando il Know How.
I numeri del monitoraggio
Il numero di siti monitorati è davvero molto grande, sebbene non siano stati analizzati molti sottodomini e dunque esso sia in parte incompleto.
Sono stati monitorati 21.682 portali istituzionali afferenti alle principali Pubbliche amministrazioni inserite nell’indice delle PA (IPA). Ad essi rispondono un totale di 25.519 server, che hanno reso necessaria l’esecuzione di un totale di più di 400mila test.
I risultati che preoccupano
I risultati non sono stati troppo confortanti.
Per quanto riguarda il protocollo HTTPS, solo 445 server non risultano utilizzarlo, pari a un 2%. Dei restanti, solo 1.766 (9% del totale) sono risultati completamente sicuri sotto il punto di vista dell’implementazione di tutti i protocolli e le configurazioni. Colpisce che il 67% del totale dei server risulti avere vulnerabilità gravi.
Cosa si intende per vulnerabilità gravi non è chiaro dal report, ma si può intuire che la maggior parte di esse riguardino l’utilizzo di protocolli e cifrature obsolete e rifiutate dalle ultime versioni dei browser (ad esempio TLS 1.0 e 1.1) o l’uso scorretto di certificati, ad esempio self signed equivalente in pratica a non avere alcun HTTPS o, peggio, scaduti.
Per quanto riguarda l’uso di CMS, salta all’occhio l’uso piuttosto limitato di piattaforme standard, per circa 9900 siti su quasi 21000 (49.7%), con netta preferenza per la triade Wordpress, Joomla e Drupal. Questo pone un grosso problema per quanto riguarda la manutenibilità e la continuità dei software, in quanto l’utilizzo di un CMS non standard fa dipendere la manutenzione del portale da un singolo fornitore che detiene sia il know how che la capacità di aggiornare e correggere le vulnerabilità.
Dei server che fanno uso di CMS standard, pochi hanno una versione sicuramente aggiornata (circa 2700 pari al 13% del totale), mentre i rimanenti sono o non aggiornati (23%) o non rilevabili. Sebbene la pratica di mascherare la versione del software sia considerata una buona pratica al fine di rendere più difficile l’identificazione delle vulnerabilità, in questo contesto è opportuno considerarlo un punto d’incognita.
Conclusioni
Purtroppo i risultati dell’indagine non sorprendono più di tanto, soprattutto dopo la pessima performance dei servizi nell’implementare progetti importanti come il clickday di INPS e del bonus mobilità, e il cashback di dicembre.
Tuttavia si deve dar atto che AgID sta facendo un ottimo lavoro di sorveglianza e che l’introduzione di CSIRT è stato un passo in avanti importante. L’introduzione di agenzie di Incident Response locali, ossia i cosiddetti CERT regionali, sarà un ulteriore passo per rafforzare la difesa dei siti istituzionali, delle loro funzionalità e soprattutto dei dati dei cittadini.
Si spera che questo sia un primo passo verso un serio contrasto del vero Digital Divide Italiano, che non è, come comunemente si pensa, limitato alla mancanza di connettività, ma in forma molto più grave, la mancanza di una cultura digitale diffusa, anche e soprattutto tra chi ha responsabilità decisionale.
