Nonostante i miglioramenti, i sistemi di sicurezza informatica della PA sono ancora insufficienti. Lo dice l’AgID, nel secondo monitoraggio dello stato di aggiornamento del protocollo HTTPS e dei CMS.
Se, da un lato, aumenta la percentuale di siti che utilizzano il protocollo HTTPS (dal 9% al 22%), dall’altro peggiora quella dei siti dotati di CMS aggiornati (dal 13,7% all’8,3%).
IL MONITORAGGIO DI AGID
L’attività di monitoraggio sull’uso del protocollo HTTPS e sull’aggiornamento dei CMS nella PA fa parte del Piano Triennale per l’informatica nella Pubblica Amministrazione.
La pubblicazione dei risultati del primo monitoraggio risale al 5 dicembre 2020, mentre i dati del secondo monitoraggio sono stati diffusi il 30 settembre scorso.
COSA SONO HTTPS E CMS
CMS
CMS è l’acronimo di Content Management System.
Un CMS è un “sistema” che permette di gestire un sito web, consentendo agli utenti autorizzati di creare, modificare o cancellare elementi dello stesso.
Semplificando molto la questione, se il CMS non viene aggiornato, risulta più vulnerabile agli attacchi dei cybercriminali che possono individuare più facilmente le password di accesso e, quindi, estrapolare i dati in esso contenuti.
HTTPS
HTTPS, ovvero Hypertext Transfer Protocol Secure, è un protocollo che protegge l’integrità e la riservatezza delle comunicazioni tra siti web e computer. Permette, attraverso la crittografia, di scambiare dati in modo protetto e privato, perché solo gli elementi che interagiscono possono accedere al contenuto della comunicazione.
È la versione più sicura e certificata del protocollo HTTP che vediamo da sempre negli URL, gli indirizzi internet.
Nel suo monitoraggio, AgID ha testato più di 19.000 siti di enti pubblici:
– il 2% non ha l’HTTPS,
– il 53% mostra gravi problemi di sicurezza,
– il 23% è mal configurato,
– solo il 22% è sufficientemente sicuro.
PERCHÈ SONO IMPORTANTI PER LA SICUREZZA INFORMATICA
I siti della PA raccolgono dati personali degli utenti, per tale motivo è richiesto un livello di sicurezza e protezione molto alto.
Sebbene dotarsi di HTTPS e aggiornare i CMS non siano gli unici elementi in grado di garantire la sicurezza informatica, essi rappresentano il minimo che ci si possa aspettare.
SERVONO MIGLIORAMENTI
Pierluigi Paganini, analista di cyber security e CEO, ha commentato così la situazione a Cybersecurity360:
«I dati mostrano un progresso che tuttavia è lontano dagli obiettivi di una PA sicura. Sono evidenti miglioramenti ma ancora troppi servizi non sono sicuri. Il dato sui CMS è sconfortante in quanto proprio le versioni vulnerabili in uso da molti siti possono agevolare incursioni di attori malevoli. Se consideriamo la pandemia e il maggiore ricorso a servizi online da parte dei cittadini, direi che si è fatto poco per farli operare in sicurezza».
Cosa fare per migliorare la situazione?
Stefano Zanero, professore associato di Computer Security al Politecnico di Milano, suggerisce quanto segue:
«Ne usciamo con un percorso molto lungo, che comincia dalla formazione del personale interno addetto e da una infusione di personale proveniente dal privato. Un po’ come le quote dedicate alla safety nei lavori pubblici, dovremmo iniziare ad avere quote incomprimibili delle gare della PA dedicate alla cyber security».
Formazione, competenze e consapevolezza sono dunque le parole d’ordine.
Qui il link al secondo monitoraggio dello stato di aggiornamento del protocollo HTTPS e dei CMS sui sistemi della PA.
Hai dubbi sulla tua sicurezza informatica del tuo sito? Scopri i servizi di Servicematica.
Iscriviti al canale Telegram di Servicematica
Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.
——–
LEGGI ANCHE:
Autenticazione a due fattori per la sicurezza degli account digitali
