ServizioContenuto basato su fatti, osservati e verificati dal reporter in modo diretto o riportati da fonti verificate e attendibili.Scopri di piùIl monitoraggio Agid

Cybersicurezza, i siti pubblici sicuri passano da 4mila a 9mila

Ma solo un quarto dei siti utilizza una versione del software con l’ultimo aggiornamento

di Margherita Ceci

(AdobeStock)

3' di lettura

La cyber security fa passi avanti dentro i palazzi della pubblica amministrazione. I dati Agid 2022 confermano il trend positivo già registrato lo scorso anno, e lo fanno con riscontri notevoli: i siti della Pa considerati sicuri, che utilizzano cioè un corretto protocollo Https, sono più che raddoppiati rispetto al 2021, e addirittura quadruplicati rispetto al 2020.

I numeri

Come previsto dal Piano triennale per l’informatica nella Pubblica amministrazione, l’Agenzia per l’Italia digitale ha monitorato dal 2020 a oggi l’utilizzo di protocolli Https adeguati e lo stato di aggiornamento dei Cms (software per la gestione di contenuti web che non richiedono competenze specifiche di programmazione) nei siti della Pa. Quest’anno, i siti sicuri sono 9.022, a fronte dei 4.149 del 2021, mentre diminuisce dal 53% al 41% la percentuale di siti con gravi problemi, la cui configurazione Https risulta facilmente aggirabile. Scende anche il numero di siti mal configurati, che hanno cioè una configurazione Https non idonea agli standard moderni: dal 23% del 2021 all’11% di quest’anno. I siti che non sono proprio dotati di Https poi rappresentano una fetta piccolissima: l’1% del totale.

Loading...

Non abbassare la guardia

Un trend positivo che tuttavia non deve far abbassare la guardia, avvertono Giovanni Amato e Saverio Mastropierro, curatori del monitoraggio: «Sicuramente c’è stato un miglioramento, ma questo non ci deve per nulla tranquillizzare. Il fatto che la situazione sia migliorata non vuol dire che stia andando bene, ma che rispetto a prima quando eravamo a zero, ora siamo a un buon punto. Per esempio, per quanto riguarda i Cms quasi la metà dei domini non sono aggiornati all’ultima release».

I software aggiornati (pochi)

E in effetti i dati parlano chiaro: solo un quarto dei siti utilizza una versione del Cms con l’ultimo aggiornamento, e nonostante la crescita sia dell’8% rispetto al 2021, bisogna tenere conto che il 2021 sul 2020 aveva registrato un calo del 52 per cento. Tuttavia, non di tutti i siti è stato possibile effettuare la rilevazione: «Un Cms normalmente espone la sua versione – spiegano –. Se non lo fa significa che è stato utilizzato un plugin di sicurezza che va a disabilitare l’esposizione della versione per evitare che qualcuno possa effettuare scansioni per individuare una versione obsoleta e approfittarne. Quindi da un certo punto di vista il fatto di che il 21% dei Cms monitorati non esponessero la versione, può essere inteso come un valore positivo: significa che hanno avuto l’accortezza di installare un plugin per tutelarsi da eventuali Bot, strumenti automatici in grado di scandire e rilevare la versione per sfruttare le vulnerabilità di un vecchio Cms e comprometterlo».

Una spinta da Google

In generale comunque, la spinta rimane positiva. Complice da un lato Google, che penalizza i domini sprovvisti di un protocollo sicuro e ha quindi spinto indirettamente gli enti ad aggiornare i protocolli Https dei propri siti; dall’altro lo stesso monitoraggio Agid, con il quale le amministrazioni hanno preso atto della loro situazione e intrapreso azioni correttive laddove necessario. Monitoraggio che dal prossimo anno passerà nelle mani della neonata Acn, Agenzia per la cybersicurezza nazionale, istituita dal decreto legge 82/2021.

L’autoverifica

Intanto, sul sito Agid è ancora disponibile il servizio per la autoverifica della configurazione Https e Cms con cui le amministrazioni possono farsi scandire in ogni momento per rilevare lo “stato di salute” della loro cyber security. Un servizio utile soprattutto per gli enti più piccoli, spesso in difficoltà nell’investire nella sicurezza. «Le amministrazioni centrali – spiegano i due esperti – sono messe meglio, hanno un occhio di riguardo in più verso la sicurezza, hanno più soldi, possono investirci. Le amministrazioni locali invece faticano, non riescono a trovare i fondi e la sicurezza viene vista non come un investimento ma come una spesa. Nonostante questo, comunque noi lavoriamo con chi non riesce ad avere una struttura capace di difendersi – come le Asl ad esempio, che economicamente non sono messe molto bene – per garantire un livello minimo di sicurezza, individuando gli “indicatori di compromissione”, ovvero Url, domini, che possono essere malevoli.

Riproduzione riservata ©

loading...

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti