L’ultimo rapporto Cert-AgID sulla sicurezza dei siti pubblici, uscito nel mese di dicembre, si può dire preoccupante. 

Definito il “monitoraggio sul corretto utilizzo del protocollo HTTPS e dei livelli di aggiornamento delle versioni dei CMS nei portali istituzionali della PA”, conferma le peggiori paure sulla sicurezza dei nostri dati affidati agli enti pubblici.

In questo rapporto si riassumono i risultati di una grande indagine sullo stato della sicurezza di più di 20.000 siti istituzionali della Pubblica Amministrazione. Il tema è assai rilevante in quanto il protocollo HTTPS è diventato in pochi anni un punto molto importante dell’attività di messa in sicurezza dei siti internet, tanto che si è più volte discusso dell’opportunità di intraprendere delle azioni concrete al fine di abbandonare completamente il protocollo non sicuro HTTP.

Il secondo aspetto, invece, riguarda nello specifico due obbiettivi: da una parte quello di censire l’utilizzo di CMS al fine di limitare il proliferare di soluzioni personalizzate per la gestione dei portali; dall’altra quello di verificare la sicurezza dal punto di vista degli aggiornamenti periodici delle piattaforme.

L’utilizzo del protocollo HTTPS è diventato al giorno d’oggi un requisito fondamentale per la sicurezza dei siti web, poiché garantisce l’aspetto della confidenzialità della comunicazione tra le due parti e quello dell’autenticazione degli stessi. Oltre a prevenire che la trasmissione di informazioni possa essere intercettata o che vi possano essere inserite informazioni malevoli, permette anche di verificare che il server che risponde alle richieste sia effettivamente il destinatario e non un dispositivo ostile interposto tra le due parti della connessione.

La verifica dei CMS è finalizzata al censimento degli strumenti utilizzati al fine di identificare quelli che potrebbero essere sostituiti con strumenti standard o più moderni, e ad uniformare ed ottimizzare l’adozione di un software comune tra le varie PA, rendendo meno difficile la manutenzione e consolidando le competenze. Ad oggi, il numero di siti monitorati è molto ampio, sebbene non siano stati analizzati molti sottodomini e dunque esso sia in parte incompleto.

Ciò che colpisce di più del report è che il 67% del totale dei server risulti avere vulnerabilità gravi. Purtroppo non è specificato da cosa siano dovute, ma si può intuire che la maggior parte di esse riguardino l’utilizzo di protocolli e cifrature obsolete e rifiutate dalle ultime versioni dei browser o l’uso scorretto dei certificati, o peggio, addirittura scaduti.

Per quanto riguarda i CMS, salta all’occhio l’utilizzo piuttosto limitato di piattaforme standard. Questo pone un grosso problema per quanto riguarda la manutenibilità e la continuità dei software, in quanto l’uso di un CMS non standard fa dipendere la manutenzione del portale da un singolo fornitore che detiene sia le competenze che la capacità di aggiornare e correggere le vulnerabilità. Inoltre, dei server che fanno uso di CMS standard, solo alcuni hanno una versione sicuramente aggiornata, mentre i rimanenti o non sono aggiornati o non rilevabili.

Tuttavia, si deve dar atto ad AgID, che sta svolgendo un ottimo lavoro di sorveglianza e che l’introduzione di CSIRT è stato un passo in avanti importante per la difesa dei siti istituzionali, delle loro funzionalità e soprattutto dei dati dei cittadini.