Il Cert-AgID, in virtù delle azioni preventive presidiate da AgID volte a garantire e aumentare il livello di sicurezza informatica dei portali Istituzionali della Pubblica Amministrazione, ha sviluppato uno strumento di analisi specifico volto a monitorare l’utilizzo del protocollo HTTPS e il livello di aggiornamento dei CMS (Content Management System) utilizzati dai portali Istituzionali.
“La minaccia cibernetica cresce continuamente in quantità e qualità, determinata anche dall’evoluzione delle tecniche di ingegneria sociale volte a ingannare gli utenti finali dei servizi digitali sia interni alla PA che fruitori dall’esterno.
L’esigenza per la PA di contrastare tali minacce diventa fondamentale in quanto garantisce non solo la disponibilità, l’integrità e la riservatezza delle informazioni proprie del Sistema informativo della Pubblica Amministrazione, ma è il presupposto per la protezione del dato che ha come conseguenza diretta l’aumento della fiducia nei servizi digitali erogati dalla PA”.
Tipologia delle PA monitorate
«Partendo dell’Indice delle Pubbliche Amministrazioni IPA, nelle prime settimane del mese di dicembre 2020 sono stati monitorati tutti i 21.682 portali Istituzionali primari, escludendo gli eventuali sotto-domini presenti.
Risultati del monitoraggio sull’utilizzo del protocollo HTTPS
Tra i 21.682 portali Istituzionali sottoposti a monitoraggio, sono risultati correttamente raggiungibili esclusivamente 20.018 domini per i quali è stato possibile rilevare correttamente i parametri della connessione HTTPS.
Per poter controllare i 21.682 portali istituzionali è stato necessario interrogare 25.519 server, per un totale di 408.304 test effettuati.
In particolare:
- 445 (2%) portali istituzionali risultano senza HTTPS abilitato;
- 13.297 (67%) hanno gravi problemi di sicurezza;
- 4.510 (22%) hanno un canale HTTPS mal configurato;
- 1.766 (9%) utilizzano un canale HTTPS sicuro.
Risultati del monitoraggio delle versioni dei CMS
Tra i 21.682 portali Istituzionali sottoposti a monitoraggio, sono risultati correttamente raggiungibili 20.050 portali Istituzionali, per i quali è stato possibile procedere con il monitoraggio della versione del CMS.
A fronte dei 20.050 portali Istituzionali sottoposti a monitoraggio solo 9.965 (49.7%) utilizzano un CMS tra i più diffusi (WordPress, Joomla, Drupal, ecc). Di questi, 2.738 (13.7%) portali Istituzionali, utilizzano un CMS aggiornato all’ultima versione disponibile alla data di monitoraggio, in 4.631 (23.1%) utilizzano una versione non aggiornata mentre per 2.596 (12.9%) la configurazione era tale da non rendere possibile il rilevamento della versione.
Azioni AgID
Il Cert-AgID, nel corso del 2021, continuerà a monitorare l’utilizzo del protocollo HTTPS e delle versioni dei CMS.
AgID provvederà a inviare un report informativo alle singole organizzazioni che risulteranno al di sotto del livello atteso indicato negli obiettivi del piano triennale, in modo da intraprendere un percorso utile alla mitigazione dei problemi riscontrati.
Questa attività è effettuata con lo scopo di ridurre i rischi di eventuali attacchi cyber e al contempo aumentare il livello della consapevolezza di tali rischi all’interno delle proprie organizzazioni».
