siti web pubblica amministrazione Fonte foto: stokkete - stock.adobe.com
SICUREZZA INFORMATICA

13.297 siti Web della Pubblica Amministrazione sono pericolosi

La struttura governativa italiana di sicurezza informatica fa le pulci ai siti Web della PA: i risultati non sono affatto rassicuranti.

Quando visitiamo un sito di un Ente Pubblico siamo esposti a un rischio: il 67% dei portali Web della PA, infatti, ha almeno una falla di sicurezza grave, il 22% è mal configurato, il 2% non usa nemmeno il protocollo criptato HTTPS e solo il 9% è sicuro.

Questi dati non provengono da qualche opinabile report di una società di cybersecurity che vuol farsi pubblicità ma, paradossalmente, da un altro Ente Pubblico: il CERT, la struttura ufficiale italiana di cybersicurezza che fa capo alla Presidenza del Consiglio dei Ministri e che, tra i suoi compiti, ha anche quello di monitorare e “Aumentare il livello di sicurezza informatica dei portali Istituzionali della Pubblica Amministrazione“. Il monitoraggio è continuo e, a inizio 2021, stiamo messi ancora così.

Siti Web della PA: i dati del CERT

Il Computer Emergency Response Team ha analizzato a dicembre 21.682 portali istituzionali primari (cioè senza analizzare gli eventuali sotto-domini dei singoli portali), dei quali sono risultati raggiungibili 20.018 domini.

E già questo ci dice che ci sono ben 1.664 siti di Enti Pubblici totalmente abbandonati a sé stessi e non raggiungibili, sperando che al loro interno non ci siano dati interessanti per gli hacker. Ma anche quelli correttamente visitabili non stanno messi benissimo.

Se è vero che il 98% dei siti ha implementato l’HTTPS, ormai standard in tutto il Web globale, è altrettanto vero che 13.297 siti (il 67% del totale) ha almeno un problema di sicurezza. Nel dettaglio, questi sono i numeri rilevati a dicembre 2020 dal CERT analizzando i siti di Comuni, Regioni, Aziende Sanitarie Locali e migliaia di altri enti:

  • 445 (2%) portali istituzionali risultano senza HTTPS abilitato
  • 13.297 (67%) hanno gravi problemi di sicurezza
  • 4.510 (22%) hanno un canale HTTPS mal configurato
  • 1.766 (9%) utilizzano un canale HTTPS sicuro

Ma in cosa consistono questi “gravi problemi di sicurezza“?

Perché i siti della PA non sono sicuri

A chi si chiede per quale motivo la maggior parte dei siti degli Enti Pubblici non sia sicuro si potrebbe rispondere con una battuta: non hanno aggiornato WordPress. In realtà, come spiega il CERT, è una battuta solo in parte, e l’altra parte è realtà.

A fronte dei 20.050 portali Istituzionali sottoposti a monitoraggio – si legge nel report del CERT – solo 9.965 (49.7%) utilizzano un CMS tra i più diffusi (WordPress, Joomla, Drupal, etc etc). Di questi, 2.738 (13.7%) portali Istituzionali, utilizzano un CMS aggiornato all’ultima versione disponibile alla data di monitoraggio, in 4.631 (23.1%) utilizzano una versione non aggiornata mentre per 2.596 (12.9%) la configurazione era tale da non rendere possibile il rilevamento della versione“.

I CMS sono i “content management system“, i sistemi di gestione dei contenuti dei siti Web. Cioè il pannello di controllo del sito, l’interfaccia tramite cui è possibile creare nuove pagine Web e riempirle di testi, immagini, video e link.

Anche i CMS, che vengono caricati sui server dove risiedono tutti i dati dei siti Web, possono avere delle vulnerabilità sfruttabili dagli hacker per hackerare il sito. Per questo vanno aggiornati di continuo, esattamente come i sistemi operativi.

Cosa rischiano gli utenti

Se un sito Web, pubblico o privato, viene hackerato il rischio per l’utente è alto. Innanzitutto gli hacker possono avere accesso al database che contiene tutti i dati degli utenti registrati sul sito. Poi possono facilmente impostare un “redirect" che porta gli utenti, inconsapevolmente, verso altri siti pericolosi.

© Italiaonline S.p.A. 2021Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963