La struttura governativa italiana di sicurezza informatica fa le pulci ai siti Web della PA: i risultati non sono affatto rassicuranti.
Quando visitiamo un sito di un Ente Pubblico siamo esposti a un rischio: il 67% dei portali Web della PA, infatti, ha almeno una falla di sicurezza grave, il 22% è mal configurato, il 2% non usa nemmeno il protocollo criptato HTTPS e solo il 9% è sicuro.
Questi dati non provengono da qualche opinabile report di una società di cybersecurity che vuol farsi pubblicità ma, paradossalmente, da un altro Ente Pubblico: il CERT, la struttura ufficiale italiana di cybersicurezza che fa capo alla Presidenza del Consiglio dei Ministri e che, tra i suoi compiti, ha anche quello di monitorare e “Aumentare il livello di sicurezza informatica dei portali Istituzionali della Pubblica Amministrazione“. Il monitoraggio è continuo e, a inizio 2021, stiamo messi ancora così.
Siti Web della PA: i dati del CERT
Il Computer Emergency Response Team ha analizzato a dicembre 21.682 portali istituzionali primari (cioè senza analizzare gli eventuali sotto-domini dei singoli portali), dei quali sono risultati raggiungibili 20.018 domini.
E già questo ci dice che ci sono ben 1.664 siti di Enti Pubblici totalmente abbandonati a sé stessi e non raggiungibili, sperando che al loro interno non ci siano dati interessanti per gli hacker. Ma anche quelli correttamente visitabili non stanno messi benissimo.
Se è vero che il 98% dei siti ha implementato l’HTTPS, ormai standard in tutto il Web globale, è altrettanto vero che 13.297 siti (il 67% del totale) ha almeno un problema di sicurezza. Nel dettaglio, questi sono i numeri rilevati a dicembre 2020 dal CERT analizzando i siti di Comuni, Regioni, Aziende Sanitarie Locali e migliaia di altri enti:
- 445 (2%) portali istituzionali risultano senza HTTPS abilitato
- 13.297 (67%) hanno gravi problemi di sicurezza
- 4.510 (22%) hanno un canale HTTPS mal configurato
- 1.766 (9%) utilizzano un canale HTTPS sicuro
Ma in cosa consistono questi “gravi problemi di sicurezza“?
Perché i siti della PA non sono sicuri
A chi si chiede per quale motivo la maggior parte dei siti degli Enti Pubblici non sia sicuro si potrebbe rispondere con una battuta: non hanno aggiornato WordPress. In realtà, come spiega il CERT, è una battuta solo in parte, e l’altra parte è realtà.
“A fronte dei 20.050 portali Istituzionali sottoposti a monitoraggio – si legge nel report del CERT – solo 9.965 (49.7%) utilizzano un CMS tra i più diffusi (WordPress, Joomla, Drupal, etc etc). Di questi, 2.738 (13.7%) portali Istituzionali, utilizzano un CMS aggiornato all’ultima versione disponibile alla data di monitoraggio, in 4.631 (23.1%) utilizzano una versione non aggiornata mentre per 2.596 (12.9%) la configurazione era tale da non rendere possibile il rilevamento della versione“.
I CMS sono i “content management system“, i sistemi di gestione dei contenuti dei siti Web. Cioè il pannello di controllo del sito, l’interfaccia tramite cui è possibile creare nuove pagine Web e riempirle di testi, immagini, video e link.
Anche i CMS, che vengono caricati sui server dove risiedono tutti i dati dei siti Web, possono avere delle vulnerabilità sfruttabili dagli hacker per hackerare il sito. Per questo vanno aggiornati di continuo, esattamente come i sistemi operativi.
Cosa rischiano gli utenti
Se un sito Web, pubblico o privato, viene hackerato il rischio per l’utente è alto. Innanzitutto gli hacker possono avere accesso al database che contiene tutti i dati degli utenti registrati sul sito. Poi possono facilmente impostare un “redirect" che porta gli utenti, inconsapevolmente, verso altri siti pericolosi.