Monitoraggio sul corretto utilizzo del protocollo HTTPS e dei livelli di aggiornamento delle versioni dei CMS nei portali Istituzionali della PA
CMS HTTPS
I servizi digitali erogati dalla Pubblica Amministrazione sono cruciali per il funzionamento del sistema Paese.
La minaccia cibernetica cresce continuamente in quantità e qualità, determinata anche dall’evoluzione delle tecniche di ingegneria sociale volte a ingannare gli utenti finali dei servizi digitali sia interni alla PA che fruitori dall’esterno.
L’esigenza per la PA di contrastare tali minacce diventa fondamentale in quanto garantisce non solo la disponibilità, l’integrità e la riservatezza delle informazioni proprie del Sistema informativo della Pubblica Amministrazione, ma è il presupposto per la protezione del dato che ha come conseguenza diretta l’aumento della fiducia nei servizi digitali erogati dalla PA.
Considerando quindi che il punto di accesso ai servizi digitali è rappresentato dai portali Istituzionali delle Pubbliche Amministrazioni, al fine di realizzare un livello omogeneo di sicurezza, il capitolo 6 del piano triennale 2020-2022 definisce alcune azioni concrete in tale ambito.
In particolare l’obiettivo OB.6.2 – “Aumentare il livello di sicurezza informatica dei portali Istituzionali della Pubblica Amministrazione” -affronta puntualmente questa tematica con due risultati attesi:
- Incremento del numero dei portali istituzionali che utilizzano il protocollo HTTPS misurato tramite tool di analisi specifico;
- Massimizzare il numero dei Content Management System (CMS) non vulnerabili utilizzati nei portali Istituzionali delle PA, misurato tramite tool di analisi specifico
In virtù delle azioni preventive presidiate da AgID, il Cert-AgID ha sviluppato uno strumento di analisi specifico volto a monitorare l’utilizzo del protocollo HTTPS e il livello di aggiornamento dei CMS (Content Management System) utilizzati dai portali Istituzionali.
Tipologia delle PA monitorate
Partendo dell’Indice delle Pubbliche Amministrazioni IPA, nelle prime settimane del mese di dicembre 2020 sono stati monitorati tutti i 21.682 portali Istituzionali primari, escludendo gli eventuali sotto-domini presenti.
Risultati del monitoraggio sull’utilizzo del protocollo HTTPS
Tra i 21.682 portali Istituzionali sottoposti a monitoraggio, sono risultati correttamente raggiungibili esclusivamente 20.018 domini per i quali è stato possibile rilevare correttamente i parametri della connessione HTTPS.
Per poter controllare i 21.682 portali istituzionali è stato necessario interrogare 25.519 server, per un totale di 408.304 test effettuati.
I risultati del monitoraggio effettuato sui 20.018 portali Istituzionali è riportato nella figura seguente:
In particolare:
- 445 (2%) portali istituzionali risultano senza HTTPS abilitato;
- 13.297 (67%) hanno gravi problemi di sicurezza;
- 4.510 (22%) hanno un canale HTTPS mal configurato;
- 1.766 (9%) utilizzano un canale HTTPS sicuro.
Risultati del monitoraggio delle versioni dei CMS
Tra i 21.682 portali Istituzionali sottoposti a monitoraggio, sono risultati correttamente raggiungibili 20.050 portali Istituzionali, per i quali è stato possibile procedere con il monitoraggio della versione del CMS.
A fronte dei 20.050 portali Istituzionali sottoposti a monitoraggio solo 9.965 (49.7%) utilizzano un CMS tra i più diffusi (WordPress, Joomla, Drupal..ecc). Di questi, 2.738 (13.7%) portali Istituzionali, utilizzano un CMS aggiornato all’ultima versione disponibile alla data di monitoraggio, in 4.631 (23.1%) utilizzano una versione non aggiornata mentre per 2.596 (12.9%) la configurazione era tale da non rendere possibile il rilevamento della versione.
Azioni AgID
Il Cert-AgID, nel corso del 2021, continuerà a monitorare l’utilizzo del protocollo HTTPS e delle versioni dei CMS.
AgID provvederà a inviare un report informativo alle singole organizzazioni che risulteranno al di sotto del livello atteso indicato negli obiettivi del piano triennale, in modo da intraprendere un percorso utile alla mitigazione dei problemi riscontrati.
Questa attività è effettuata con lo scopo di ridurre i rischi di eventuali attacchi cyber e al contempo aumentare il livello della consapevolezza di tali rischi all’interno delle proprie organizzazioni.