Studio Cert-Agid

Software e sistemi della PA sono vecchi, vulnerabili: il problema

Il quadro che emerge dal monitoraggio del CERT-AgID relativamente allo stato di salute dei sistemi della pubblica amministrazione italiana è preoccupante e la superficie di attacco è decisamente ampia. Non c’è da stare tranquilli, ma non tutto il male vien per nuocere. Vediamo perché

15 Nov 2021
Antonio Cisternino

Università di Pisa

Security Solutions - Global Security - Online Security - House Security

L’obsolescenza di software e sistemi utilizzati nelle nostre pubbliche amministrazioni offre ancora una superficie di attacco molto ampia, che sarà sfruttata nei prossimi anni, e altri servizi saranno bloccati da episodi analoghi a quello che è avvenuto in Regione Lazio lo scorso agosto.

Il quadro è quello emerso dal monitoraggio periodico  dell’uso del protocollo HTTPS e dei CMS nei portali della pubblica amministrazione, previsto dal piano triennale per l’informatica nella pubblica amministrazione  nell’obiettivo OB.6.2.

Il 22 ottobre il CERT-AgID ha pubblicato i dati relativi alla seconda rilevazione effettuata per fotografare lo stato di 19.130 domini testati. Non si tratta dell’unica attività svolta dal CERT-Agid, vi sono altre interessanti informazioni sul sito come, ad esempio, l’analisi dei server della PA usando il motore di ricerca Shodan, oppure l’analisi delle 10 famiglie di malware che hanno interessato l’Italia nel primo semestre del 2021.

Il monitoraggio è un’attività essenziale per assicurare la sicurezza dei sistemi, le misure minime di sicurezza di AgID prevedono infatti l’obbligo di effettuare penetration test al fine di individuare vulnerabilità note nei sistemi della PA, ma l’attività condotta da AgID su scala nazionale offre chiavi di lettura meno dettagliate che però consentono di avere un quadro sullo stato complessivo del sistema PA Italia.

Cerchiamo di cogliere gli aspetti principali dei due report su HTTPS, CMS e server per farsi un quadro sullo stato dei servizi della PA italiana.

Cybersicurezza e privacy, così la PA italiana può vincere la partita del secolo

Nessuna PA è sola di fronte al malware

Il valore di questi dati non è solo qualitativo/quantitativo, ma anche “liberatorio” nel senso che ciascuna amministrazione può cercare di capire dove realmente si trova sapendo di non essere sola, anche se magari in una situazione critica. Troppo spesso le violazioni in cybersecurity vengono occultate o minimizzate per non rovinare l’immagine di un’organizzazione, creando un terreno fertile per gli attaccanti a causa della minimizzazione e sottovalutazione dei problemi. Purtroppo, la cultura “punitiva” in Italia è ancora molto diffusa, e gli stessi amministratori che privilegiano le funzioni di un sistema e spesso si preoccupano solo marginalmente della sua sicurezza sono i primi a condannare lo stato di sistemi che hanno contribuito a creare concentrando le risorse solo su aspetti funzionali e considerando la spesa legata alla sicurezza meno importante del resto del budget.

WHITEPAPER
Intelligent Business Process Automation: perché serve alle aziende
CIO
Cloud

Qualche buona notizia in un quadro preoccupante

Un attacco informatico cerca sempre l’anello più debole di un sistema, e per gli attacchi che non sono concentrati su una particolare organizzazione/individuo è decisamente più conveniente per l’attaccante cercare sistemi facili da penetrare, o a causa di problemi di sicurezza procedurale (come, ad esempio, impiegati che sono ingannati da messaggi di posta elettronica di phishing) oppure di vulnerabilità note in sistemi non aggiornati.

Così come esistono motori di ricerca per verificare se password legate a specifici account si trovano nel dark Web, si stanno affermando servizi che monitorano servizi pubblici su Internet leggendo dati per scoprire versioni di software e sistemi operativi di server con indirizzo IP pubblico. È il caso del sito shodan.io utilizzato da CERT-Agid nell’analisi di server legati ai domini della PA così come appaiono su Indice PA.

Il rapporto del CERT-AgID sull’analisi dei dati di Shodan descrive la metodologia usata per l’analisi i cui risultati sono sicuramente interessanti. Un primo dato degno di nota è riportato nel seguente grafico che mostra la peggior vulnerabilità per IP trovata e che evidenzia come il 79% dei 62.749 indirizzi IP della PA (o quantomeno quelli individuati) non abbia vulnerabilità note. Si tratta di un numero sicuramente importante, ma i restanti 13.177 indirizzi IP che hanno almeno una vulnerabilità mostrano un quadro preoccupante, anche perché quando confrontati con i 22.842 enti accreditati su IPA si ha un’idea della dimensione del problema.

Le vulnerabilità per singolo indirizzo IP mostrano solo il livello massimo di gravità delle vulnerabilità per ciascun indirizzo analizzato. È possibile però che un server abbia più vulnerabilità coesistenti, anche se non tutte facilmente utilizzabili per condurre attacchi ai siti di un’organizzazione.

Il secondo grafico mostra come sono effettivamente ripartite le vulnerabilità trovate tra i vari livelli di severità e quindi di rischio. Come è lecito aspettarsi vi sono più vulnerabilità per sistema e i tre quarti hanno un livello di rischio medio.

Se le vulnerabilità critiche o a rischio elevato spesso consentono l’esecuzione di codice dall’esterno senza particolari ausili le vulnerabilità di criticità media sono quelle che consentono a un attaccante di muoversi all’interno di una rete una volta preso il controllo di un account utente, sono quindi molto pericolose in combinazione con attacchi basati su phishing mirati a utenti di un’organizzazione.

L’anno di scoperta delle vulnerabilità rilevate consente indirettamente di misurare il livello di obsolescenza dei sistemi utilizzati dalla PA mostrando come il livello di aggiornamento dei sistemi (e i sistemi stessi) sono ancora vulnerabili a vulnerabilità scoperte a partire dal 2010. Si può quindi desumere che molti dei servizi sono ospitati su sistemi che hanno fino a 10 anni di età e senza politiche di aggiornamento dei software che evitino un’esposizione così rilevante per eventuali attaccanti.

La diffusione della virtualizzazione ha sicuramente contribuito allo sviluppo di questo scenario: l’aggiornamento di server e storage, o la migrazione nel cloud, è trasparente al sistema operativo di una macchina virtuale. L’aggiornamento dei software non è quindi più spinto dall’adeguamento tecnologico che per tanti anni ha spinto gli utenti ad aggiornare i propri sistemi.

CMS e protocollo HTTPS

Una particolare attenzione va ai Content Management Systems (CMS), ovverosia a quei sistemi che consentono di editare il contenuto di siti Web interattivamente e che sono ormai quasi sempre alla base di siti Web della pubblica amministrazione italiana. Si tratta di un aspetto essenziale da un punto di vista della sicurezza poiché i siti Web costituiscono uno dei principali punti di attacco poiché per definizione sono pubblici (anche se magari accessibili solo mediante l’uso di apposite credenziali). Il livello di aggiornamento e di robustezza rappresenta una fotografia del livello di protezione delle pubbliche amministrazioni.

Come è lecito attendersi la maggior parte dei CMS trovati dal rapporto è basato su WordPress, seguito da Joomla e Drupal. La lista delle varie tipologie è però molto interessante poiché mostra un’ampia gamma di scelte e in alcuni casi CMS ormai obsoleti.

È il livello di aggiornamento di questi software che però desta maggior preoccupazione, tra la prima e la seconda rilevazione di AgID si osserva un peggioramento della situazione in soli 10 mesi:

È sicuramente complesso per un’organizzazione assicurare l’aggiornamento di tutti i siti in uso, anche perché spesso lo sviluppo segue percorsi orientati a progetto invece di perseguire una gestione più olistica del patrimonio informativo, portando a servizi non più mantenuti che però non si vogliono chiudere poiché ancora contenenti informazioni potenzialmente utili.

In ogni caso è importante monitorare lo stato dei CMS della propria organizzazione poiché si tratta spesso di software che contengono nei propri DB informazioni personali che potrebbero richiedere l’apertura di una procedura di data breach come previsto dal GDPR in caso di compromissione.

Se il CMS è importante per la sicurezza, il protocollo usato per trasferire i dati evitando fughe di dati e attacchi “man in the middle” lo è altrettanto. Negli ultimi anni si è spinto molto per privilegiare l’uso del protocollo HTTPS invece che del protocollo HTTP al fine di assicurare che i dati trasferiti siano crittografati.

La buona notizia è che la maggior parte dei siti analizzati fa uso del protocollo HTTPS, anche se la maggior parte esibisce problemi gravi di sicurezza, anche se con un miglioramento significativo tra la prima e la seconda rilevazione effettuata.

La sicurezza delle comunicazioni è sempre più importante, soprattutto per quei siti che effettuano operazioni “dispositive” su richiesta del cittadino o consentono di scaricare dati riservati. L’adeguamento del protocollo HTTPS può richiedere l’aggiornamento di un Web Server e questo può bloccare l’esecuzione di software obsoleti, rendendo quindi oneroso l’aggiornamento che viene rimandato in analogia a quanto accade per i CMS.

In conclusione

Il quadro che emerge dal monitoraggio del CERT-AgID relativamente allo stato di salute dei sistemi della pubblica amministrazione italiana è preoccupante e la superficie di attacco è decisamente ampia. Da un certo punto di vista questa può essere anche una buona notizia, con un oceano di sistemi attaccabili diminuisce di conseguenza la probabilità di essere attaccati ma non c’è certo da esser contenti della situazione.

Il profilo di rischio va poi considerato in un contesto più ampio, visto che la penetrazione in un sistema connesso alla rete pubblica è il primo passo per poi accedere alla rete privata di un’organizzazione e quindi poi mirare ad acquisire dati per poi effettuare un qualche ricatto come nel caso dei ransomware.

L’attività di monitoraggio è un’attività essenziale e come si vede nel caso dell’analisi di CMS e HTTPS con sole due rilevazioni è possibile avere un’idea dell’evoluzione di un sistema complesso e influenzare quindi i processi decisionali per migliorare lo stato.

Si tratta comunque di un percorso che parte dal riconoscere che ci sono dei problemi che vanno affrontati, e che nessuno ha la bacchetta magica per risolvere in breve tempo il risultato di decenni di strategie e scelte che hanno sempre trascurato gli aspetti di sicurezza.

WHITEPAPER
Cloud migration: qual è l'approccio vincente?
Cloud
Cloud storage
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4