AgID pubblica i risultati del terzo monitoraggio sui sistemi della PA. Ecco cosa emerge

L’AgID ha di recente pubblicato il report[1] sui sistemi della Pubblica Amministrazione contenente il terzo monitoraggio effettuato su:

  • l’utilizzo del protocollo HTTPS e
  • lo stato di aggiornamento dei Content Management System (CMS)

Si riportano, di seguito, alcuni dei punti salienti della rilevazione effettuata dall’Agenzia, evidenziando sin da subito che le relative questioni sottese sono di grande interesse anche per i soggetti operanti nel settore privato.

 

Informazioni salienti

Sull’utilizzo del protocollo HTTPS

Partendo dalle note positive, che riguardano l’utilizzo del protocollo HTTPS da parte delle Pubbliche Amministrazioni, l’AgID ha rilevato sostanziali miglioramenti rispetto al precedente anno (2021), dovuti principalmente all’adozione di azioni correttive quali: l’abbandono delle versioni obsolete di TLS, il migliore uso del redirect verso HTTPS, l’utilizzo di certificati validi.

Più precisamente rispetto al 2021 è più che raddoppiata la percentuale di siti che utilizza una corretta configurazione HTTPS, mentre si sono ridotti in maniera sostanziale il numero di siti senza HTTPS[2] (da 340 a 223), il numero di siti con gravi problemi di sicurezza[3] (da 10092 a 7802) e il numero di siti malconfigurati[4] (da 4549 a 2218).

Sullo stato di aggiornamento dei Content Management System (CMS)

Notizie meno confortarti giungono, invece, dall’analisi sullo stato di aggiornamento dei CMS. Seppur è stata registrata una crescita del numero dei siti che espongono un CMS aggiornato, essa è di lieve entità, e i siti che utilizzano un CMS non aggiornato rappresentano ancora una percentuale molto alta, come si evince dai valori calcolati in base ai siti con CMS individuato.

 

Conclusioni

Preme qui sottolineare che un CMS vulnerabile e la mancata implementazione – e in alcuni casi anche l’errata configurazione – del protocollo HTTPS non solo presentano generalmente gravi rischi in termini di sicurezza, ma possono essere anche fonte di gravi rischi per i diritti e le libertà delle persone fisiche i cui dati sono trattati mediante il sito internet nonché motivo di sanzione per violazione della normativa in materia di protezione dei dati personali[5].

Per tale motivo, nel valutare l’adeguatezza delle misure di sicurezza messe in atto ai sensi dell’art. 32 del Regolamento (UE) 2016/679 (GDPR), non si dimentichi di tenere debitamente monitorati anche tali aspetti, sin dalla progettazione del sito, e questo vale tanto nelle pubbliche amministrazioni quanto nel settore privato.

A tal fine, e quale strumento di ausilio nell’attività di verifica e monitoraggio, si rammenta che, per quanto riguarda le PA è attivo il servizio di autoverifica della configurazione HTTPS e CMS dedicato alle PA per tutti – pubblici e privati – è utile programmare e svolgere, coinvolgendo le figure competenti all’interno e/o all’esterno dell’organizzazione, i necessari controlli periodici sui propri siti internet e le azioni correttive che ne dovessero conseguire.

 

Si rimanda il lettore alla lettura del report integrale per eventuali approfondimenti in merito a quanto rilevato dall’AgID


[1] Il report è liberamente consultabile dal portale di AgID. In conclusione dell’articolo si rinvia alla sua consultazione integrale.

[2] Con tale termine si intendono, ai fini del report, i siti che non implementano il protocollo HTTPS.

[3] Con tale termine si intendono, ai fini del report, i siti che hanno HTTPS ma la configurazione adottata è facilmente aggirabile (es: non hanno un certificato valido).

[4] Con tale termine si intendono, ai fini del report, i siti che hanno HTTPS ma la configurazione usata, sebbene non immediatamente vulnerabile, non è più considerata idonea agli standard moderni (es: uso di cifrari CBC).

[5] Si veda, a titolo esemplificativo, il provvedimento sanzionatorio di recente emesso dall’Autorità garante per la protezione dei dati personali nei confronti di una società fornitrice di servizi idrici per 15.000 euro, per non aver protetto adeguatamente i dati dei clienti registrati sull’area riservata del proprio sito web, anche in quanto – è stato accertato dall’Autorità – l’accesso al sito web della società dedicato ai “servizi online” avveniva tramite il protocollo di rete “http”, non crittografato e non sicuro. Il provvedimento integrale (doc. web n. 9817058) è consultabile da qui.

Mastercourse: Formazione, gestione, conservazione e protezione dei contenuti digitali

In partenza a gennaio con il livello Lecture

A gennaio parte la 25esima edizione del Mastercourse, il percorso formativo d’eccellenza di Anorc, pensato per formare Responsabili della conservazione e conservatori di oggetti digitali.

Non perdere la speciale versione Executive suddivisa in tre segmenti formativi: Lecture, Training e Meddle.

I coordinatori dell’executive Mastercourse insieme al direttore scientifico, Avv. Andrea Lisi, esperto in diritto applicato all’informatica e protezione dei dati sono l’Avv. Sarah Ungaro, consulente senior, esperto in diritto dell’informatica e protezione dei dati, l’Avv. Luigi Foglia, consulente senior, esperto in diritto dell’informatica e archivi digitali e l’Ing. Giovanni Manca, esperto di trasformazione digitale, Presidente di ANORC.