AGID: la sicurezza nelle PA è preoccupante

Il processo di “Transizione Digitale” della Pubblica Amministrazione è iniziato da tempo e secondo le intenzioni del governo deve procedere in modo spedito con l’obiettivo di realizzare un’amministrazione che offra servizi pubblici digitali facilmente accessibili, sicuri e di qualità. La recente attivazione della piattaforma che consente ai cittadini italiani di ottenere i certificati anagrafici online accedendo all’Anagrafe Nazionale della Popolazione Residente è un passo importante nella giusta direzione.

Purtroppo le buone intenzioni spesso devono fare i conti con la tecnologia obsoleta e in questo caso il 2021 è stato un anno nero per quanto riguarda gli attacchi informatici e gli incidenti “tecnici” che hanno coinvolto le PA, con comuni ed enti presi di mira da attacchi di ransomware o data breach. Il problema era già stato evidenziato nel 2020 da un report di AGID (Agenzia per l’Italia Digitale) e sottolineato da Vittorio Colao che ha messo evidenza che il 95% dei server della PA non sono in condizioni di sicurezza. Alla fine del 2021 la situazione non è radicalmente cambiata, almeno secondo il CERT (Computer Emergency Response Team) l’organo dell’AGID che in una recente indagine ha evidenziato una situazione decisamente preoccupante sulla vulnerabilità dei server delle PA.

Naturalmente l’analisi ha buttato benzina sul fuoco, è infatti difficile giustificare la transizione al digitale con una situazione non propriamente rosea dovuta alle vulnerabilità delle infrastrutture. Il tema dell’innovazione e digitalizzazione del Paese è cruciale, tanto che il PNRR – Piano Nazionale di Ripresa e Resilienza – prevede importanti investimenti in questo settore. L’aggiornamento alle nuove tecnologie non può più essere rimandato, ma i dati pubblicati il 22 ottobre parlano chiaro. Per prima cosa l’analisi ha interessato oltre 19.000 domini per la verifica del protocollo HTTPS e la percentuale dei CMS aggiornati. Benché rispetto allo scorso anno ci siano stati passi avanti nell’uso delle corrette configurazioni, dal report risulta evidente che i server che avevano più bisogno di un aggiornamento sono ancora totalmente privi di HTTPS, inoltre è stata evidenziata una regressione nell’aggiornamento dei CMS.

Ma l’analisi, raggiungibile a questo link, non si limita a questo: infatti il CERT ha sfruttato il motore di ricerca Shodan (che analizza i dispositivi e i server collegati a internet) incrociando i dati rilevati con i siti della Pubblica Amministrazione per l’analisi delle vulnerabilità. Ovviamente non si tratta di valutazioni approfondite come quelle che possono essere condotte con procedure di Vulnerability Assessment, ma i risultati sono indicativi considerando che Shodan determina le potenziali vulnerabilità di una macchina basandosi sulla versione dei software esposti. Per prima cosa i dati sono stati suddivisi tra fra sanità e assistenza, pubblica amministrazione centrale, pubblica amministrazione locale e istruzione e da questa suddivisione la situazione presenta luci e ombre. Per esempio, prendendo i dati delle PA risulta che circa il 21% dei server sono classificati come vulnerabili e di questi il 4% presenta vulnerabilità di tipo critico, il 14% di tipo alto e il 3% di tipo medio. Delle 4 suddivisioni la Pubblica Amministrazione locale è quella che presenta i valori più elevati. Come messo in evidenza dal CERT il problema è che si tratta di vulnerabilità scoperte a partire dal 2008, il che evidenzia da quanto tempo i server non vengono aggiornati. E tutto questo senza eseguire analisi approfondite in loco.

La soluzione a questi problemi
Per Hypergrid lo storage su cloud e la virtualizzazione dei sistemi garantiscono un modo sicuro per eliminare le infrastrutture obsolete. L’azienda pavese in questo settore vanta il servizio yCloud che ha ottenuto la certificazione AGID come CSP che consente di fornire infrastrutture cloud alla pubblica amministrazione. Il vantaggio di Hypergrid rispetto ad altre realtà è quella di essere in grado di garantire la sicurezza dell’infrastruttura interamente gestita in sede senza appoggiarsi a data center esterni. Quello di Hypergrid è un sistema perfettamente strutturato su rete ridondata e protetto da un sistema di firewalling Cisco ASA-X costantemente aggiornato. Naturalmente oltre allo storage dei dati le PA potranno eliminare i costi di obsolescenza e manutenzione dei server grazie alla gestione di macchine virtuali sull’infrastruttura yCloud, elemento davvero importante nella transizione al digitale. Infatti il servizio Hypegrid consente di adeguare la potenza dei sistemi secondo la mole di lavoro richiesta in base alla esigenze del momento. Aziende e pubbliche amministrazioni possono aggiungere macchine virtuali, dimensioni dello storage, gestire firewall e altre opzioni in modo da rendere la struttura informatica flessibile con operazioni semplici e poco costose. Oltre a vantare sistemi di sicurezza a protezione dei dati sempre aggiornati, l’assistenza è garantita tutti i giorni, 24 ore al giorno. Infine, l’azienda propone anche il servizio yCloud Backup che permette di eseguire automaticamente il backup dei dati nella sicurezza dell’infrastruttura Hypergrid. Il team di esperti di Hypergrid è anche in grado di eseguire la migrazione tra diversi hypervisor e da/verso macchine fisiche.

Per ulteriori informazioni potete contattare l’indirizzo email info@hypergrid.it o il numero di telefono 0382 528875