Non è tutto.
L’indagine, appena realizzata, ha monitorato ognuno dei 21.682 portali istituzionali primari, e ha riscontrato che addirittura 445 portali istituzionali l’https neanche ce l’hanno (il 2%); 4.510 (22%) ce l’hanno ma è configurato male; mentre sono complessivamente 13.297 i siti (67%) che hanno gravi problemi di sicurezza legati a questo protocollo. Infine 4631 sono i sistemi di gestione dei contenuti (in gergo i CMS) usati per comunicare ai cittadini che non sono stati aggiornati.
Eppure, come dice la ricerca, «l’esigenza per la PA di contrastare le minacce diventa fondamentale in quanto garantisce non solo la disponibilità, l’integrità e la riservatezza delle informazioni proprie del Sistema informativo della Pubblica Amministrazione, ma è il presupposto per la protezione del dato che ha come conseguenza diretta l’aumento della fiducia nei servizi digitali erogati dalla PA».
Per un paese che punta a digitalizzarsi a forza di app anti-Covid, clickday e cashback di stato, non è una buona notizia.
Soprattutto perché è noto come il Cert-Agid da sempre avvisi le amministrazioni dei potenziali pericoli, senza essere ascoltato.
Intanto nei ministeri sono molto impegnati a contrattualizzare personale. Per deduzione dobbiamo pensare che i fortunati non vadano a irrobustire le fila di chi quei siti li deve gestire per davvero.
Ad ogni modo, se a questi dati aggiungiamo il fatto che nell’ultima settimana il Cert-Agid ha riscontrato 30 campagne informatiche malevole a tema «Pagamenti», «Energia», «Delivery», con allegati email di tipo .doc e .xlsm, lo scenario diventa drammatico.
E il motivo è facile da capire: tutti ci aspettiamo un pacco dono tramite corriere espresso visto che non potremo scambiarceli in presenza. E tutti sappiamo che è tempo di pagamenti. Non a caso le banche Intesa San Paolo, Unicredit, Bnl, BPM e Nexi sono i brand più usati per le truffe basate sul «phishing».
Inoltre, nello stesso periodo di tempo in cui l’Agid ha monitorato le campagne ai danni delle banche, queste hanno dovuto fronteggiare numerosi attacchi «ransom DDoS» portati da botnet sempre nuove e con una potenza di fuoco sempre maggiore, obbligandole ad aumentare i servizi di mitigazione di questi attacchi.
Il «ransom DDoS» è particolarmente spregevole: i criminali ti scrivono chiedendoti un riscatto per non bloccarti il sito web.
Ma, se non altro, la Banca d’Italia ha bandito un concorso pubblico per l’assunzione di 15 esperti nel campo della cyber-intelligence applicata alla difesa preventiva, proattiva e reattiva.
E poi c’è lo Csirt-Italia che veglia su di noi, avvisandoci dei rischi maggiori del «cyberspace» italiano in una spartana pubblicazione mensile.
Nei giorni scorsi ha diffuso due bollettini relativi all’hacking della piattaforma Orion di SolarWinds che ha messo a rischio importanti infrastrutture negli Usa ma che è massicciamente usata anche dai fornitori della PA italiana, comprese le maggiori aziende di telecomunicazione.