Leaderboards
Leaderboards
Direttore responsabile Raffaella Zelia Ruscitto
Skyscraper 1
Skyscraper 1
Skyscraper 2
Skyscraper 2

Il lungo autunno della pubblica amministrazione italiana

La situazione generale in tema di sicurezza informatica non sembra essere migliorato poi molto

di Michele Pinassi”

L’inefficienza della Pubblica Amministrazione contraddice l’essenza stessa della democrazia, perché da essa trae alimento e forza una minoranza, mai la maggioranza e, tantomeno, la parte più debole dei cittadini.” (Giuseppe Alvaro)

SIENA. Cybersecurity nella pubblica amministrazione italiana: la questione non è più (da qualche tempo) solo ed esclusivamente tecnica, come molti burocrati forse ancora credono (o sperano). La questione è ormai squisitamente politica e investe in pieno qualsiasi livello della pubblica amministrazione italiana, a iniziare da quelli più alti.

Aggiornamento sulla vicenda dei green pass

Per iniziare, la saga dei green pass farlocchi è tutt’altro che finita: qualche giorno fa è comparso anche quello di Bettino Craxi, rilasciato dall’autorità polacca ma perfettamente valido anche in Italia (almeno fino a qualche giorno fa), e nelle ultime ore è arrivata la notizia di un .zip di oltre 1000 digital green certificates italiani (di cui 31 relativi a tampone antigenico), nel formato pronto per la stampa su carta, presumibilmente sottratti da qualche archivio.

L’archivio è una raccolta di 1003 file univoci (all’interno, tre directory con molti duplicati) con due file particolari: un file .JPG e un .PDF che, a differenza degli altri, contiene immagini incapsulate. Il PDF:

e il JPG:

La cosa curiosa è che in entrambi i casi i metadati relativi all’autore corrispondono con quelli contenuti nel certificato, quasi a voler confermare che sono file prodotti dagli stessi assegnatari. Lasciando sospettare, ma è solo una mia personalissima deduzione, che il leak sia originato da un qualche servizio (o più di uno) che raccoglieva questi green pass, per qualche motivo (ricordo che più volte il Garante della Privacy ha sottolineato l’importanza per gli utenti di non inviare mai il DGC a terzi e, per le strutture, di astenersi dal conservare i certificati).

Speriamo che i malcapitati siano informati e che il certificato venga inserito al più presto nella blacklist di VerificaC19, per scongiurarne utilizzi indebiti…

Il NSIS del Ministero della Salute

In quei giorni, però, si è diffusa la ben più grave notizia di un potenziale breach nei sistemi del Ministero della Salute italiano, reso drammaticamente realistico dalla diffusione di una serie di schermate e documenti a riprova della vulnerabilità che, dicono alcuni esperti, esiste da molti anni.

L’attacco è stato pubblicizzato su RaidForums attraverso il racconto della segnalazione che un white hat italiano avrebbe fatto al supporto tecnico del Ministero, ricevendo solo risposte vane e successivo “ban“.

L’idea che qualcuno (cybercriminali, agenti di paesi stranieri?abbia potuto sguazzare liberamente nei sistemi e nei delicati dati del NSIS –Nuovo Sistema Informativo Sanitario di uno dei ministeri più importanti, quello della Salute, non mi tranquillizza affatto. Così come non mi tranquillizza il silenzio che trapela sulla vicenda sia dai media mainstream che dal Ministero stesso (nessuna traccia, né di conferma né di smentita, in merito al presunto breach): considerando il contenuto delle prove pubblicamente rilasciate a dimostrazione della falla scoperta, possibile che davvero abbiano deciso di non commentare?

Peraltro, la settimana appena conclusa è stata particolarmente “calda” sul fronte cybersecurity per la PA: sia l’ASL 3 di Roma che il Comune di Perugia hanno dovuto affrontare attacchi importanti ai loro sistemi ICT (pare che l’ASL3 di Roma abbia ancora diversi sistemi off-line), ultime vittime di una “pandemia digitale” che nelle ultime settimane sta flagellando con particolare virulenza il nostro Paese.

Una “pandemia digitale” che non colpisce solo l’Italia (anche se siamo tra i Paesi più colpiti, posizione sicuramente non molto lusinghiera), come dimostrano gli attacchi anche ai danni di altri governi, ma che per lo stivale assumono carattere endemico.

AgID, PA e Shodan

Nel Paese dove “niente è più definitivo delle soluzioni temporanee“, sono i recentissimi risultati di una indagine OSINT da parte dell’AgID –“Uno sguardo ai server della Pubblica Amministrazione attraverso i dati di Shodan”– a fotografare la situazione attuale dell’infrastruttura ICT della PA italiana. Seppur, stando ai grafici e ai risultati indicati, stiamo assistendo a un parziale miglioramento della situazione generale, dettata probabilmente da un aumento della percezione dei rischi cyber da parte delle istituzioni e dei tecnici ICT, è impossibile sapere con certezza quante delle vulnerabilità critiche individuate sono già state sfruttate da cybercriminali e quanti sistemi sono stati compromessi.

La proverbiale lentezza pachidermica della burocrazia italiana paga irrimediabilmente, e con conseguenze importanti, la velocità dell’evoluzione tecnologica, delle minacce e delle vulnerabilità.

Per finire, una nota sulla chiosa finale dell’articolo di AgID sopra citato: “Ad esempio, i corsi di hardening Linux (vedi SELinux), sebbene molto interessanti, non aiuterebbero che poco più di un terzo della PA. Data la situazione attuale è più utile un expertise su Windows che su Linux. In ottica di una facilitazione di passaggio al Cloud della PA è quindi opportuno considerare che il principale sistema operativo usato dalla Pubblica Amministrazione è ad oggi Microsoft Windows.

Prima di tutto, personalmente non ritengo che il passaggio a Cloud, portato come panacea all’arretratezza digitale della PA, sarà risolutivo. Per un motivo molto semplice: gran parte degli attacchi sono portati a termine a causa di uso errato delle credenziali e dei sistemi di autenticazione. Per non considerare che muovere verso soluzioni PAAS, IAAS o SAAS comporta comunque l’uso di punti di accesso da parte di operatori spesso non adeguatamente formati in merito alle minacce cyber, con il risultato di cui sopra: come dicevo in apertura, ormai il problema non è tecnologico!

In secondo luogo, perché si accetta passivamente che la PA italiana debba usare soprattutto Microsoft Windows, ignorando normative come il CAD (art. 68)Il problema è semplice: aggiornamenti. Quante sono le PA che ancora usano Windows XP, ormai superato da anni? O Windows 7, il cui supporto è già scaduto? O esponendo server Windows 2003? E quante non hanno risorse/competenze/possibilità di migrare alle ultime versioni, più sicure e comunque aggiornate? Paradossalmente, se ben configurati, i sistemi GNU/Linux offrono maggiore resilienza anche sul lungo periodo e, in ogni caso, non vi sono vincoli né costi di licenza da sostenere per gli aggiornamenti alle ultime release. Oltre ai minori requisiti hardware, che rendono possibile usare distribuzioni moderne su PC non proprio nuovissimi. Sorprende, quindi, che l’AgID non sottolinei abbastanza come ormai oltre 1/3 dei sistemi informatici della PA sia GNU/Linux. E che non stimoli il restante a migrare, considerando che ormai gran parte delle esigenze quotidiane sono tranquillamente esaudibili da browser.

Per concludere, vorrei modestamente suggerire ad AgID un tema per la prossima indagine: partendo proprio dall’elenco IndicePA, realizzare un censimento sul personale ICT dedicato alla gestione e manutenzione dei sistemi informatici nelle varie realtà della PA italiana. Includendo sia la formazione che il livello retributivo. I risultati potrebbero essere interessanti.

*www.zerozone.it

[banner_mobile]
Are you looking for Krnl this is best Roblox executor this is one of the finest roblox executor.
Download Rapid Streamz for Android, this app will help you stream over 800+ TV channels! Watch free Live TV on Android using the best live tv app for Android. Rapid Streamz application is specially designed for those people who want to enjoy their favorite television shows and movies on the go.
Are you looking for Openiv which is one of the best modding toolset for the PC Versions of GTA 5, GTA 4, Episodes From Liberty City (EFLC) and Max Payne 3, etc. Latest version of the app supports Red Dead Redemption 2 as well. The toolset allows the users to view and alter the game files.
This is CodeX Executor which is a potent application designed to empower Roblox players by allowing them to run scripts within popular Roblox games such as Blox Fruits, Pet Simulator X, Project Slayers, Murder Mystery 2, Adopt Me, Arsenal, and many more.
Enhance your Roblox experience with BTRoblox which is extension that aims to enhance Roblox's website by modifying the look and adding to the core website functionality by adding a plethora of new features.
Winlator is a powerful tool that allows you to run Windows applications and games on your Android device. With Winlator, you can enjoy your favorite PC games on the go, all without the need for a high-end gaming PC. This opens up a whole new world of gaming possibilities, as you can now play your favorite titles anywhere and anytime.
You can download the latest version of Sportzfy TV Apk from our website. We offer a safe and secure download link that ensures you get the latest version of the app without any hassle.
Sportsfire is a free live-streaming application that focuses on sporting events and is available for installation on Firestick, Fire TV Cube, Fire TV, and Android TV/Google TV Boxes.
You can download the latest version of Sportzfy TV Apk from our website. We offer a safe and secure download link that ensures you get the latest version of the app without any hassle.
In the age of digital streaming, inat tv Inat TV APK is one of the most video streaming free application. Finding a reliable and feature-rich application to access your favorite TV shows, movies, and live channels has become crucial.
Krira TV is a free sports streaming app that allows fans around the world to watch their favorite sports events in HD quality.
Experience endless entertainment with blink streamz the top Free Live TV App for Android, offering free live sports streaming and more. Enjoy a vast selection of TV channels on your Android device.
krnl
cinema hd
beetv
inat tv
spotiflyer
aniyomi
saikou
scipt hook v
fluxus executor
flix vision
egg ns
fs23 mods
strato emulator
gacha nebula