In un mondo dove i dati personali sono costantemente in movimento, soggetti a rischio di essere intercettati e manipolati, è forse opportuno chiedersi perché troppi enti pubblici italiani non abbiamo certificati di sicurezza SSL/TLS validi e siano accessibili tramite connessione non sicura.
Quando i maggiori browser web, e sistemi operativi, aumentano le misure preventive per evitare di esporre gli utenti a servizi non sicuri, è davvero strano osservare i siti istituzionali tentare la strada contraria, sperando di restare nell’ombra. Non dovrebbero essere utili, sicuri ed al servizio dei cittadini?
Il “Ministero per l’Innovazione Tecnologica e la Transizione Digitale”, o chi preposto, potrebbe richiedere a tutti gli enti pubblici di adeguarsi a misure minime di sicurezza informatica e mitigare quantomeno i rischi noti. In special modo quelli che espongono un modulo di contatto dove le informazioni obbligatorie richieste all’utente sono personali e/o sensibili ai sensi della GDPR.
Un esempio su tutti, il sito del Ministero della Salute, ovviamente accessibile in modo non sicuro. Negli ultimi giorni anche poco disponibile. Il che è curioso ed interessante considerando l’aumento di truffe e attacchi connessi al tema COVID durante l’ultimo anno di pandemia.
Sarà un caso isolato? Proviamo a controllare rapidamente utilizzando dati pubblici.
Prendiamo ad esempio la lista di siti Istituzionali pubblicata sull’Agenzia delle Entrate. Di questi, sette su 21 risultano accessibili via connessione non sicura. Siamo al 33%, ovvero 1 su 3. La presenza di firewall istituzionale non giustifica l’assenza di altre misure di sicurezza o scelte tecniche per mitigare i rischi. Anche i firewalls possono essere bypassati.
Di seguito una “fotografia” dello stato delle cose:
Nella Dichiarazione di Accessibilità è chiaramente menzionato il sito web HTTP e non HTTPS.
Accessibile in modo non sicuro, mancanza del certificato SSL/TLS. Il modulo di feedback richiede i dati personali e/o sensibili dell’utente come obbligatori (nome, cognome, e-mail, indirizzo, città, oggetto e messaggio) e li trasmette in modo non sicuro.
Ministero per la Pubblica Amministrazione
Accessibile in modo non sicuro, mancanza del certificato SSL/TLS. Gestito e servito da Drupal, noto CMS open-source.
Sono utilizzati alcuni componenti web “datati” e soggetti a vulnerabilità, il che giustifica ancora meno l’assenza di certificato SSL.
Dipartimento per i Rapporti con il Parlamento
Accessibile in modo non sicuro, mancanza del certificato SSL/TLS. Utilizza componenti web non aggiornati e con vulnerabilità note.
Dipartimento per le Riforme Istituzionali
Accessibile in modo non sicuro, mancanza del certificato SSL/TLS. Utilizza componenti web non aggiornati e con vulnerabilità note.
Dipartimento per le Pari Opportunità
Accessibile in modo non sicuro, mancanza del certificato SSL/TLS. Sito web basato su WordPress!
Ministero per le Politiche Europee
Accessibile in modo non sicuro, mancanza del certificato SSL/TLS. Utilizza componenti web non aggiornati e con vulnerabilità note.
Modulo di contatti con campi obbligatori (nome, cognome e e-mail, con anche allegati opzionali) trasmesso in connessione non sicura.
Dipartimento per gli Affari Regionali e le Autonomie
Accessibile in modo non sicuro, mancanza del certificato SSL/TLS. Utilizza componenti web non aggiornati e con vulnerabilità note. Inoltre, la pagina di accesso all’area riservata del personale del Dipartimento è accessibile al pubblico.
Gli esempi citati rappresentano quelli dei principali Ministeri e Dipartimenti, neppure tutti. E si potrebbe continuare rapidamente con i portali di Regioni, Comuni e Aziende Ospedaliere.
Se la mancanza di certificati fosse un problema di spesa, si sappia che è possibile crearne di validi gratuitamente. Almeno quelli.
Come mai i gestori di tali siti web non sentono l’esigenza di proteggere i cittadini con uno degli elementi principali di sicurezza web? E come mai non vengono controllati periodicamente? È possibile che nessuno, interno o esterno, abbia notato (e rettificato) i problemi esposti?
Si spera in un cambiamento positivo e che la notizia venga recapitata a chi può fare qualcosa per rettificare la situazione, anche per equità nei confronti di imprese e cittadini ai quali sono richiesti impegni molto più gravosi e le mancanze pagate a caro prezzo.
Mi raccomando, create i certificati SSL/TLS, ma attivate solo le versioni TLSv1.2 e superiori.
