LO SCENARIO

Cybersecurity, scudo per il 50% dei siti della PA. Ma restano lacune

Dal monitoraggio Agid emerge un netto miglioramento della situazione. Raddoppiati i i portali pubblici che hanno configurato correttamente il protocollo https. In Parlamento riflettori puntati sulla formazione, il presidente della Camera Fontana auspica un rafforzamento del contingente. C’è da fare anche sul fronte delle organizzazioni finanziarie: in Italia troppi dipendenti non hanno ancora ricevuto una formazione IT adeguata

Pubblicato il 20 Dic 2022

Domenico Aliperto

cyber- cybercrime- cybersecurity3

Raddoppiano i siti internet della Pubblica Amministrazione che hanno configurato correttamente il protocollo Https, passando da 4.149 a 9.022, e diminuiscono quelli che utilizzano ancora l’http non sicuro, scendendo a quota 223. In calo anche i siti che riportano gravi problemi di sicurezza e quelli malconfigurati. WordPress si conferma il Cms più utilizzato. A dirlo sono le rilevazioni del terzo monitoraggio realizzato da AgId sull’utilizzo del protocollo Https e sullo stato di aggiornamento dei content management system, previsto dal Piano Triennale per l’informatica nella Pa.

Migliora la sicurezza dei siti della Pa

Come anticipato, nella rilevazione 2022, AgId ha riscontrato un aumentato dei siti della Pubblica Amministrazione che si possono considerare sicuri (47%), più che raddoppiati rispetto allo scorso anno. I siti quasi correttamente configurati, invece, sono l’11%: si tratta di siti che utilizzano già il protocollo Https ma la configurazione, sebbene non immediatamente vulnerabile, non è più considerata idonea agli standard moderni.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Quest’anno i siti che riportano gravi problemi di sicurezza sono scesi dal 53% al 41%. In particolare, si registra un miglioramento dei redirect da Http ad Https, un calo dei siti che facevano un redirect verso Htpps, una diminuzione di quasi 1.800 siti che avevano il certificato non corretto e un dimezzamento dei siti che usavano al massimo i certificati Tls 1.0 e Tls 1.1.

I siti considerati “irrecuperabili”, ovvero quelli che non utilizzano il protocollo Https, rappresentano l’1% del totale. Rispetto allo scorso anno sono diminuiti del 34%, passando da 340 a 223, mentre il numero si è dimezzato rispetto alla scansione di due anni fa (erano 445 nel 2020).

Aumenta dell’8% anche il numero dei siti che utilizza la versione più aggiornata del proprio Cms. Allo stato attuale, si tratta di un quarto dei domini che usa un Cms. Tuttavia, la metà dei domini con un Cms non risulta aggiornato all’ultima versione. WordPress, come detto, si conferma il Cms più usato nella Pubblica Amministrazione: lo utilizza, infatti, il 57,15% dei siti. Seguono poi Joomla (24,71%) e Drupal (8,72%). Rispetto al monitoraggio precedente, il numero di siti realizzati con WordPress è cresciuto, passando da 4.490 a 5.205 siti, mentre restano quasi invariati i dati relativi all’uso di Joomla e Drupal.

Rinforzare il contingente sulla cybersecurity alla Camera

Si tratta di inequivocabili segnali positivi, che però non bastano a stemperare le preoccupazioni del Presidente della Camera, Lorenzo Fontana, che incontrando la stampa parlamentare per lo scambio degli auguri di Natale ha dichiarato che “la Camera deve rinforzare il suo ‘contingente’ di persone che lavorano sulla cybersecurity. È importante per garantire l’indipendenza istituzionale e che i deputati possano lavorare nel migliore dei modi. Mi piacerebbe anche si facessero dei corsi di formazione per dipendenti e per deputati, per capire i meccanismi della cyber security”.

Serve una scossa anche nel settore Finance

Ma non è solo la Pa a doversi munire di programmi di formazione da erogare sistematicamente nei confronti dei lavoratori. Il 25% delle aziende del settore finanziario ha infatti subito, durante la pandemia, una violazione causata volontariamente o involontariamente dai dipendenti, che costituiscono una minaccia tanto pericolosa quanto la mancanza di personale dedicato alla sicurezza It. Nel settore, d’altra parte, le sessioni regolari di formazione dei collaboratori non sono ancora abbastanza diffuse: solo poco più della metà (dal 54% al 67%) ha partecipato a training formativi dedicati alla sicurezza informatica.

Lo dicono i risultati emersi dalla ricerca “Sicurezza It: focus sul settore finanziario in Italia” condotta da Kaspersky. Le dichiarazioni dei decision maker It intervistati nella Penisola suggeriscono che il fattore umano debba essere considerato l’anello più debole quando si tratta di minacce informatiche nel settore finanziario.

Le società finanziarie sono considerate un bersaglio redditizio da parte dei cybercriminali non solo per i forti flussi di denaro registrati e le enormi quantità di dati sensibili dei clienti, ma per il grado di digitalizzazione del settore che, dall’inizio della pandemia, ha dovuto gestire l’accesso da remoto per i dipendenti. Il comportamento e le competenze dei dipendenti in materia di rischi informatici sono un fattore da non sottovalutare nel settore finanziario italiano. Il 13% del campione coinvolto nella ricerca considera i dipendenti che non conoscono le policy e le pratiche aziendali per quanto riguarda la sicurezza la principale minaccia per la sicurezza informatica, percentuale che cresce fino al 22% tra le aziende di piccole e medie dimensioni (50-999 dipendenti) e che si riduce sensibilmente fino all’8% nelle grandi aziende (oltre 1.000 dipendenti). Il 7% indica lo smart working e i lavoratori da remoto come potenziale rischio e vulnerabilità. Tra gli intervistati è diffusa la consapevolezza che un minimo errore involontario possa mettere in pericolo interi segmenti dei sistemi aziendali.

Nonostante le società finanziarie garantiscano una formazione sulla sicurezza informatica al personale It maggiore rispetto a quella offerta a qualsiasi altro ruolo professionale, c’è sicuramente ampio margine di miglioramento. Le sessioni regolari di formazione dei dipendenti non sono ancora abbastanza diffuse.

Solo un terzo dei responsabili It intervistati (33%) ha dichiarato che il 100% del reparto effettua training regolari mentre, in generale, hanno stimato che in media due terzi del totale sono regolarmente formati (67%). Questa percentuale si riflette anche tra i dirigenti (64%) e negli altri reparti presi in esame come ad esempio assistenti esecutivi (61%), marketing (56%), analisti e trader (62%) e contabilità (59%). In generale quindi, solo poco più della metà dei dipendenti (dal 54% al 67%) ha seguito sessioni di formazione dedicate alla sicurezza informatica.

@RIPRODUZIONE RISERVATA

Valuta questo articolo

La tua opinione è importante per noi!

Articolo 1 di 3