Disponibile il dossier dell’AgID, Agenzia per l’Italia Digitale, con all’interno il terzo monitoraggio dei siti della PA: ecco tutti i dettagli.
Il report rende disponibili alcuni dei dati emersi dal terzo monitoraggio realizzato da AgID sull’utilizzo del protocollo HTTPS e sullo stato di aggiornamento dei CMS sui sistemi della PA.
Si tratta di punti cruciali per la tecnologia informatica e per i servizi offerti dalle Pubbliche Amministrazioni: da questo punto di vista si tratta infatti di aspetti che impattano positivamente o negativamente sull’erogazione dei servizi digitali al cittadino.
Previsto dal Piano Triennale per l’informatica nella PA, il monitoraggio ha interessato 21.700 portali istituzionali – di cui 18.096 correttamente raggiungibili – presenti in IPA, l’indice dei domicili digitali della Pubblica Amministrazione e dei Gestori di Pubblici Servizi.
Monitoraggio siti della PA: il nuovo report di AgID
Nella rilevazione 2022, AgID ha riscontrato un aumentato dei siti della Pubblica Amministrazione che si possono considerare sicuri (47%), più che raddoppiati rispetto allo scorso anno. I siti quasi correttamente configurati, invece, sono l’11%: si tratta di siti che utilizzano già il protocollo HTTPS ma la configurazione, sebbene non immediatamente vulnerabile, non è più considerata idonea agli standard moderni.
Risultati della scansione HTTPS
I siti soggetti a scansione per la verifica del protocollo HTTPS sono raggruppati in quattro categorie:
- Siti senza HTTPS. Sono i siti che non implementano il protocollo HTTPS.
- Siti con gravi problemi di sicurezza. Sono i siti che hanno HTTPS ma la configurazione adottata è facilmente aggirabile (es: non hanno un certificato valido).
- Siti malconfigurati. Sono i siti che hanno HTTPS ma la configurazione usata, sebbene non immediatamente vulnerabile, non è più considerata idonea agli standard moderni (es: uso di cifrari CBC).
- Siti sicuri. Sono i siti che hanno HTTPS e la configurazione è adeguata agli standard moderni.
La percentuale di siti che utilizza una corretta configurazione HTTPS è più che raddoppiata (da 4149 a 9022) rispetto allo scorso anno (2021) e quadruplicata rispetto a due anni fa (erano 1766 nel 2020).
Il miglioramento sul fronte dell’utilizzo di HTTPS è principalmente dovuto alle azioni correttive legate alla rimozione del supporto alle versioni obsolete di TLS (TLS 1.0 e 1.1) e, in misura minore, alla forzatura dell’utilizzo di HTTPS tramite redirect da HTTP.
Categoria | Anno 2021 | % | Anno 2022 | % |
Sicuri | 4149 | 22% | 9022 | 47% |
Gravi problemi | 10092 | 53% | 7802 | 41% |
Mal configurati | 4549 | 23% | 2218 | 11% |
Senza HTTPS | 340 | 2% | 223 | 1% |
Siti senza HTTPS
Un importante miglioramento riguarda anche la percentuale di siti che non supporta il protocollo HTTPS. Rispetto ai risultati emersi dalla scansione precedente (2021) si è riscontrata una diminuzione del 34% (da 340 a 223 unità) e, rispetto alla scansione di due anni fa, il numero si è dimezzato (erano 445 nel 2020).
Siti con gravi problemi di sicurezza
In questa categoria rientrano i siti con HTTPS facilmente aggirabile (es: certificato non corretto) o debole (es: cifrari con chiavi piccole o senza confidenzialità).
Questa è la categoria più complessa da analizzare: in termini assoluti la recente scansione ha evidenziato una dimuzione di circa 2200 unità di siti problematici.
Nei dettagli si nota però che le principali variazioni sono:
- Circa 2100 siti hanno implementato il redirect da HTTP ad HTTPS.
- Sono diminuiti i siti che facevano un redirect verso HTTP di circa 300 unità.
- C’è stata una diminuzione assoluta di quasi 1800 siti che hanno il certificato non corretto.
- Sono dimezzati i siti che usano al massimo TLS 1.0 e TLS 1.1 (da circa 4900 a circa 2200).
Si evidenzia quindi un abbandono delle versioni obsolete di TLS che, insieme ad uso corretto del reindirizzamento ad HTTPS ed all’utilizzo di un certificato valido, hanno portato ad un deciso ridimensionamento di questa categoria (dal 53% dei siti totali nel 2021 ad un 41% dei siti del 2022).
Al momento, la maggior parte dei siti della PA (il 47%) usa HTTPS in modo sicuro. Tuttavia i siti con gravi problemi di sicurezza sono ancora piuttosto vicini in termini percentuali (41%).
In questo anno si delinea quindi una dicotomia in cui da una parte ci sono siti correttamente configurati e dall’altra siti che hanno gravi errori di configurazione. Tra le due situazioni, i siti “irrecuperabili” (senza HTTPS) sono relativamente pochi (1%) mentre i restanti (11%) sono “quasi” correttamente configurati.
Siti malconfigurati
Questa categoria comprende i siti che supportano versioni obsolete di TLS e cifrari CBC per cui sono noti attacchi anche se non di immediata sfruttabilità.
Sebbene, nella sua suddivisione, questa categoria mantenga le percentuali dei siti con TLS 1.x invariate, in termini assoluti si ha un più che abbondante dimezzamento dei siti che usano versioni obsolete di TLS. Questa diminuzione è il principale motivo del raddoppiamento dei siti sicuri. Infatti, una volta abbandonate le versioni obsolete di TLS, questi siti sono risultati in linea con gli standard moderni.
I siti che usano cifrari CBC sono invece rimasti invariati.
Siti sicuri
Il numero di siti sicuri è più che raddoppiato: per la prima volta sono la fetta più grande della torta (47%). La principale spinta migliorativa è venuta dall’abbandono delle versioni obsolete di TLS, da un migliore uso del redirect verso HTTPS e dall’utilizzo di certificati validi.
Si nota anche un aumento dell’uso del protocollo TLS 1.3, che sono triplicati rispetto alla precedente rilevazione.
Risultati della scansione CMS
Anche il numero di siti Istituzionali che espongono un CMS aggiornato presenta, in questo monitoraggio, un lieve miglioramento. Allo stato attuale, un quarto dei domini che usa un CMS utilizza una versione aggiornata all’ultima release disponibile. La crescita, rispetto a quanto rilevato nella scansione precedente (2021), è stata dell’ 8%, recuperando di fatto la regressione evidenziata lo scorso anno rispetto al 2020.
Questo lieve miglioramento osservato sul fronte dei CMS è certamente dovuto ad una maggiore consapevolezza delle amministrazioni riguardo ai rischi che comporta l’esposizione di un CMS vulnerabile, agevolato anche dalla semplicità con cui le piattaforme di Content Management System favoriscono la notifica di una nuova versione e provvedono, anche automaticamente, ad applicare gli aggiornamenti necessari a risolvere le criticità riscontrate.
Le tipologie di CMS utilizzati sono rimaste invariate, così come il numero di siti Istituzionali che non dispone di un CMS.
Su un totale di 21700 portali Istituzionali sottoposti a monitoraggio, sono risultati correttamente raggiungibili 18096 siti di cui 9108 utilizzano un CMS per i quali è stato possibile procedere con il rilevamento della sua versione.
Domini (IPA) | Domini raggiungibili | Domini con CMS |
21700 | 18096 | 9108 |
CMS | Anno 2022 | % |
Aggiornati | 2322 | 25.49% |
Non aggiornati | 4867 | 53.44% |
Versione non rilevata (*) | 1919 | 21.07% |
Tipologie di CMS rilevati
Il 57,15% dei siti Istituzionali utilizza il software WordPress come CMS, rivelandosi ancora una volta il CMS più usato nella Pubblica Amministrazione. Seguono Joomla per il 24,71% e Drupal per l’8,72%.
Rispetto al monitoraggio precedente il numero di siti WordPress è cresciuto passando da 4490 a 5205 siti, un incremento totale di 715 siti. Per quanto riguarda l’uso dei CMS Joomla e Drupal i numeri sono rimasti quasi invariati. I restanti CMS risultano utilizzati da appena il 9.5% dei siti Istituzionali.
TIPI DI CMS | 2021 | 2022 | Δ |
WordPress | 4490 | 5205 | 715 |
Joomla | 2248 | 2251 | 3 |
Drupal | 801 | 794 | -7 |
Rispetto al precedente report, anche il numero di CMS utilizzato è rimasto invariato.
Siti web istituzionali: un supporto per le PA
Come evidenziato dal report dell’AgID è importante che una Pubblica Amministrazione abbia un sito web istituzionale perfettamente raggiungibile e funzionante.
Ma si ricorda che il portale istituzionale deve essere anche conforme ai nuovi standard di accessibilità e usabilità.
Per questo la Società Golem Net, qualificata come Azienda per fornire prodotti in modalità SaaS (Software as a service), offre il proprio supporto agli Enti che devono adeguare e ottimizzare il proprio sito a tutti i nuovi principi.
Tutti prodotti web sono installati su Cloud Server presente su marketplace AgID.
In materia di Trasparenza Amministrativa, grazie al pacchetto SitiPA, si mette a disposizione dell’Ente una soluzione completa e conforme agli obblighi normativi dei siti web della Pubblica Amministrazione.
Inoltre, tramite il modulo web di Golem Net, Online PA, risulta semplificato l’inserimento e la contestuale gestione degli atti da pubblicare nell’Home Page del sito web istituzionale, nelle sezioni apposite previste dalla normativa.
Si tratta di Software pienamente accessibili e che seguono pedissequamente la Direttiva UE 2016/2102.
Le soluzioni software e le piattaforme offerte da questa Azienda, in conclusione, rappresentano una soluzione tecnologica conforme ai principi delineati dalla Direttiva sopra citata.
È possibile richiedere una demo personalizzata di SitiPA cliccando sul banner qui di seguito.
Fonte: articolo di redazione lentepubblica.it