I dati emersi dal monitoraggio realizzato da AgID sull’utilizzo del protocollo HTTPS e sullo stato di aggiornamento del Content Management System (CMS) sui siti delle Pubbliche Amministrazioni, hanno evidenziato un aumento dei siti internet delle PA che hanno configurato correttamente il protocollo. I dati ci dicono che si è passati da 4.149 a 9.022, con una repentina diminuzione dei siti che ancora utilizzano l’HTTP non sicuro. Rispetto al precedente monitoraggio, si tratta di un notevole incremento, tuttavia la strada da compiere è ancora lunga.

Che cos’è l’Https e il CSM?

È importante chiarire in modo semplice di che cosa si tratta, dato che sono normalmente argomenti complessi e molto tecnici.

Il protocollo HTTPS, da non confondere con il predecessore http (si differenziano per la s, e non solo), permette, la comunicazione sul web proteggendo l’integrità e la riservatezza dei dati scambiati usando una comunicazione criptata. Rispetto all’HTTP, il protocollo HTTPS, inserisce un certificato, chiamato SSL, che consente 3 livelli di protezione:

• Crittografia: tutti i dati scambiati da server e client vengono criptati e resi di fatto incomprensibili a terzi

• Integrità dei dati: i dati scambiati non possono essere modificati durante il trasferimento

• Autenticazione: il protocollo HTTPS garantisce che il sito visitato sia effettivamente quello richiesto

Per quanto riguarda, invece, il CMS, acronimo di Content Management System, è un applicativo web per la gestione dei contenuti del proprio, sito blog o portale web, che permette ad uno o più gestori di contenuti, senza che gli stessi abbiamo competenze di programmazione, di gestire la creazione, modifica e cancellazione di contenuti. Sostanzialmente, consente la gestione in totale autonomia di propri progetti web.

Migliora la sicurezza dei siti della PA

Il monitoraggio previsto dal Piano Triennale per l’informatica nella PA ha coinvolto 21.700 portali istituzionali, di cui 18.096 correttamente raggiungibili.

Nella rilevazione del 2022, è stato riscontrato un aumento del 47% dei siti della Pubblica Amministrazione che si possono ritenere sicuri, con l’11% di siti che già utilizzano il protocollo HTTPS. Quelli che invece non utilizzano il protocollo, che vengono considerati “irrecuperabili”, rappresentano solo l’1% del totale, scendendo a 223 rispetto ai 340 dell’anno precedente.

Situazione ancora critica nel settore finanziario

Oltre alla PA, anche il settore finanziario ha riscontrato vulnerabilità nella sicurezza informatica. Negli ultimi anni, a seguito della pandemia da Covid-19, molte aziende hanno iniziato ad adottare lo smart working, che ha portato nuovi rischi e vulnerabilità per la sicurezza, comportando un aumento del 300% degli attacchi informatici solo nel settore finanziario.

L’aumento degli attacchi di phishing, l’uso di dispositivi personali non sicuri, comprese le reti Wi-Fi personali, la scarsa gestione delle password e le distrazioni dei singoli dipendenti hanno fatto sì che le aziende e gli individui siano stati presi di mira con vari tentativi di attacco per sfruttare quelle vulnerabilità emerse da una sempre più diffusa interconnessione.

La formazione dei dipendenti è la chiave

Le azioni contro siti Web e applicazioni possono non solo portare a interruzioni dell’attività e potenziali lunghi tempi di inattività, ma comportano anche un rischio significativo a livello reputazionale sul mercato qualora tali aziende venissero violate.

La formazione sulla sicurezza informatica sarebbe un modo economico ed efficace per aiutare i dipendenti a proteggere i propri dispositivi e dati. Difatti, conducendo una formazione regolare ed efficace sulla sicurezza informatica, le organizzazioni potrebbero ridurre del 70% il numero di attacchi informatici che utilizzano, ad esempio, tecniche quali l’ingegneria sociale.

Tuttavia, molte aziende non includono la formazione sulla cyber security nello sviluppo della forza lavoro e nella strategia di sicurezza. È stato rilevato che il 45% dei dipendenti non riceverebbe formazione sulla sicurezza informatica dai propri datori di lavoro e l’80% degli attacchi informatici sarebbe causato da un errore umano.

Proteggere la catena di approvvigionamento del settore energetico

Un altro settore che negli ultimi anni ha visto aumentare notevolmente gli attacchi informatici è quello energetico. Un elemento particolarmente esposto sarebbero le catene di fornitura.

Secondo un report dell’Atlantic Council del luglio 2022, i pericoli legati alle catene di fornitura sarebbero amplificati nel settore energetico in cui le infrastrutture sono costose e distribuite in località distanti tra loro. Anche se venissero scoperte delle vulnerabilità, la loro mitigazione potrebbe essere costosa e complessa.

Scarsa consapevolezza nel settore privato

Il problema della mancanza di consapevolezza di fronte ai rischi cyber riguarda altresì il settore privato. Nel 2017, l’International Information System Security Certification Consortium (ISC)2 aveva previsto che la carenza di professionisti della cybersicurezza a livello mondiale avrebbe raggiunto 1,8 milioni entro il 2022. Tuttavia, si stima che il numero attuale sia di circa 2,72 milioni. Il futuro appare ancora più incerto dato che circa la metà della forza lavoro complessiva dovrebbe andare in pensione nel prossimo decennio.

Maggiore inclusione della forza lavoro femminile e diffusione della cultura cyber nelle scuole

Lucia Milică, membro del consiglio della rivista Forbes, individua nella maggiore inclusione di forza lavoro femminile una possibile soluzione a questa carenza. I pregiudizi nelle assunzioni e le disuguaglianze retributive, insieme alla mancanza di modelli di ruolo femminili, di leader e di opportunità di avanzamento, rappresentano i fattori principali che limitano le giovani professioniste dal perseguire una carriera nel campo della cybersecurity.

Per colmare tale divario, l’Executive Women’s Forum, organizzazione nata per promuovere la partecipazione femminile nella sicurezza informatica e nella gestione del rischio, offre programmi di tutoraggio, leadership e borse di studio per formare le donne che lavorano in questi settori. Altri enti, come CybHER, cercano di sviluppare l’interesse femminile a livello di istruzione primaria.

Altrettanto importante, secondo la Milică, sarebbe la diffusione della cultura della cyber security negli istituti scolastici.