Applicazioni del settore pubblico colabrodo: il 59% sono vulnerabili

Nella giornata di ieri si è concluso FORUM PA, iniziativa che accompagna Pubbliche Amministrazioni e aziende interessate ai processi di cambiamento e innovazione. Sebbene vi siano sicuramente segnali positivi, figli anche dell’introduzione dell’intelligenza artificiale nel processo DevSecOps, Veracode ha rivelato che il 59% delle applicazioni del settore pubblico contiene falle di sicurezza non risolte da più di un anno.

Leader mondiale nella gestione del rischio applicativo, Veracode ha pubblicato un’interessante ricerca che mette in luce come le applicazioni sviluppate dalle aziende del settore pubblico registrino un debito di sicurezza non indifferente. Senza un approccio sistematico e continuo che guardi alla ricerca e alla correzione delle falle, la Pubblica Amministrazione è pericolosamente esposta agli attacchi dei criminali informatici.

Problemi di sicurezza nelle applicazioni del settore pubblico: una minaccia concreta

Nel suo report, Veracode spiega che il “debito di sicurezza” dura da decenni ed è esacerbato da software non patchati e configurazioni inadeguate. Così, le applicazioni del settore pubblico sono sempre più spesso oggetto di attacchi da parte di malintenzionati.

Davvero significativo è il fatto che il 40% delle Pubbliche Amministrazioni presenta vulnerabilità persistenti e di elevata gravità che costituiscono un aspetto critico, in grado di mettere a serio rischio la riservatezza e l’integrità dei dati, oltre alla stabilità dei sistemi e dei servizi erogati. Questo, ovviamente, se le falle di sicurezza fossero sfruttate dagli aggressori remoti.

“La buona notizia è che la maggior parte delle aziende ha la capacità di correggere tutti i debiti critici, ma la prioritizzazione è fondamentale“, osserva Chris Eng, Chief Research Officer di Veracode. Eng aggiunge che con uno sforzo mirato “è possibile ottenere la massima riduzione del rischio e passare così alle falle non critiche“.

Le evidenze rese pubbliche da Veracode evidenziano l’importanza dell’impegno della Open Source Security Software Initiative (OS3I), un gruppo di lavoro inter-agenzie che si occupa di garantire che il software open source sia “tanto sicuro, protetto e sostenibile quanto aperto”.

Un aspetto cruciale per ridurre i rischi di attacco, inoltre, consiste nel concentrarsi non solo sul proprio codice di programmazione ma anche su quello sviluppato da soggetti terzi (si pensi a framework, librerie e altri componenti software). Le vulnerabilità presenti in questi oggetti possono impattare negativamente sulla sicurezza del software della PA nella sua interezza.

È un problema anche la segnalazione responsabile delle falle di sicurezza nei software della Pubblica Amministrazione

Almeno in Italia, come abbiamo spesso sottolineato, costituisce un problema serio anche la segnalazione responsabile dei problemi di sicurezza scoperti nelle applicazioni del settore pubblico.

Nel nostro Paese, infatti, non esiste il concetto di hacking etico e i ricercatori che scoprono vulnerabilità nelle piattaforme della Pubblica Amministrazione ad oggi continuano a rischiare una  eventuale denuncia per violazione di sistemi informativi. Chi segnala vulnerabilità nei software della PA rischia grosso: e anche se ciò avvenisse in forma privata, senza rendere pubblica la scoperta.

La Svizzera ha promosso il concetto di bug bounty di Stato non solo avallando la figura dell’hacker etico ma anche promuovendone e sostenendone economicamente le attività.

Abbiamo ripetutamente cercato di portare il tema sui “tavoli che contano” anche in Italia ma al momento il risultato è un buco nell’acqua. L’unico commento costruttivo che abbiamo ricevuto (non possiamo citare la fonte) è che l’orientamento sarebbe quello di autorizzare e accettare segnalazioni di vulnerabilità legate alle piattaforme della PA da parte di soggetti certificati, ossia di individui ritenuti affidabili e in grado di fornire report affidabili e attendibili, con un approccio corretto e responsabile.

Credit immagine in apertura: iStock.com – da-kuk