Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca
Red Hot Cyber Academy

La PA e la cybersecurity del “lavoro agile”

Michele Pinassi : 7 Dicembre 2021 11:36

Autore: Michele Pinassi

Data Pubblicazione: 07/12/2021


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Pubblicate le nuove linee guida in materia di lavoro “agile” nella PA italiana, a cura del Ministero della Pubblica Amministrazione. Senza scendere in considerazioni politiche, per le quali credo sia sufficienti le dichiarazioni del Min. Brunetta, le linee guida scendono anche nei dettagli tecnici relativi alle dotazioni tecnologiche dei dipendenti “agili”.

Le linee guida sono scaricabili a questa URL: www.funzionepubblica.gov.it/sites/funzionepubblica.gov.it/files/lineeguidalavoroagile.pdf

Parere del tutto personale, era meglio se si fossero astenuti su questi aspetti. Quantomeno, considerando che parliamo di un documento ministeriale, probabilmente sarebbe stato opportuno farle preventivamente valutare da un esperto ICT.

La “PARTE SECONDA – LE CONDIZIONI PER L’ACCESSO ALLA PRESTAZIONELAVORATIVA IN FORMA AGILE” contiene infatti alcuni svarioni francamente evitabili.

Ad esempio, quando recita che:

l’accesso alle risorse digitali ed alle applicazioni dell’amministrazione raggiungibili tramite la rete internet deve avvenire attraverso sistemi di gestione dell’identità digitale (sistemi Multifactor authentication, tra i quali, ad esempio, CIE e SPID), in grado di assicurare un livello di sicurezza adeguato e tramite sistemi di accesso alla rete predisposti sulla postazione di lavoro in dotazione in grado di assicurare la protezione da qualsiasi minaccia proveniente dalla rete (c.d. zero trust network). Alternativamente si può ricorrere all’attivazione di una VPN (Virtual Private Network, una rete privata virtuale che garantisce privacy, anonimato e sicurezza) verso l’ente, oppure ad accessi in desktop remoto ai server“.

Deve essere stato difficile riuscire a condensare una serie d’inesattezze così grossolane in poche righe.

Partiamo dall’autenticazione usando CIE o SPID che, appunto, garantiscono una autenticazione forte ma non garantiscono alcuna sicurezza su altri fronti.

Zero trust” non è un sistema, ma un paradigma, e non significa “protezione da qualsiasi minaccia proveniente dalla rete“: significa che ogni elemento della rete, anche interna, deve attuare misure di protezione adeguate senza fidarsi degli altri host. Parlare oggi di “zero trust” all’interno della PA è sicuramente opportuno, ma credo difficilmente attuabile (almeno nel breve periodo).

Si parla poi di VPN, come se fosse una alternativa ai sistemi prima citati (!) quando, probabilmente, al momento è uno degli strumenti migliori per garantire – se opportunamente implementata – sicurezza sia nel trasporto che nell’autenticazione.


uno dei desktop accessibile via RDP di un Comune italiano, velocemente recuperabile su Shodan

Il culmine si raggiunge probabilmente nell’ultima “opzione”, quando parla diaccessi in desktop remoto ai server“, decisamente una delle scelte peggiori che una PA può fare (ma che, purtroppo, ancora oggi fa).

Sarebbe bastato leggere un report recente sui vettori di attacco (ad esempio, l’ultimo Rapporto CLUSIT) per scoprire che il protocollo RDP, dopo SSH, risulta essere il più abusato (interessante anche l’ultima relazione della Unit42 di PaloAlto sugli attacchi ai servizi esposti).

Come se non fosse abbastanza, francamente non riesco a comprendere l’ultima prescrizione in merito:

“di norma non può essere utilizzata una utenza personale o domestica del dipendente per le ordinarie attività di servizio, salvo i casi preventivamente verificati e autorizzati. In quest’ultima ipotesi, sono fornite dall’amministrazione puntuali prescrizioni per garantire la sicurezza informatica“.

Credo sarebbe sufficiente, e lo dico perché mi son trovato a dover dare indicazioni in merito, usare un canale sicuro (come, ad esempio, una connessione VPN cifrata con autenticazione 2FA) ed evitare che i dati istituzionali possano uscire dal perimetro.

Peraltro, le tecnologie per implementare soluzioni simili spesso sono già presenti o, comunque, facilmente implementabili (garantendo adeguata sicurezza a prescindere dal tipo di connessione che il dipendente sta usando).

Soluzioni tecnologiche che, unite a una adeguata formazione sui rischi cyber e protocolli per la sicurezza delle informazioni, dovrebbero essere sufficienti a offrire una adeguata protezione ai dati e sistemi della PA italiana.

Che, almeno stando alle ultime analisi effettuate da AgID (“Uno sguardo ai server della Pubblica Amministrazione attraverso i dati di Shodan, AgID, Novembre 2021), questi sistemi richiederebbero interventi urgenti per la risoluzione di numerose vulnerabilità note, anche nell’ottica di favorire il lavoro da remoto.

Tra parentesi, la pubblicazione citata sottolinea come vi siano oltre 640 servizi RDP “Remote Desktop Protocol” esposti sul web da parte di alcune PA italiane.

Per finire, in un periodo in cui gli attacchi ai sistemi informatici delle PA sembrano intensificarsi e le vicende accadute in Regione Lazio hanno, in qualche modo, stimolato anche l’opinione pubblica sulle tematiche relative ai rischi cyber, la pubblicazione di un documento contenente certe bislacche indicazioni lascia piuttosto sorpresi. E preoccupati.

Voglio sperare che sia stata una svista e che chi di dovere provveda a rettificare le indicazioni nell’ottica di garantire, per davvero, la sicurezza dei dati e dei sistemi della PA italiana.

Michele Pinassi
Nato e cresciuto a Siena, è Responsabile della Cybersecurity dell’Università di Siena. Lavora nel campo ICT da oltre 20 anni, usando esclusivamente software libero. Da sempre attento alle tematiche sulla privacy e sui diritti civili digitali, attraverso il suo blog nato nel lontano 2000, è ancora attivamente impegnato nel sensibilizzare i cittadini su queste tematiche.

Lista degli articoli

Articoli in evidenza

Mi Ami, Non mi Ami? A scusa, sei un Chatbot!

Le persone tendono a essere più comprensive nei confronti dei chatbot se li considerano interlocutori reali. Questa è la conclusione a cui sono giunti gli scienziati dell’Universit&#x...

Sicurezza Reti Wi-Fi: La Sfida e le Soluzioni Adattive per l’Era Digitale

La Sfida della Sicurezza nelle Reti Wi-Fi e una Soluzione Adattiva. Nell’era della connettività pervasiva, lo standard IEEE 802.11(meglio noto come Wi-Fi ), è diventato la spina dorsa...

Cyberattack in Norvegia: apertura forzata della diga evidenzia la vulnerabilità dei sistemi OT/SCADA

Nel mese di aprile 2025, una valvola idraulica di una diga norvegese è stata forzatamente aperta da remoto per diverse ore, a seguito di un attacco informatico mirato. L’episodio, riportat...

Un milione di Lead Italiani del 2025 in vendita nelle underground. Per un Phishing senza domani!

Sul forum underground russo XSS è apparso un post che offre una “Collection di Lead Verificati Italia 2025” con oltre 1 milione di record. Questo tipo di inserzioni evidenzia la con...

Cyber War: la guerra invisibile nel cyberspazio che decide i conflitti del presente

Nel cuore dei conflitti contemporanei, accanto ai carri armati, ai droni e alle truppe, si combatte una guerra invisibile, silenziosa e spesso sottovalutata: la cyber war. Non è solo uno scenario...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006