Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

La PA e la cybersecurity del “lavoro agile”

Michele Pinassi : 7 Dicembre 2021 11:36

Autore: Michele Pinassi

Data Pubblicazione: 07/12/2021


Sei un Esperto di Formazione?
Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Pubblicate le nuove linee guida in materia di lavoro “agile” nella PA italiana, a cura del Ministero della Pubblica Amministrazione. Senza scendere in considerazioni politiche, per le quali credo sia sufficienti le dichiarazioni del Min. Brunetta, le linee guida scendono anche nei dettagli tecnici relativi alle dotazioni tecnologiche dei dipendenti “agili”.

Le linee guida sono scaricabili a questa URL: www.funzionepubblica.gov.it/sites/funzionepubblica.gov.it/files/lineeguidalavoroagile.pdf

Parere del tutto personale, era meglio se si fossero astenuti su questi aspetti. Quantomeno, considerando che parliamo di un documento ministeriale, probabilmente sarebbe stato opportuno farle preventivamente valutare da un esperto ICT.

La “PARTE SECONDA – LE CONDIZIONI PER L’ACCESSO ALLA PRESTAZIONELAVORATIVA IN FORMA AGILE” contiene infatti alcuni svarioni francamente evitabili.

Ad esempio, quando recita che:

l’accesso alle risorse digitali ed alle applicazioni dell’amministrazione raggiungibili tramite la rete internet deve avvenire attraverso sistemi di gestione dell’identità digitale (sistemi Multifactor authentication, tra i quali, ad esempio, CIE e SPID), in grado di assicurare un livello di sicurezza adeguato e tramite sistemi di accesso alla rete predisposti sulla postazione di lavoro in dotazione in grado di assicurare la protezione da qualsiasi minaccia proveniente dalla rete (c.d. zero trust network). Alternativamente si può ricorrere all’attivazione di una VPN (Virtual Private Network, una rete privata virtuale che garantisce privacy, anonimato e sicurezza) verso l’ente, oppure ad accessi in desktop remoto ai server“.

Deve essere stato difficile riuscire a condensare una serie d’inesattezze così grossolane in poche righe.

Partiamo dall’autenticazione usando CIE o SPID che, appunto, garantiscono una autenticazione forte ma non garantiscono alcuna sicurezza su altri fronti.

Zero trust” non è un sistema, ma un paradigma, e non significa “protezione da qualsiasi minaccia proveniente dalla rete“: significa che ogni elemento della rete, anche interna, deve attuare misure di protezione adeguate senza fidarsi degli altri host. Parlare oggi di “zero trust” all’interno della PA è sicuramente opportuno, ma credo difficilmente attuabile (almeno nel breve periodo).

Si parla poi di VPN, come se fosse una alternativa ai sistemi prima citati (!) quando, probabilmente, al momento è uno degli strumenti migliori per garantire – se opportunamente implementata – sicurezza sia nel trasporto che nell’autenticazione.


uno dei desktop accessibile via RDP di un Comune italiano, velocemente recuperabile su Shodan

Il culmine si raggiunge probabilmente nell’ultima “opzione”, quando parla diaccessi in desktop remoto ai server“, decisamente una delle scelte peggiori che una PA può fare (ma che, purtroppo, ancora oggi fa).

Sarebbe bastato leggere un report recente sui vettori di attacco (ad esempio, l’ultimo Rapporto CLUSIT) per scoprire che il protocollo RDP, dopo SSH, risulta essere il più abusato (interessante anche l’ultima relazione della Unit42 di PaloAlto sugli attacchi ai servizi esposti).

Come se non fosse abbastanza, francamente non riesco a comprendere l’ultima prescrizione in merito:

“di norma non può essere utilizzata una utenza personale o domestica del dipendente per le ordinarie attività di servizio, salvo i casi preventivamente verificati e autorizzati. In quest’ultima ipotesi, sono fornite dall’amministrazione puntuali prescrizioni per garantire la sicurezza informatica“.

Credo sarebbe sufficiente, e lo dico perché mi son trovato a dover dare indicazioni in merito, usare un canale sicuro (come, ad esempio, una connessione VPN cifrata con autenticazione 2FA) ed evitare che i dati istituzionali possano uscire dal perimetro.

Peraltro, le tecnologie per implementare soluzioni simili spesso sono già presenti o, comunque, facilmente implementabili (garantendo adeguata sicurezza a prescindere dal tipo di connessione che il dipendente sta usando).

Soluzioni tecnologiche che, unite a una adeguata formazione sui rischi cyber e protocolli per la sicurezza delle informazioni, dovrebbero essere sufficienti a offrire una adeguata protezione ai dati e sistemi della PA italiana.

Che, almeno stando alle ultime analisi effettuate da AgID (“Uno sguardo ai server della Pubblica Amministrazione attraverso i dati di Shodan, AgID, Novembre 2021), questi sistemi richiederebbero interventi urgenti per la risoluzione di numerose vulnerabilità note, anche nell’ottica di favorire il lavoro da remoto.

Tra parentesi, la pubblicazione citata sottolinea come vi siano oltre 640 servizi RDP “Remote Desktop Protocol” esposti sul web da parte di alcune PA italiane.

Per finire, in un periodo in cui gli attacchi ai sistemi informatici delle PA sembrano intensificarsi e le vicende accadute in Regione Lazio hanno, in qualche modo, stimolato anche l’opinione pubblica sulle tematiche relative ai rischi cyber, la pubblicazione di un documento contenente certe bislacche indicazioni lascia piuttosto sorpresi. E preoccupati.

Voglio sperare che sia stata una svista e che chi di dovere provveda a rettificare le indicazioni nell’ottica di garantire, per davvero, la sicurezza dei dati e dei sistemi della PA italiana.

Michele Pinassi
Nato e cresciuto a Siena, è Responsabile della Cybersecurity dell’Università di Siena. Lavora nel campo ICT da oltre 20 anni, usando esclusivamente software libero. Da sempre attento alle tematiche sulla privacy e sui diritti civili digitali, attraverso il suo blog nato nel lontano 2000, è ancora attivamente impegnato nel sensibilizzare i cittadini su queste tematiche.

Lista degli articoli

Articoli in evidenza

Truffe e Schiavitù Digitali: La Cambogia è la Capitale Mondiale della Frode Online

Secondo un nuovo rapporto del gruppo per i diritti umani Amnesty International, pubblicato dopo quasi due anni di ricerche sulla situazione, la Cambogia resta un punto caldo sulla mappa mondiale della...

Dopo aver criptato mezzo mondo, Hunters International chiude! Distribuito gratuitamente il Decryptor

Hunters International, il gruppo responsabile di uno dei più grandi attacchi ransomware degli ultimi anni, ha annunciato ufficialmente la cessazione delle sue attività. In una dichiarazione ...

Da AI white ad AI black il passo è breve. Nuovi strumenti per Script Kiddies bussano alle porte

I ricercatori di Okta  hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...

Se è gratuito, il prodotto sei tu. Google paga 314 milioni di dollari per violazione dei dati agli utenti Android

Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...

CTF di RHC 2025. Ingegneria sociale in gioco: scopri la quarta “flag” non risolta

La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...