Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

La PA e la cybersecurity del “lavoro agile”

Michele Pinassi : 7 Dicembre 2021 11:36

Autore: Michele Pinassi

Data Pubblicazione: 07/12/2021

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Pubblicate le nuove linee guida in materia di lavoro “agile” nella PA italiana, a cura del Ministero della Pubblica Amministrazione. Senza scendere in considerazioni politiche, per le quali credo sia sufficienti le dichiarazioni del Min. Brunetta, le linee guida scendono anche nei dettagli tecnici relativi alle dotazioni tecnologiche dei dipendenti “agili”.

Le linee guida sono scaricabili a questa URL: www.funzionepubblica.gov.it/sites/funzionepubblica.gov.it/files/lineeguidalavoroagile.pdf

Parere del tutto personale, era meglio se si fossero astenuti su questi aspetti. Quantomeno, considerando che parliamo di un documento ministeriale, probabilmente sarebbe stato opportuno farle preventivamente valutare da un esperto ICT.

La “PARTE SECONDA – LE CONDIZIONI PER L’ACCESSO ALLA PRESTAZIONELAVORATIVA IN FORMA AGILE” contiene infatti alcuni svarioni francamente evitabili.

Ad esempio, quando recita che:

l’accesso alle risorse digitali ed alle applicazioni dell’amministrazione raggiungibili tramite la rete internet deve avvenire attraverso sistemi di gestione dell’identità digitale (sistemi Multifactor authentication, tra i quali, ad esempio, CIE e SPID), in grado di assicurare un livello di sicurezza adeguato e tramite sistemi di accesso alla rete predisposti sulla postazione di lavoro in dotazione in grado di assicurare la protezione da qualsiasi minaccia proveniente dalla rete (c.d. zero trust network). Alternativamente si può ricorrere all’attivazione di una VPN (Virtual Private Network, una rete privata virtuale che garantisce privacy, anonimato e sicurezza) verso l’ente, oppure ad accessi in desktop remoto ai server“.

Deve essere stato difficile riuscire a condensare una serie d’inesattezze così grossolane in poche righe.

Partiamo dall’autenticazione usando CIE o SPID che, appunto, garantiscono una autenticazione forte ma non garantiscono alcuna sicurezza su altri fronti.

Zero trust” non è un sistema, ma un paradigma, e non significa “protezione da qualsiasi minaccia proveniente dalla rete“: significa che ogni elemento della rete, anche interna, deve attuare misure di protezione adeguate senza fidarsi degli altri host. Parlare oggi di “zero trust” all’interno della PA è sicuramente opportuno, ma credo difficilmente attuabile (almeno nel breve periodo).

Si parla poi di VPN, come se fosse una alternativa ai sistemi prima citati (!) quando, probabilmente, al momento è uno degli strumenti migliori per garantire – se opportunamente implementata – sicurezza sia nel trasporto che nell’autenticazione.


uno dei desktop accessibile via RDP di un Comune italiano, velocemente recuperabile su Shodan

Il culmine si raggiunge probabilmente nell’ultima “opzione”, quando parla diaccessi in desktop remoto ai server“, decisamente una delle scelte peggiori che una PA può fare (ma che, purtroppo, ancora oggi fa).

Sarebbe bastato leggere un report recente sui vettori di attacco (ad esempio, l’ultimo Rapporto CLUSIT) per scoprire che il protocollo RDP, dopo SSH, risulta essere il più abusato (interessante anche l’ultima relazione della Unit42 di PaloAlto sugli attacchi ai servizi esposti).

Come se non fosse abbastanza, francamente non riesco a comprendere l’ultima prescrizione in merito:

“di norma non può essere utilizzata una utenza personale o domestica del dipendente per le ordinarie attività di servizio, salvo i casi preventivamente verificati e autorizzati. In quest’ultima ipotesi, sono fornite dall’amministrazione puntuali prescrizioni per garantire la sicurezza informatica“.

Credo sarebbe sufficiente, e lo dico perché mi son trovato a dover dare indicazioni in merito, usare un canale sicuro (come, ad esempio, una connessione VPN cifrata con autenticazione 2FA) ed evitare che i dati istituzionali possano uscire dal perimetro.

Peraltro, le tecnologie per implementare soluzioni simili spesso sono già presenti o, comunque, facilmente implementabili (garantendo adeguata sicurezza a prescindere dal tipo di connessione che il dipendente sta usando).

Soluzioni tecnologiche che, unite a una adeguata formazione sui rischi cyber e protocolli per la sicurezza delle informazioni, dovrebbero essere sufficienti a offrire una adeguata protezione ai dati e sistemi della PA italiana.

Che, almeno stando alle ultime analisi effettuate da AgID (“Uno sguardo ai server della Pubblica Amministrazione attraverso i dati di Shodan, AgID, Novembre 2021), questi sistemi richiederebbero interventi urgenti per la risoluzione di numerose vulnerabilità note, anche nell’ottica di favorire il lavoro da remoto.

Tra parentesi, la pubblicazione citata sottolinea come vi siano oltre 640 servizi RDP “Remote Desktop Protocol” esposti sul web da parte di alcune PA italiane.

Per finire, in un periodo in cui gli attacchi ai sistemi informatici delle PA sembrano intensificarsi e le vicende accadute in Regione Lazio hanno, in qualche modo, stimolato anche l’opinione pubblica sulle tematiche relative ai rischi cyber, la pubblicazione di un documento contenente certe bislacche indicazioni lascia piuttosto sorpresi. E preoccupati.

Voglio sperare che sia stata una svista e che chi di dovere provveda a rettificare le indicazioni nell’ottica di garantire, per davvero, la sicurezza dei dati e dei sistemi della PA italiana.

Michele Pinassi
Nato e cresciuto a Siena, è Responsabile della Cybersecurity dell’Università di Siena. Lavora nel campo ICT da oltre 20 anni, usando esclusivamente software libero. Da sempre attento alle tematiche sulla privacy e sui diritti civili digitali, attraverso il suo blog nato nel lontano 2000, è ancora attivamente impegnato nel sensibilizzare i cittadini su queste tematiche.

Articoli in evidenza

Windows Server: falla critica scoperta in Active Directory

Microsoft ha rilasciato un aggiornamento di sicurezza critico per risolvere il CVE-2025-29810, una vulnerabilità di elevazione dei privilegi che colpisce Active Directory Domain Services (AD DS)....

Il Mito della Biometria Sicura! La Verità Shock sui Nuovi Attacchi Digitali

Se ti violano la password, cambi la password. Se ti violano l’impronta digitale, non puoi cambiare il dito. Fatta questa doverosa premessa, l’autenticazione biometrica sta sostituendo at...

Microsoft Remote Desktop in Pericolo: Rilasciate 2 Patch Di Sicurezza di cui una RCE

E’ stata scoperta una nuova falla di sicurezza che affligge i Servizi di Desktop remoto di Microsoft Windows che potrebbe consentire agli aggressori di eseguire codice arbitrario in remoto sui ...

Allarme Microsoft: un exploit zero-day di Privilege Escalation sfruttato per rilasciare Ransomware

Microsoft Threat Intelligence ha rivelato lo sfruttamento attivo di una vulnerabilità zero-day nel Common Log File System (CLFS) di Windows, identificata come CVE-2025-29824. L’exploit, ut...

Allarme sicurezza Fortinet: falla critica su FortiSwitch consente cambio password da remoto

Fortinet ha rilasciato un avviso di sicurezza per risolvere una vulnerabilità critica nei prodotti FortiSwitch. La vulnerabilità, identificata come CVE-2024-48887 (CVSS 9.3), potrebbe consen...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006