Una delle domande che mi hanno rivolto spesso è “ esiste una regola/disposizione di legge in merito ai siti web della pubblica amministrazione per la sicurezza nel WEB” ? In un paese dove ci si muove solo ed esclusivamente in base a leggi, regolamenti, circolari ecc. la mia risposta purtroppo è no ! Eppure la PA quale tenutaria di enormi banche dati personali dei Cittadini Italiani dovrebbe essere la prima a curare in modo meticoloso la sicurezza dei propri cittadini nella rete. Non credo ci sia bisogno di fare esempi anche l’anagrafe di un piccolo Comune conserva tutti ma proprio tutti i dati dei propri Cittadini, per non parlare poi di una ASL un Ospedale e quanto altro, non penso che almeno su questo ci sia da discutere. Si sta assistendo ad circolo non virtuoso come dovrebbe essere ma vizioso . Da un lato si spingono i cittadini è la PA ad usare mezzi sempre più informatizzati basati sulla rete da un altro non ci rende conto che allo stato è come dare una pistola carica ad un bambino sperando che non si faccia male o non faccia male agli altri. Lo chiamata Torre di Babele ed in effetti questo mia profezia si sta puntualmente avverando. Se da un lato c’è stato un lodevole aumento della presenza nel WEB della PA centrale e locale da un altro la interoperabilità dei vari sistemi a volte  messi su artigianalmente senza una regola minima ( Chi mi conosce sa che non amo le regole) ma soprattutto senza una minima considerazione sulla sicurezza e sulla riservatezza dei dati dei Cittadini ed anche degli stessi dipendenti della PA che hanno il più delle volte i loro indirizzi email in data base facilmente accessibili.

Lo stato dell’arte della certificazione digitale della PA nel web.

L’ultima disposizione di legge in materia il decreto sulle semplificazioni emanato quest’anno impone che dal 2014 si comunicherà con la PA solo attraverso il WEB, tutte una serie di notizie sono apparse nei media negli ultimi mesi. Questa lodevole iniziativa non è accompagnata da nessun minimo di norme di come questo possa avvenire, conseguentemente ognuno farà come crede.

ALCUNI DATI

Direi che la base del nostro sistema pone il Comune come aggregatore principale ed essenziale d’informazioni da quest’antico organismo si traggono le basi di tutto lo scibile della popolazione Italiana ma la base di  tutto l’apparato produttivo Imprese professionisti ecc. Rappresenta altresì il modello da cui trarre un minimo d’informazione al fine di verificare il grado di sensibilità alla sicurezza nelle applicazioni web nella PA. I dati tratti dall’ANCITEL sono assolutamente confortanti si può parlare di una presenza nel web vicina al 100% dei Comuni Italiani.

1) Nessuna schematizzazione comune per alcuni servizi essenziali come ad esempio l’anagrafe ognuno fa come crede, in tema che sta tanto a cuore il governo “la spending Review” almeno i servizi di base potrebbero essere realizzati con un modello unico e soprattutto interoperabili.

2) Fruibilità del sito non è indispensabile ma uno schema di base sarebbe utile.

3) Sicurezza, da un esame effettuato con il nostro sistema di controllo SSL solo alcune decine, di Comuni hanno provveduto a mettere in sicurezza gli accessi ad applicazioni web.

Discorso analogo per gli altri enti pubblici locali, Regioni, provincie, per non parlare delle ASL e Ospedali ecc., dove sembra ci sia una gara a realizzare siti web con la prerogativa che ognuno fa come gli pare, un esempio per tutti venuto alla cronaca proprio in questi giorni la Provincia di Cuneo che fa scuola nel modo in cui viene interpretata la sicurezza nel web dagli enti pubblici dove in sintesi si fa esattamente quanto già  visto nel caso Anagrafe Tributaria citato e riportato in appendice 3 salvo rientrare subito non appena il caso viene segnalato ( vedi frase evidenziata in Giallo) questo è quello che viene fuori nel sito della Provincia di Cuneo mentre sto scrivendo .

Si informa l’utenza che tutti i certificati digitali SSL/TLS presenti sulle aree sicure del portale (dominio provincia.cuneo.it), sono emessi direttamente della Provincia di Cuneo.

Quando un browser incontra un certificato digitale non firmato da una Certification Authority, informa l’utente e chiede se procedere o meno sul sito.

Per accedere ai vari servizi SSL/TLS occorre dunque procedere, confermando l’eccezione.

Accedi ai servizi SSL/TLS della Provincia di Cuneo

• Portale appalti: https://appalti.provincia.cuneo.it/
• Webmail: https://www.provincia.cuneo.it/webmail
• Gestione presenze: https://www.provincia.cuneo.it/dol
• Servizi on line: https://servizi.provincia.cuneo.it/
• Servizi per i comuni: https://www.provincia.cuneo.it/area_protetta/comuni/gare_appalto/
• Atti del Consiglio: https://www.provincia.cuneo.it/area_protetta/consiglio/

E’ in fase di acquisizione un certificato digitale emesso da una Certification Authority.

Realizzare un indagine completa sulla PA on-line richiederebbe anni, salvo poi iniziare da capo, difatti la progressione se così la si può chiamare è continua nel senso che non esiste una organicità ed un disegno quadro su come la PA debba fornire tutta una serie di servizi on-line al cittadino ed anche a se stessa visto che i vari settori della PA debbono pur usare il web per comunicare più velocemente, facilmente ed in sicurezza fra loro. Tutto questo però è fantascienza in quanto semplicemente l’incomunicabilità della PA con se stessa è un fatto reale, Interoperabilità, compatibilità standard di comunicazione ed accesso hai dati sono parole senza senso per la PA in Italia.

La Posizione del garante dei dati personali

In assenza di una normativa specifica il garante si è mosso fino ad oggi in base a segnalazioni e denunce come quella relativa all’Anagrafe Tributaria ed enti ad essa collegati dove il garante ha effettivamente tracciato dei paletti importanti che possono, purtroppo, essere usati solo per analogia in altri casi simili l’esame compiuto dallo stesso è però completo e significativo ed è stato riportato per intero nell’appendice 3 di questo libro, gli aspetti più importanti tratti integralmente sono i seguenti:

CONTROLLO A LARGO RAGGIO

Gli accertamenti ispettivi hanno avuto luogo presso l’Agenzia delle entrate, Sogei S.p.A. (Società generale d’informatica, responsabile del trattamento dei dati contenuti nell’anagrafe tributaria), regioni, province, comuni e altri enti che accedono a tale anagrafe, con la piena collaborazione degli enti coinvolti. Le verifiche hanno consentito di evidenziare criticità, in ambito sia informatico, sia organizzativo, documentate nei verbali in atti.

Dalle risultanze emerge che i sistemi di collegamento all’anagrafe tributaria utilizzati dai soggetti esterni all’amministrazione finanziaria sono i seguenti:

     “Siatel”, applicazione web utilizzata principalmente da comuni, province, regioni, università, asl e consorzi di bonifica, per un totale di circa 9.400 enti e 60.000 utenze, che consente di visualizzare dati anagrafici completi, dati fiscali e atti del registro relativi alla totalità dei contribuenti;

     “Puntofisco”, applicazione web di recente realizzazione e attualmente in dotazione a enti previdenziali, tribunali, camere di commercio e società varie, per un totale di circa 180 enti e 18.000 utenze. Puntofisco

 consente di visualizzare dati anagrafici, fiscali e atti del registro relativi alla totalità dei contribuenti, più aggiornati e con maggiore segmentazione delle informazioni rispetto a Siatel (ad es., differenziando tra dati anagrafici attuali o completi dello storico), ma permette anche di accedere a dati sensibili (presenti nel dettaglio degli oneri deducibili);

     “3270 enti esterni”, collegamento diretto, tramite terminali fisici o emulatori di terminale, ai sistemi centrali dell’anagrafe tributaria, in corso di dismissione per esigenze di aggiornamento tecnologico, che tuttora consente a soggetti anche privati (Telecom Italia S.p.A., Enel, Inail, Inps, camere di commercio, Ministero delle politiche agricole, “interforze”) di collegarsi a informazioni anagrafiche e fiscali relative alla totalità dei contribuenti; la struttura dell’applicativo non consente all’Agenzia delle entrate di conoscere il numero di utenti;

     “Entratel”, applicativo utilizzato dagli enti principalmente ai fini della trasmissione delle dichiarazioni, con flussi di dati solo in entrata verso l’Agenzia delle entrate; le credenziali di autenticazione fornite dall’Agenzia permettono altresì all’operatore di visualizzare la posizione fiscale dell’ente attraverso l’apposita web application (“Fisconline”/”Cassetto fiscale”);

     “web services”, strumenti realizzati sulla base di specifiche tecniche definite caso per caso dall’Agenzia delle entrate, che consentono di accedere a dati anagrafici anche completi relativi alla totalità dei contribuenti. Tali collegamenti sono utilizzati da 21 enti, ma la configurazione del collegamento non consente all’Agenzia di conoscere il numero di utenti;

     “file transfer”, collegamenti per la gestione di flussi di dati per la gran parte in entrata (principalmente provenienti da banche), ma alcuni anche in uscita (ad es., verso concessionari della riscossione), utilizzati da circa 200 enti.

Mi sembra evidente che l’indagine abbia coinvolto seppur indirettamente più di un ente a cascata, il lungo elenco riguarda non solo l’Agenzia delle Entrate e sue appaltanti (SOGEI) ma come è ovvia anche tutti gli enti e privati cittadini che hanno la possibilità di accedere alle relative banche dati, in sostanza un numero indefinito di utenti come si evince chiaramente che usano principalmente un interfaccia ( sito-web) per connettersi. L’attività del Garante seppur molto scrupolosa non è riuscita ad ottenere tutta una serie d’informazioni essenziali ai fini della valutazione del rischio da parte degli utenti, del resto non era compito dello stesso entrare nel merito. Ritengo però utile a tutti leggere l’intero provvedimento, sarebbe addirittura molto utile avere il rapporto originale redatto dagli Ispettori del Garante, è comunque un documento guida da additare come esempio di corretto intervento.

In finale cercando di rimanere nel tema della certificazione digitale nel web da parte della PA si arrivati ad alcune importanti conclusioni che riporto:

“2.1.1. Sicurezza dei sistemi di autenticazione

Criticità

Per le web application è stato utilizzato un certificato Ssl di tipo self signed (non firmato da una Ca, Certification authority, ufficiale) non attendibile che, in  mancanza di  una  Ca  affidabile, non offre le  garanzie di certezza dell’identità dell’erogatore del servizio tipiche della certificazione digitale tramite Pki (public key infrastructure): risultano pertanto facilitate azioni di phishing in danno di utenti del sistema e la possibile acquisizione indebita di credenziali di autenticazione, idonea a consentire utilizzi impropri dell’applicazione.

Dalle  risultanze  agli  atti  emerge  inoltre  che,  rispetto  a  taluni  collegamenti, l’identificazione dell’utente  finale dell’applicazione è in molti casi in capo all’ente esterno. L’Agenzia non ha pertanto alcuna conoscenza dell’effettiva identità e del numero degli utenti che accedono, con tali modalità di connessione, da sistemi informativi esterni collegati direttamente all’anagrafe tributaria (ad es., 3270 enti esterni e web services).

È risultato, poi, possibile accedere alle web application Siatel e Puntofisco attraverso l’utilizzo delle medesime credenziali contemporaneamente da postazioni diverse, anche con indirizzo Ip diverso (perfino da rete esterna all’ente), nonostante, per quanto riguarda il Siatel, all’atto dell’accesso tale possibilità venga  esclusa da un apposito avviso.”

Da queste rilevazioni per la parte WEB si è quindi arrivati all’assoluta proibizione dell’uso di Certificati digitali emessi dallo stesso ente “self signed” Prescrivendo:

Prescrizioni

L’Agenzia deve prevedere che tutte le applicazioni accessibili da rete pubblica in forma di web application siano implementate con protocolli https/ssl provvedendo ad asseverare l’identità digitale dei server erogatori dei servizi tramite l’utilizzo di certificati digitali emessi da una Certification Authority ufficiale, evitando il ricorso a certificati di tipo self-signed.

Allo scopo di identificare le postazioni da cui vengono effettuati gli accessi, occorre inoltre che l’Agenzia implementi un sistema di certificazione digitale e di censimento delle postazioni terminali, in modo da realizzare procedure di autenticazione che, basandosi sul mutuo riconoscimento tra i server che erogano il servizio e le postazioni che accedono a esso, consentano di definire condizioni di accesso più complesse e sicure per determinate classi di incaricati o profili di autorizzazione.

Risulta evidente la precisa ed ovvia indicazione del Garante in materia di Certificazione digitale:

1)   Non può essere valida una certificazione “fatta in casa” anche se chi la fa è un ente pubblico

2)  Il certificatore deve essere terza parte

3) L’identità digitale deve essere accertata anche per i siti web, direi special modo, della PA. Quest’ultima affermazione in piena preveggenza di quanto l’ “electronic identification and trust services for electronic transactions in the internal market” emanato proprio in questi giorni dalla UE.

Ovviamente la logica avrebbe consigliato al Garante di proseguire nell’accertamento andando a visitare le centinaia di enti collegati con le banche dati dell’Agenzia delle entrate, sicuramente ciò avrebbe significato un impegno enorme, conseguentemente si assiste ancora oggi ad episodi come quello segnalato dall’associazione Cittadini di internet della Provincia di Cuneo, o dell’ ASL di Chieti vedi immagine qui sotto tanto per citare un paio di esempi ma c’è ne sono centinaia.

In sede di Spending Review fatta come vedo dal decreto omonimo ritengo ironicamente che cose come la certificazione dei siti web sia da abolire visto che costa l’enorme cifra di  circa  500 Euro per Comune o ASL ad esempio,  mentre si spendono migliaia di Euro per siti web dove forse solo gli autori degli stessi riescono a districarsi e navigare veri e propri guazzabugli d’informazione messi li a casaccio.. Evidentemente frasi come razionalizzazione dei sistemi informativi ed uso corretto e intelligente delle nuove tecnologie sono senza senso per coloro che dovrebbero razionalizzare la PA Italiana spendendo meno ovviamente qualora si usi un minimo di discernimento.

Asl Chieti: pagare ticket online non è sicuro.

Il certificato di sicurezza dell’Asl è scaduto dal 15 dicembre 2011

Tweet