Facendo ricorso al motore di ricerca IOT Shodan, uno studio AGID (Agenzia per l’Italia Digitale) ha focalizzato l’attenzione sulle criticità registrate dai server della Pubblica Amministrazione; in alcuni è stata riscontrata una mancanza di aggiornamento, altri invece sono stati etichettati come “obsoleti”. I dati sono stati raccolti grazie all’IndicePA (IPA), una banca dati, in cui è possibile trovare il “censimento” dei siti della Pubblica Amministrazione, ma solo quelli “istituzionali primari”, che non includono i “sotto domini”. Pertanto, al fine di aumentare i dati a disposizione ed effettuare un’analisi più approfondita, i ricercatori hanno deciso “di usare alcuni tools in grado di identificare sottodomini basandosi su fonti OSINT”.
La ricerca ha puntato la sua attenzione soprattutto sui seguenti settori: Sanità e assistenza; Pubblica Amministrazione Centrale (PAC); Pubblica Amministrazione Locale (PAL); Istruzione. I risultati ottenuti dalla ricerca effettuata attraverso IOT Shodan sono stati suddivisi in due set di dati: “il primo contiene le singole vulnerabilità puntuali (per un totale di 495.762 vulnerabilità che affliggono i sistemi della Pubblica Amministrazione nel suo complesso), il secondo contiene una serie di statistiche aggregate (come score CVSS minimo e massimo) di ogni singolo IP”. Le falle di di livello “High, Medium e Low” sono state riscontrate nel servizio web server Apache. Le vulnerabilità “Critical” sono state rintracciate su tre servizi: Microsoft FTP Server, Microsoft IIS, oltre che ancora su Apache HTTP server. Le informazioni ottenute dalla ricerca, inoltre, hanno avuto una grande utilità, perché hanno supportato i ricercatori nel calcolo delle statistiche sui sistemi operativi e sugli applicativi software usati. Questi dati, poi, potranno essere utilizzati anche per redigere “linee guida, pubblicazioni specifiche e prioritizzazione di corsi sull’hardening dei sistemi operativi”.
L’Agenzia per l’Italia digitale (in acronimo AgID) è una agenzia pubblica italiana, nata per iniziativa del Governo Monti. Il Presidente del Consiglio dei Ministri o una figura da lui delegata ha funzioni di indirizzo e vigilanza sull’Agenzia per l’Italia Digitale. In particolare, l’AgID ha un ruolo importante nella promozione dell’innovazione tecnologica per il corretto funzionamento della pubblica amministrazione; inoltre, l’Agenzia offre servizi ai cittadini e alle imprese, in conformità ai principi di “legalità, imparzialità e trasparenza” e perseguendo i criteri di “efficienza, economicità ed efficacia”. La funzione più importante dell’Agenzia per il Digitale è quella di “accreditare o autorizzare i soggetti, sia quelli pubblici che quelli privati, che svolgono talune attività in ambito digitale”. Infine, gli organi direttivi dell’Agenzia sono: Direttore Generale, Comitato di indirizzo e collegio dei revisori dei conti.