Registru elettronicu di a scola Axios? Hacked!
L'articulu di Umberto Rapetto, direttore di Infosec.news
U sognu di i studienti di u sumere hè diventatu realità. A perdita di i dati archiviati in u sistema informaticu chì gestisce i registri sculari elettronichi va al di là di e più ambiziose aspettative di Lucignolo.
U fattu hè di tale gravità da lascià mutu ancu quelli chì sò abituati à ùn perde micca l'uccasione di batte e malfatte chì sfurtunatamente abbondanu in u scenariu tecnologicu naziunale.
Mentre chì tutti (grazia à l'atmosfera di a Pasqua passata) aspettanu a risurrezzione di l'infrastruttura informatica sofisticata nantu à a quale si basa u funziunamentu di e Scole, sò assaltatu da una curiosità irrepressibile.
Mi piacerebbe sapè quale hà appruvatu stu sistema, quale hè – in pratica – "l'omu Del Monte chì hà dettu di sì".
A risposta hè simplice è ùn hà micca bisognu di sforzi giganteschi, ancu se in a turbulenza di sti ghjorni nimu si hè primuratu di pone a dumanda.
Se per impartì a so benedizzione carismatica eranu i dipartimenti incaricati di l'Educazione è di l'Innovazione, ci vole à dì chì a cunsacrazione di l'idoneità di i registri elettronichi deve esse ricunnisciuta da l'Agenzia per l'Italia Digitale (o AGID per l'amatori di l'acronimi).
" Income quae sunt Caesaris Caesari et quae sunt Dei Deo " scriverebbe un zitellu abituatu à cupià durante u DAD o à l'istruzione à distanza, se preferite.
A piattaforma in cui si verifica u disastru di l'insignamentu talianu hè stata esaminata è appruvata da i specialisti Agid, resultendu "QUALIFICATA" da u 24 d'aprile 2019 (periodu pre-pandemicu durante u quale pudemu cunnosce, ci era un modu per effettuà ispezioni è dà fisicamente testatu è testatu …).
Ci vole à dì chì per ragioni di sicurezza è affidabilità (cum'è in stu casu) l'Amministrazioni Publiche (è quì e scole) da u 1u d'aprile (ouch, gattivu ghjornu) di u 2019 ponu " acquistà solu servizii IaaS, PaaS è SaaS qualificati da AgID è publicatu in u Mercatu Cloud ".
Traduce per quelli chì parlanu sempre u talianu felice è micca solu per celebrà u 700esimu anniversariu di Alighieri.
In u mondu induve hè frescu d'utilizà acronimi inaccessibili o finta di cunnosce l'inglese (o induve i dui trucchi si scontranu per fà chì nimu ùn capisca nunda è fà fumà un'arma di "distrazione" di massa …), i servizii IT furniti per mezu di u Internet è posti fora di a sfera di quelli chì ne prufittanu, sò piazzati "in u nuvulu" (vale à dì nantu à una sorta di "nuvulu" luntanu da l'utilizatore è spartutu trà parechji sughjetti).
A seconda di u so tippu è di i sfarenti roli di u fornitore di servizii è di l'utente, sò classificati cum'è "IaaS" (Infrastruttura cum'è Serviziu, induve l'infrastruttura hè gestita interamente da u fornitore), "PaaS" (Piattaforma cum'è Serviziu, induve u fornitore mette solu l'infrastruttura à dispusizione è u cliente sviluppa u so software) è "SaaS" (Software as a Service, induve u cliente usa solu "macchine" è prugrammi di u fornitore).
I servizii SaaS (cum'è quellu di u registru elettronicu) sò quelli chì u cliente solu cumple u rolu d'utente è paga assai per u serviziu chì hè furnitu.
E scole anu sceltu a suluzione di registru elettronicu attraversu u "Cloud Marketplace" , questu hè u situ web induve l'Aglidofonu Agid ùn hà micca pussutu truvà un nome talianu per etichettalla.
Prendendu letteralmente ciò chì l'Agenzia per a Gran Bretagna … scusate, per Digital Italy publica in ligna " The AgID Cloud Marketplace hè a piattaforma chì mostra i servizii è l'infrastrutture qualificate da AgID in cunfurmità cù e disposizioni di e Circolari AgID n. 2 è 3 di u 9 d'aprile 2018. Dentru u Cloud Marketplace hè pussibule di vede a scheda tecnica di ogni serviziu chì mette in risaltu e caratteristiche tecniche, u mudellu di costu è i livelli di serviziu dichjarati da u fornitore durante a qualificazione " .
Basatu nantu à l'undicesimu cumandamentu, secondu u quale "ùn averete micca altri SaaS fora di mè", e Scole anu acquistatu u sistema di "registru elettronicu" liberatu in a so decisione da a "procedura di qualificazione" cù a quale l'Agid hà esclusu e soluzioni chì puderia manifestà contraindicazioni o prublemi di ogni tipu.
I dirigenti di a scola, leghjendu chì per u serviziu Didatticu Axios " APP RE Alunni hè l'App dedicata à i sculari chì utilizanu u Registru Elettronicu Axios " è ancu chì " u Segretariatu Digitale Axios hè u core di a Scola Digitale è cura, in ogni aspettu, di u ciculu di vita … ", ùn pudianu micca imaginà a catastrofa di sti ghjorni .
U rigore di a selezzione di i prudutti è a meticulosa dinamica di a so appruvazione hè pruvata da i tempi longhi chì passanu trà l'OK à u "Segretariatu Digitale Axios" (11.15 am u ghjornu prima di u 24 d'aprile 2019) à quellu di u RE Alunni APP (11.45 am di u listessu ghjornu 24). Una mezz'ora dedicata à u Sicretariatu Digitale hè infinita se pensate chì à 21.15 pm u 29 d'Agostu 2019 (sfidendu l'onda di calore estiva) in u listessu minutu (cume si pò leghje in e schede tecniche piazzate nantu à u "Cloud Marketplace") L'Agenzia Digitale hà appruvatu i Servizii " Servizii Web Axios – MAD-ACC ", " Alternanza Scuola Lavoro Web " è u "delicatu Cloud Backup " assai delicatu.
Fermemu quì. Avà qualchissia dice quale l'hà curatu è – in più di dumandassi quantu costa è cumu hè stata scelta a squadra di valutazione – cumencia à fà dui conti di i danni chì u "crimine" hà causatu à tutta a cumunità in un mumentu cusì delicatu .
Ci hè da dumandassi ciò chì Agid hà fattu per rimedià (postu chì hà publicatu a "licenza" d'idoneità per u serviziu di alta tecnulugia di u registru elettronicu) o almenu suggerisce iniziative destinate à mitigà l'effetti negativi di una situazione cusì imbarazzante.
Dumandate à quelli chì parlanu di a "transizione digitale" se questu hè u primu passu. Versu l'abissu.
Articulu publicatu nantu à infosec.news
Questa hè una traduzzione automatica da a lingua italiana di un post publicatu in StartMag à l’URL https://www.startmag.it/innovazione/cosa-dice-agid-sul-registro-elettronico-hackerato-di-axios/ u Sun, 11 Apr 2021 05:36:26 +0000.