Acquisti pubblica amministrazione italiana: il portale è un colabrodo

Redazione di Hardware Upg · 19-06-2014, 08:41

Link alla notizia: http://www.hwupgrade.it/news/web/acq...odo_52842.html

Il Fatto Quotidiano ha pubblicato un report per denunciare il grado di sicurezza del Portale degli acquisti della Pubblica Amministrazione. Un utente mediamente esperto poteva non solo impostare alcune opzioni del Portale, ma anche accedere a dati privati sensibili. Dopo la denuncia da parte del quotidiano la struttura del sito è cambiata, con un form per il login per gli amministratori

Click sul link per visualizzare la notizia.

cm0s · 19-06-2014, 09:21

mi chiedo come sia possibile tutto ciò!!

koni · 19-06-2014, 09:23

notizia un po' vecchia dato che hanno sistemato già ieri mattina
leggete le news da toms e dopo le postate il giorno dopo :P

Tasslehoff · 19-06-2014, 19:29

Si ma ragazzi, posso capire (ma non giustificare) una certa vaghezza delle informazioni da parte di un quotidiano o una testata generalista, ma da un sito (sulla carta) specializzato mi aspetto qualcosa di più...

Per come avere riportato la notizia sembra che fosse possibile loggarsi all'interfaccia di backend dell'applicazione e accedere direttamente al dbms, quando invece si trattava semplicemente dell'interfaccia del solo motore di indicizzazione usato dall'applicazione.
Questo non per sminuire la gravità del caso, ma per dare una giusta informazione sulla problematica.

Più in generale posso dire che proprio da consulente IT che lavora prevalentemente per la pubblica amministrazione questo incidente non mi sorprende nemmeno un po'.
Ovviamente viene spontaneo sparare sulla croce rossa denunciando il lassisimo e l'incompetenza della PA (lungi da me negare questi dati oggettivi, e dato che ci lavoro dentro da più di 10 anni qualcosina penso di saperne...), in realtà questa casistica è lo specchio esatto della attuale condizione dell'IT nella PA.

Giusto due dati:

nella PA qualsiasi cosa si muova nel comparto IT viene fatta da consulenti (per mille motivi che non sto qui a spiegare per non andare troppo OT).
qualsiasi attività di una certa consistenza è sottoposta a gara d'appalto al ribasso
le gare hanno dei requisiti tali da permettere solo a grandi realtà di partecipare (fatturato, storico di altre gare simili vinte, certificazioni unicamente formali e tutt'altro che tecniche)
con l'esclusione di un paio di casistiche le grandi realtà informatiche presenti in Italia hanno solo una struttura commerciale e non tecnica, alcune per scelta, altre per cattiva gestione o spartizione pseudo-politica (es Telecom Italia, uno dei grossi nomi nell'IT nazionale, fino a pochi anni fa aveva un comparto IT veramente d'eccellenza, ora del tutto smantellato).
Per questo motivo tutte subappaltano le commesse a società partner (generalmente piccole o piccolissime) che hanno quasi soltanto personale tecnico e che si smazzano tutto il lavoro

E' ovvio che con questa struttura i big che ci mettono la faccia (e si presentano dal cliente giusto una volta ogni 6 mesi o 1 anno a firmare un contratto) danno un contributo pari a ZERO, prendendosi però un bel markup.
Dato che con la celeberrima "spending review" i fondi a disposizione degli enti pubblici si sono ridotti, le gare hanno avuto una stretta.

Secondo voi dove hanno tagliato?
Sulle licenze? Es aumentando i software open a scapito dei prodotti commerciali.
Sulla burocrazia? Es riducendo i vincoli alle gare in modo da permettere alle piccole società (che poi in definitiva sono quelle che portano avanti i lavori) di partecipare direttamente tagliando i big-parassiti che non danno alcun contributo reale?
Ovviamente no, hanno tagliato sui costi del personale, ottenendo quindi gare dove i costi per tecnico senior (sviluppatore, sistemista, analista, webdesigner, grafico) partono da 160 € a giornata e spesso si chiudono a 140 € a giornata o meno.

All'apparenza può non sembrare male, ma se fate due conti risultano 20 € o meno l'ora per una figura altamente specializzata, senior e che fa un lavoro di grande responsabilità (e credetemi, quando gestite un portale o un servizio che in caso di down genera articoli su Repubblica o Corriere, oppure blocco totale di pagamenti su tributi o blocco di uffici pubblici, la pressione e la responsabilità di fanno sentire...

), ne più ne meno come un garzone dal panettiere (con tutto il rispetto per questa nobile professione).

Fino a qualche anno fa le gare si chiudevano a circa 300-350 euro a giornata, e non pensiate che siano tanti, tra subappalti e costi di gestione sono giusti giusti per pagare al tecnico i suoi 1400-1500 euro al mese (oggettivamente pochi per una figura senior) e per non far fallire la società per cui questo lavora.
Ora con questi tagli al posto della figura senior ci finisce un junior, neo laureato o diplomato, magari appassionato o volenteroso, ma del tutto inadeguato per il compito e senza esperienza.
Viene venduto come senior, magari affiancato da un senior in fase di setup iniziale (il quale poi viene sballottolato tra mille clienti a spot per poter rendere abbastanza da pagargli lo stipendio, ribadisco sottopagato) e poi lasciato totalmente a se stesso e allo sbando.

Ecco il perchè di queste casistiche, sono la pura e semplice conseguenza di una gestione dissennata nelle procedure di assegnazione delle gare.

tipotipo · 21-06-2014, 11:47

... e purtroppo posso confermare che molto di tutto quanto detto è presente anche nell'ambito sanitario...

L'errore più grosso è lasciare ai politici il controllo della situazione: sono tendenzialmente totalmente incompetenti e si appoggiano a manager assolutamente ricattabili che devono solo far (forse...) quadrare dei bilanci senza minimamente preoccuparsi dei risultati...

gianluca.f · 23-06-2014, 08:30

Quote:

Non era necessario alcuno strumento, o violare alcuna legge, per accedere ai dati sensibili

no certo, se trovo una porta aperta io entro sempre nelle case degli altri.
nessuna legge me lo vieta...

19-06-2014, 09:21	#2
cm0s Senior Member Iscritto dal: Mar 2012 Città: Francia Messaggi: 2055	mi chiedo come sia possibile tutto ciò!! __________________ My PC / FTTH / Elenco Trattative "Per essere traditi bisogna fidarsi...io non l'ho mai fatto" cit. Cap. Price - COD MW2)"

19-06-2014, 19:29	#4
Tasslehoff Senior Member Iscritto dal: Nov 2001 Città: Kendermore Messaggi: 6668	Si ma ragazzi, posso capire (ma non giustificare) una certa vaghezza delle informazioni da parte di un quotidiano o una testata generalista, ma da un sito (sulla carta) specializzato mi aspetto qualcosa di più... Per come avere riportato la notizia sembra che fosse possibile loggarsi all'interfaccia di backend dell'applicazione e accedere direttamente al dbms, quando invece si trattava semplicemente dell'interfaccia del solo motore di indicizzazione usato dall'applicazione. Questo non per sminuire la gravità del caso, ma per dare una giusta informazione sulla problematica. Più in generale posso dire che proprio da consulente IT che lavora prevalentemente per la pubblica amministrazione questo incidente non mi sorprende nemmeno un po'. Ovviamente viene spontaneo sparare sulla croce rossa denunciando il lassisimo e l'incompetenza della PA (lungi da me negare questi dati oggettivi, e dato che ci lavoro dentro da più di 10 anni qualcosina penso di saperne...), in realtà questa casistica è lo specchio esatto della attuale condizione dell'IT nella PA. Giusto due dati: nella PA qualsiasi cosa si muova nel comparto IT viene fatta da consulenti (per mille motivi che non sto qui a spiegare per non andare troppo OT). qualsiasi attività di una certa consistenza è sottoposta a gara d'appalto al ribasso le gare hanno dei requisiti tali da permettere solo a grandi realtà di partecipare (fatturato, storico di altre gare simili vinte, certificazioni unicamente formali e tutt'altro che tecniche) con l'esclusione di un paio di casistiche le grandi realtà informatiche presenti in Italia hanno solo una struttura commerciale e non tecnica, alcune per scelta, altre per cattiva gestione o spartizione pseudo-politica (es Telecom Italia, uno dei grossi nomi nell'IT nazionale, fino a pochi anni fa aveva un comparto IT veramente d'eccellenza, ora del tutto smantellato). Per questo motivo tutte subappaltano le commesse a società partner (generalmente piccole o piccolissime) che hanno quasi soltanto personale tecnico e che si smazzano tutto il lavoro E' ovvio che con questa struttura i big che ci mettono la faccia (e si presentano dal cliente giusto una volta ogni 6 mesi o 1 anno a firmare un contratto) danno un contributo pari a ZERO, prendendosi però un bel markup. Dato che con la celeberrima "spending review" i fondi a disposizione degli enti pubblici si sono ridotti, le gare hanno avuto una stretta. Secondo voi dove hanno tagliato? Sulle licenze? Es aumentando i software open a scapito dei prodotti commerciali. Sulla burocrazia? Es riducendo i vincoli alle gare in modo da permettere alle piccole società (che poi in definitiva sono quelle che portano avanti i lavori) di partecipare direttamente tagliando i big-parassiti che non danno alcun contributo reale? Ovviamente no, hanno tagliato sui costi del personale, ottenendo quindi gare dove i costi per tecnico senior (sviluppatore, sistemista, analista, webdesigner, grafico) partono da 160 € a giornata e spesso si chiudono a 140 € a giornata o meno. All'apparenza può non sembrare male, ma se fate due conti risultano 20 € o meno l'ora per una figura altamente specializzata, senior e che fa un lavoro di grande responsabilità (e credetemi, quando gestite un portale o un servizio che in caso di down genera articoli su Repubblica o Corriere, oppure blocco totale di pagamenti su tributi o blocco di uffici pubblici, la pressione e la responsabilità di fanno sentire... ), ne più ne meno come un garzone dal panettiere (con tutto il rispetto per questa nobile professione). Fino a qualche anno fa le gare si chiudevano a circa 300-350 euro a giornata, e non pensiate che siano tanti, tra subappalti e costi di gestione sono giusti giusti per pagare al tecnico i suoi 1400-1500 euro al mese (oggettivamente pochi per una figura senior) e per non far fallire la società per cui questo lavora. Ora con questi tagli al posto della figura senior ci finisce un junior, neo laureato o diplomato, magari appassionato o volenteroso, ma del tutto inadeguato per il compito e senza esperienza. Viene venduto come senior, magari affiancato da un senior in fase di setup iniziale (il quale poi viene sballottolato tra mille clienti a spot per poter rendere abbastanza da pagargli lo stipendio, ribadisco sottopagato) e poi lasciato totalmente a se stesso e allo sbando. Ecco il perchè di queste casistiche, sono la pura e semplice conseguenza di una gestione dissennata nelle procedure di assegnazione delle gare. __________________ https://tasslehoff.burrfoot.it \| Cloud? Enough is enough! \| SPID… grazie ma no grazie "Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say."

19-06-2014, 08:41	#1
Redazione di Hardware Upg www.hwupgrade.it Iscritto dal: Jul 2001 Messaggi: 75166	Link alla notizia: http://www.hwupgrade.it/news/web/acq...odo_52842.html Il Fatto Quotidiano ha pubblicato un report per denunciare il grado di sicurezza del Portale degli acquisti della Pubblica Amministrazione. Un utente mediamente esperto poteva non solo impostare alcune opzioni del Portale, ma anche accedere a dati privati sensibili. Dopo la denuncia da parte del quotidiano la struttura del sito è cambiata, con un form per il login per gli amministratori Click sul link per visualizzare la notizia.

19-06-2014, 09:23	#3
koni Bannato Iscritto dal: Jun 2014 Messaggi: 393	notizia un po' vecchia dato che hanno sistemato già ieri mattina leggete le news da toms e dopo le postate il giorno dopo :P

21-06-2014, 11:47	#5
tipotipo Member Iscritto dal: Dec 2012 Messaggi: 33	... e purtroppo posso confermare che molto di tutto quanto detto è presente anche nell'ambito sanitario... L'errore più grosso è lasciare ai politici il controllo della situazione: sono tendenzialmente totalmente incompetenti e si appoggiano a manager assolutamente ricattabili che devono solo far (forse...) quadrare dei bilanci senza minimamente preoccuparsi dei risultati...

Strumenti
Mostra una versione stampabile Invia questa pagina per email