La pandemia ha intensificato la dipendenza dalle tecnologie anche nell’istruzione, con l’aumento degli attacchi IT. Acronis spiega perché e come difendere i sistemi scolastici non protetti. Mai come ora, infatti, gli studenti utilizzano strumenti tecnologici per lo studio in classe e da casa e per interagire con insegnanti e personale scolastico. Proteggere i sistemi degli istituti d’istruzione primari, medi e superiori, delle università e delle scuole professionali è una sfida gravosa anche per i più qualificati professionisti IT.
Quali i problemi principali per gli MSP
Alle reti di queste strutture devono poter accedere personale, studenti e altri interlocutori. Tuttavia la navigazione tra i diversi livelli di accesso di ogni gruppo di utenti genera ulteriori rischi. Questa è solo una delle tante problematiche evidenziate da Acronis a cui devono far fronte gli MSP che lavorano con gli istituti di istruzione. Quasi quanto il mancato aggiornamento dei software, anche i dispositivi di supporto collegabili ai computer, come le unità USB, i dischi rigidi esterni, i CD o i DVD rappresentano una sfida per gli MSP/MSSP che forniscono servizi di sicurezza informatica a questo settore. Con l’espansione della dimensione e dell’ambito delle violazioni dei dati, non si insisterà mai abbastanza sull’esigenza di standard di cybersecurity improntati alla resilienza.
Perché e come difendere gli istituti scolastici
L’agenzia indipendente Gao (Government Accountability Office), che lavora per il Congresso Usa, segnala che le interruzioni operative degli istituti scolastici successive a un attacco informatico durano da 3 giorni a 3 settimane. Mentre per il ripristino occorrono dai 2 ai 9 mesi. Oltre agli hacker solitari, gli MSP devono far fronte a governi e gruppi di criminali stranieri altamente specializzati, che puntano ai dati di dipendenti e studenti e ad altre informazioni sensibili.
Qui di seguito alcune modalità le quali i criminali riescono ad accedere ai dati dei sistemi scolastici:
Scam di phishing: tramite una richiesta fraudolenta che arriva via e-mail o siti web.
Attacco ransomware: con un software dannoso che impedisce di accedere ai computer e chiede un riscatto.
Attacco DDoS (Distributed Denial of Service): siti web, server e computer subiscono attacchi massicci e continui che li sovraccaricano. Impedendo così agli utenti autorizzati di accedere a reti e sistema.
Zoombombing: gli attaccanti irrompono nelle videoconferenze con materiale pornografico, linguaggio minaccioso o inappropriato.
Scarseggiano le risorse
L’agenzia governativa Usa Rems (Readiness and Emergency Management for Schools) suggerisce di adottare criteri di sicurezza digitale per proteggere gli studenti dalle minacce online. Applicazioni di blocco e filtro, come firewall, crittografia e sistemi antivirus e anti-malware sono imprescindibili. Non sempre però i finanziamenti sono sufficienti. Rispondendo a un sondaggio del Nationwide Cybersecurity Review (NCSR), istituti medi e superiori indicano come prioritario il problema della carenza di denaro. Circa un quinto delle scuole investono meno dell’1% dell’intero budget IT in cybersicurezza.
Acronis spiega perché difendere i sistemi scolastici
Tuttavia, il costo di un attacco hacker, sia in termini di tempo per il ripristino sia dell’eventuale furto di dati, rende imperativa la disponibilità di risorse per contenere questa minaccia. E questo anche negli ambienti con budget limitati, dove rientra la maggior parte degli istituti scolastici e accademici. Malgrado la scarsità di risorse e considerato che il costo medio di una violazione dei dati nel 2022 e negli Stati Uniti è pari a 9,4 milioni di dollari (dati IBM), gli amministratori devono adottare soluzioni di sicurezza. Iniziative che riducano al minimo la loro esposizione e gli MSP possono aiutare a creare misure di difesa più solide e sostenibili per proteggere queste istituzioni.
Imparare a contenere le minacce
Le reti scolastiche, molto estese, costituiscono un bersaglio facile per gli hacker. L’anno scorso un gruppo di ransomware ha attaccato la Florida International University, che conta oltre 48.000 studenti. L’attacco ha riguardato il furto di informazioni personali e relative alla previdenza sociale ed esponendo documenti finanziari e altri dati sensibili. In molti casi, gli istituti di istruzione non devono proteggere solo i dati accademici, ma molto di più.
A chi spetta la responsabilità
Ad esempio, è stata presentata un’azione legale collettiva contro una presunta violazione dei dati avvenuta nel 2021 ai danni del polo ospedaliero universitario dell’University of California di San Diego. Durante l’attacco gli hacker sono riusciti ad accedere a 500.000 account e-mail di dipendenti, con la successiva esposizione di informazioni sanitarie riservate, come risultati di analisi di laboratorio, diagnosi e cartelle cliniche. L’azione legale cita in giudizio anche il consiglio dei reggenti dell’università californiana, sottolineando la loro responsabilità per non aver adottato adeguate misure di Cyber Security.
Perché e come difendere i sistemi scolastici
È evidente quanto sia importante che gli MSP implementino le best practice di settore per la sicurezza e la privacy dei loro clienti. Un valido punto di partenza è imporre delle limitazioni ai dipendenti che possono accedere ai dati sensibili. Altro aspetto critico della difesa digitale è la modernizzazione della sicurezza, con sistemi di backup e protezione integrata.
Misure di sicurezza più efficaci
Il governo statunitense sembra approvare la crescente richiesta di standard di settore. La Cybersecurity and Infrastructure Security Agency ha affermato che per innalzare i livelli di protezione degli istituti medi e superiori è necessario investire in misure di sicurezza più efficaci. Tra queste:
Autenticazione a più fattori (MFA).
Soluzioni di monitoraggio e valutazione proattive che contribuiscono a ridurre le vulnerabilità.
Adozione e test di sistemi e applicazioni per il backup.
Adozione e simulazione periodica dei piani di incident response.
Programmi di formazione e sensibilizzazione su sicurezza informatica e phishing.
