Il Cyber Risk nelle Scuole

Virus, malware, worm, spam e phishing, sono purtroppo diventati la quotidianità di qualsiasi utente, più o meno esperto, della rete. Internet è oramai diventato un ambiente ideale per la proliferazione di minacce in continua evoluzione quantitativa e soprattutto qualitativa.

Che dietro una qualsiasi interazione online (leggere una e-mail, visitare un sito, utilizzare un servizio in rete o aprire un allegato) si possano nascondere tentativi di dannosi attacchi cyber è una realtà con la quale tutti noi dobbiamo confrontarci.

Il raggio di azione delle minacce legate al mondo digitale e a tutti i servizi, le applicazioni e gli ambiti ad esso connessi, è più ampio e di maggior impatto sulla nostra routine quotidiana di quanto si possa pensare.

Ad esempio, quale sarebbe la nostra reazione se scoprissimo che malware e virus si possono annidare anche tra i byte contenuti nelle pagine di semplici libri scolastici?

Eh sì… lo strumento alla base della conoscenza e dell’istruzione scolastica (i libri di testo per l’appunto) sono uno dei maggiori veicoli dei pericoli digitali nella scuola italiana.

Recentemente Kaspersky, una delle Aziende da sempre in prima linea nell’individuazione dei pericoli digitali, ha evidenziato come quella di scaricare libri di testo online sia una pratica estremamente rischiosa e troppo spesso sottovalutata dalle infrastrutture digitali scolastiche.

In rete esistono una miriade di forum, siti web fraudolenti e canali torrent che consentono agli studenti di bypassare l’acquisto “ufficiale” dei materiali scolastici e che con il loro utilizzo su dispositivi messi a disposizione degli alunni - per citare una delle casistiche più comuni - possono provocare dei seri danni all’integrità delle infrastrutture digitali della scuola.

Questo scenario è possibile grazie alle “abilità” dei molti hacker che sfruttano le piattaforme dalle quali vengono effettuati i download con il chiaro e preciso intento di inoculare malware e virus di vario genere, infettando i dispositivi delle vittime.

Basti pensare che tra il 2018 e il 2019 sarebbero stati perpetrati 350.000 attacchi ai danni di oltre 100.000 utenti del Web e che il 60% dei file risultati nocivi fossero nascosti in libri di testo, saggi e altro materiale didattico.

Oltre al web, ovviamente, esistono anche altri metodi di diffusione di queste minacce, ovvero l’utilizzo di servizi di cloud storage, chiavette USB ed E-mail.

Come è ben noto, la scuola è una delle realtà con il più alto traffico di dati e con il minor controllo in termini di organizzazione e gestione informatica.

Nella stragrande maggioranza degli Istituti Scolatici non esiste personale tecnico dedicato al parco informatico né alla gestione o all’amministrazione della rete e, se da un lato è vero che esistono delle aziende che offrono servizi strutturati in ausilio alle Scuole, è altrettanto vero che la maggior parte della gestione viene affidato a persone volenterose che offrono il loro apporto in tal senso.

Aggiungendo a questa realtà lacunosa, la progressiva digitalizzazione della Pubblica Amministrazione, il problema dei rischi Cyber deve essere affrontato con la massima serietà.

In base ai dati raccolti in un recente rapporto dell’Associazione Italiana per la Sicurezza Informatica (Clusit), in Italia, nel solo 2019 gli attacchi informatici classificati come gravi sono stati 1.670, in media uno ogni 5 ore, il 7% in più rispetto all’anno precedente e il 91,2% in più rispetto a cinque anni prima. E i dati in questione riguardano solo gli attacchi reali, ovvero quelli effettivamente andati a segno che hanno provocato danni importanti.

Ma nella Scuola di oggi la concezione di Cyber Risk non può essere limitata solo agli attacchi informatici.  Una corretta definizione di rischio informatico deve comprendere l’insieme dei danni derivanti da azioni accidentali o intenzionali che riguardano software, dati e informazioni gestiti e conservati in formato digitale.

Un approccio errato alla gestione del sistema del trattamento dei dati e delle informazioni possono arrecare alla Scuola danni economici (costi per il recupero o il ripristino dei dati, o per l’interruzione delle attività), danni legali (chiamata in causa da persone che hanno subito danni per esempio per violazione della privacy) e danni di immagine (manipolazione del sito web o delle pagine social).

L’entrata in vigore del GDPR (la normativa sulla protezione dei dati) e del Codice dell’Amministrazione Digitale (D.L. n. 82/2005) aumentano in modo sensibile le responsabilità̀ delle Istituzioni Scolastiche con sanzioni pesantissime per chi perde o diffonde dati senza autorizzazione.

In aggiunta, lo svolgimento della didattica online a causa della pandemia Covid-19 con diversi sistemi non sempre consoni o sicuri, fanno sì che le scuole siano sempre più immerse in un ecosistema digitale e conseguentemente esposte a rischi maggiori.

Prevenire in modo assoluto il Cyber Risk non è ovviamente possibile, ma la messa in pratica di comportamenti corretti, il monitoraggio dei fattori di rischio e una costante formazione al personale e agli studenti possono ridurre l’esposizione delle scuole.

Una soluzione efficace per diminuire il rischio residuo è rivolgersi a consulenti esperti per la stipula di una polizza assicurativa che copra in modo adeguato tutte le casistiche e i danni derivanti da Cyber Risk in relazione all’attività svolta, all’ampiezza della popolazione scolastica e al livello di informatizzazione e quantità di dati raccolti e gestiti dalla scuola.