a cura di Ryan Witt, cybersecurity strategy director of education di Proofpoint
Da sempre il settore pubblico, compreso il mondo dell’istruzione, è un bersaglio preferito da parte dei cybercriminali, e negli ultimi anni la frequenza, il livello di sofisticazione e il costo relativo degli attacchi IT sono ancora aumentati.
Nel 2019, l'istruzione ha vissuto l’incremento più elevato di frodi via e-mail anno su anno rispetto a ogni altro settore, con una crescita del 192% e una media di 40 attacchi per istituzione. Per il settore pubblico, il costo medio annuo dovuto alla criminalità informatica è di quasi 8 milioni di dollari.
Anche se a prima vista sembrano allarmanti, questi dati risultano meno sorprendenti se si considera che, in una classifica articolata su 17 settori, quello dell’Education ha ottenuto l’ultimo posto per la preparazione alla sicurezza informatica.
Ora, un settore già non adeguatamente pronto si trova ad affrontare una sfida ancora più grande. La pandemia ha infatti costretto gli istituti scolastici di tutto il mondo ad affidarsi alla didattica a distanza e chi già faticava a proteggere i propri numerosi punti di accesso, ha visto la potenziale superficie di attacco estendersi rapidamente.
I cyber criminali non hanno perso tempo per approfittare della situazione. Come evidenzia un recente studio dell'FBI, gli autori delle minacce cercano attivamente di sfruttare questa nuova fiducia nel virtuale. Senza cambiamenti significativi delle misure di sicurezza, l'istruzione resta quindi un bersaglio fisso.
Un disastro in arrivo?
La pandemia potrebbe aver alzato la posta, ma il settore dell’istruzione contribuisce da tempo alla situazione.
Gli istituti scolastici possiedono e gestiscono un significativo volume di dati sensibili sugli individui, forse più di qualsiasi altro settore dopo quello sanitario. Oltre alle informazioni personali come nome, indirizzo, data di nascita, c'è la possibilità che detengano dati di pagamento, numeri identificativi o di previdenza sociale, cartelle cliniche e molto altro, rendendo ogni scuola un potenziale bersaglio. Inoltre, come le aziende sanitarie, i centri di istruzione devono essere in grado di garantire continuità a breve e a lungo termine.
I servizi che le scuole offrono, a cominciare dal registro elettronico, devono restare disponibili, e questo le mette ancora di più a rischio di intrusione. Recentemente Axios, azienda che fornisce piattaforme e servizi per la scuola digitale, ha reso noto di essere stata colpita da attacchi cyber, proprio durante sessioni di insegnamento online, che avevano l’obiettivo di rubare dati sensibili
In aggiunta c’è il problema degli utenti. Contrariamente a quanto si creda, la generazione più giovane ha un approccio più rilassato alla sicurezza rispetto alle persone più adulte. Le password deboli, la condivisione e il riutilizzo delle credenziali sono molto diffusi, in particolare tra gli studenti.
Le istituzioni del settore pubblico non sono note per i loro ingenti budget IT né hanno la fortuna di disporre di numerosi professionisti di sicurezza informatica. Questo, naturalmente, si traduce in una mancanza di controlli.
Nonostante il phishing sia il metodo più comune nelle compromissioni di sicurezza, quasi due terzi delle 20 migliori università del Regno Unito non hanno implementato il protocollo DMARC (Domain-based Message Authentication, Reporting & Conformance), lasciandole tristemente esposte ad attacchi di domain spoofing e phishing.
Il risultato - informazioni molto preziose ma dotate di protezione minima - è un notevole jackpot per chiunque abbia intenzioni malevole. Sulla scia del coronavirus, il fervore di ottenerlo non potrà che aumentare.
Proteggere i dati
L'impatto della pandemia ha reso una situazione già precaria ancora peggiore e dati, reti e infrastrutture scarsamente protette sono state rapidamente trasferite in un ambiente molto più difficile da difendere.
Molte istituzioni hanno ora il compito di sviluppare piattaforme virtuali di e-learning, fornire accesso remoto ai desktop degli studenti, creare VPN e altro ancora, in una corsa contro il tempo. Secondo il K-12 Cybersecurity Resource Center, molte stanno rinunciando alle migliori misure di sicurezza per raggiungere questo obiettivo.
Le conseguenze non sono difficili da prevedere. Gruppi hacker sofisticati stanno già prendendo di mira gli studenti e il personale delle principali istituzioni. Nonostante i suoi creatori siano stati incriminati dal Dipartimento di Giustizia degli Stati Uniti, la campagna di spear phishing "Silent Librarian" è entrata in diverse importanti università negli ultimi anni, causando danni per milioni di dollari.
Il Global Threat Activity Tracker di Microsoft ha segnalato oltre cinque milioni di incidenti malware rilevati nel settore dell'istruzione negli ultimi 30 giorni. Ciò rappresenta quasi i due terzi di tutti gli incidenti di malware nei primi otto settori più colpiti, seguito da Business e Professional Services, con solo 842.000 eventi nello stesso periodo.
I fondamentali per il rientro a scuola - una solida difesa IT
È chiaro che la scuola sia un settore sotto attacco e l'unica difesa è mettere al centro le persone.
Quasi il 100% degli attacchi informatici richiede un'interazione umana per avere successo - o per farli fallire. Le università dovrebbero garantire che personale e studenti siano consapevoli delle misure di base di sicurezza e dei meccanismi delle minacce più comuni. Formazione e sensibilizzazione devono essere contestualizzate, per far comprendere agli utenti il loro ruolo di difesa dagli attacchi.
È importante proteggere la posta elettronica e assicurarsi che gli utenti conoscano le tecniche e gli elementi rivelatori del phishing, come errori ortografici e grammaticali, richieste con scadenze temporali, o di informazioni insolite e link fittizi.
Si raccomanda di fornire una formazione approfondita e continua e una serie chiara di linee guida di sicurezza, da seguire sia a casa che in classe, legate alla condivisione e riutilizzo delle credenziali, l'uso di dispositivi personali e di archiviazione esterna, la protezione dei dati e altre best practice standard. Infine, di implementare una serie di strumenti e controlli per proteggere dati e reti, insieme all'autenticazione multi-fattore attiva su tutti i sistemi, dispositivi e applicazioni.
Non sappiamo ancora per quanto tempo l'e-learning farà parte della vita quotidiana degli studenti, ma possiamo essere certi che i rischi IT per le università continueranno anche dopo il rientro in classe. I team di sicurezza devono agire ora per proteggere istituti e studenti, ora e in futuro.
