La sicurezza dei dati è una priorità per tutti i dirigenti scolastici dell’istruzione superiore e accademica. Tuttavia, secondo una ricerca condotta da Campus Computing nel 2018, solo il 35% di loro considera “eccellenti” i propri programmi di sicurezza.
Scuole superiori e università si trovano, infatti, ad affrontare un panorama di minacce unico nel suo genere, e le istituzioni continuano a rimanere obiettivi privilegiati per gli attaccanti a causa dei:
• Dati di ricerca: sono preziosi, soprattutto per gli attaccanti alle dipendenza di uno Stato. All’inizio di quest’anno diversi report hanno evidenziato come i programmi di ricerca marittima siano stati l’obiettivo di un gruppo APT (Advanced Persistent Threat) localizzato in Cina, denominato APT40. Questo gruppo ha cercato di impossessarsi di ricerche nel campo della difesa e ha preso di mira decine di università. Quasi 400 università sono state prese di mira da hacker iraniani per avere accesso alle loro proprietà intellettuali.
• Dati critici: come tutte le organizzazioni, scuole superiori e università raccolgono e memorizzano informazioni personali, compresi numeri di previdenza sociale e dati finanziari. L’istruzione universitaria ha un alto tasso di turnover, con nuovi gruppi di studenti ogni anno che contribuiscono ad incrementare il database con nuovi dati critici.
Questa è la motivazione principale del perchè molti cyber criminali sono interessati a compromettere il settore scolastico.
È impossibile prevenire minacce e attacchi informatici in ogni momento; tuttavia vi sono misure preventive che le istituzioni possono adottare per ridurne il rischio. Il primo passo è comprendere correttamente il panorama delle minacce.
Il panorama unico delle minacce per l’istruzione superiore e accademica
Scuole superiori e università dispongono di un patrimonio di dati che attira attori malevoli. Questi attaccanti rientrano in genere in tre categorie: spionaggio informatico, cyber criminali e hacktivist.
“Le campagne di spionaggio informatico sono spesso gestite da organizzazioni ben finanziate e da nazioni, lo scopo è ottenere informazioni di intelligence o economiche – dichiara Gabriele Zanoni, Consulting Systems Engineer di FireEye –. Vi sono diversi gruppi di spionaggio informatico che rivolgono principalmente la loro attenzione verso l’istruzione superiore utilizzando spesso attacchi di spear-phishing e watering hole per ingannare le istituzioni e i dipendenti. Ad esempio, il gruppo APT40 ha utilizzato email di spear phishing per distribuire un malware che permetteva agli attaccanti di accedere ai dati delle loro ricerche”.
Anche le istituzioni accademiche devono affrontare le minacce provenienti dai gruppi cyber crime. I criminali informatici sono spesso sofisticati quanto i gruppi State-Sponsored di cyber spionaggio, ma sono motivati principalmente dal trarre un profitto economico. Per i loro attacchi utilizzano nella maggior parte dei casi – spear phishing e SQL injection – in modo da accedere alle preziose informazioni possedute dalle istituzioni. Ad esempio, un gruppo di attaccanti potrebbe impersonare il preside della scuola superiore per inviare una email dall’aspetto autentico ma contenente un link ad un malware, oppure chiede ad un collega un prestito urgente con la scusa di essere stato derubato della propria carta di credito.
Infine, le suole superiori e le università sono soggetti ad attacchi da parte degli Hacktivist: spesso hanno motivazioni ideologiche o politiche, come l’anti-capitalismo o anti-estabilishment. In altri casi, invece, hanno voluto semplicemente causare disservizi. Ad esempio, uno studio condotto nel Regno Unito ha recentemente avanzato l’ipotesi che dietro agli attachi denial-of-service possano esserci degli studenti con l’obiettivo di creare confusione durante le sessioni degli esami o come rivalsa per aver ricevuto un voto basso.
Data la diversità tra le tipologie di minacce, e vista la tradizionale cultura accademica in termini di apertura e libera condivisione dei dati, non c’è da stupirsi se molti dirigenti scolastici affermano che le loro strategie di sicurezza IT sono inadeguate. Non deve però essere per forza così. Per migliorare gli sforzi per la sicurezza informatica, gli istituti universitari e le scuole superiori dovrebbero sviluppare un piano strategico di cyber-resilienza.
