Alunno di Cesena accusato di hacking
abint Nessun commento

Alunno accusato di hacking

Un quindicenne di Cesena è stato denunciato alla Procura dei Minori di Bologna per reati informatici legati a intrusioni in sistemi protetti. Lo riporta un articolo di cronaca del “Corriere Romagna”

Il fatto

Un alunno, appassionato di informatica, aveva iniziato per gioco a cercare accessi a siti sicuri, tra gli altri quello del registro elettronico della scuola.
L’obiettivo sarebbe stato migliorare le sue pagelle con voti più alti in diverse materie.
Successivamente, il giovane avrebbe violato sistemi che gestiscono le rotte delle petroliere nel Mediterraneo, deviandone i percorsi senza un fine specifico.
L’indagine è partita proprio da queste intrusioni nei sistemi di navigazione, considerate gravi per questioni di sicurezza internazionale.
Il fascicolo sul misterioso hacker era stato aperto mesi fa in Procura a Forlì. Una volta appurato il reato per il quale si indagava, le indagini sono passate alla Polizia postale.
Gli esperti informatici avrebbero identificato il responsabile grazie all’analisi degli accessi, localizzandolo nell’area di Cesena.
Dalla camera di casa sua, il ragazzo aveva alterato i registri scolastici e i programmi delle rotte, utilizzando un semplice computer.
Il Tribunale dei Minori di Bologna deciderà ora come procedere nei confronti del giovane hacker.
Intanto, il Ministero dell’Istruzione ha smentito intrusioni nei propri sistemi.

Il registro elettronico

Il D.L. 6 luglio 2012, n. 95 (convertito con la L. 135/2012), all’Art.7, comma 31 aveva stabilito, a decorrere dall’anno scolastico 2012/13, l’adozione, da parte delle istituzioni scolastiche dei registri on line e l’invio delle comunicazioni alle famiglie in formato elettronico.
Il comma 27 dello stesso decreto prevedeva la presentazione di un piano per la dematerializzazione amministrativa, che però non è stato ancora realizzato.
Anche la Corte dei Conti, nella delibera del 2019, confermava che il registro elettronico è ormai diffuso in modo capillare nelle scuole italiane.
Tuttavia il Garante per la privacy, nel 2020, in una lettera al Ministero dell’Istruzione, evidenziava come il registro elettronico non fosse ancora obbligatorio né regolamentato.
Ad oggi, la normativa non è pienamente applicata, anche se molte scuole italiane hanno adottato il registro elettronico, rendendolo praticamente obbligatorio nelle istituzioni scolastiche.

La responsabilità

Dove formalmente adottato, il registro elettronico è un documento ufficiale.
Qualsiasi manomissione quindi potrebbe essere considerata “falso ideologico” ai sensi dell’Art. 479 del Codice Penale. Diventa quindi essenziale che il personale scolastico lo utilizzi con attenzione.
Tuttavia il problema maggiore, come evidenzia anche il caso in questione è l’accesso non autorizzato da parte di soggetti terzi. La quantità e qualità dei dati gestiti dalle scuole, impone stringenti cautele. Le scuole infatti gestiscono i dati identificativi personali, anche sensibili, di 9 milioni di persone, in larghissima parte minori.
Qualora il servizio sia appaltato a un soggetto esterno, l’onere e la responsabilità della verifica e del controllo, rimane a carico al Dirigente Scolastico.
In situazioni simili, l’Istituto potrebbe rischiare sanzioni fino a 10 milioni di euro, tetto massimo stabilito dal GDPR per violazioni della sicurezza informatica. Alla sanzione potrebbero inoltre aggiungersi i rischi disciplinari per i Dirigenti e docenti coinvolti.

La sensibilità verso il problema e il profilo assicurativo

In Italia, la consapevolezza riguardo al Cyber Risk è ancora molto bassa. Anche le scuole non riconoscono pienamente la gravità e i pericoli di questa minaccia. La situazione normativa, dopo l’introduzione del GDPR a livello europeo, è cambiata. Le nuove regole sulla protezione dei dati prevede infatti sanzioni severe per chi smarrisce o diffonde dati senza permesso, anche in seguito a cyber attacchi.
Sebbene prevenire completamente un cyber attacco non è possibile, le assicurazioni possono offrire una protezione utile per l’Istituto scolastico. Tuttavia, è il soggetto a rischio a dover identificare gli eventi da coprire e negoziare una polizza adeguata. Questo processo, soprattutto nelle scuole, potrebbe risultare complesso e non immediato. Una consulenza assicurativa professionale potrebbe aiutare a scegliere la migliore copertura, considerando l’Istituto interessato, l’attività quotidiana, il livello di informatizzazione e i dati gestiti.

Se desideri avere maggiori informazioni sulla protezione dei rischi informatici nella scuola, contattaci qui.

La protezione dei rischi informatici
abint Nessun commento

La protezione dei rischi informatici

Lo scorso mese di marzo è stato pubblicato il rapporto annuale Clusit che, in oltre 200 pagine, riporta l’analisi della situazione relativa agli attacchi informatici segnalati a livello globale.
Rispetto al 2021 le azioni dei cybercriminali sono cresciute del 10%.
Il rapporto evidenzia, inoltre, come l’incremento degli attacchi sia sempre più riconducibile a organizzazioni legate alla criminalità organizzata.
L’anno passato è stato quello con il maggiore l’impatto di livello “critico”. Le azioni dei criminali informatici diventano sempre più professionali, sofisticate, e rivolte a obiettivi specifici.

Le pubbliche amministrazioni sotto attacco

Le azioni di pirateria informatica che prendono di mira la Pubblica Amministrazione, si concentrano prevalentemente nei settori governativo, militare, sanità e informatico.
Lo scorso 30 luglio un attacco ha interessato la rete informatica della Regione Lazio. Per due mesi il sistema regionale, compreso quello dedicato alle vaccinazioni Covid19, ha comportato la sospensione di alcuni servizi e l’indisponibilità dei dati. Alla fine di marzo 2022 è toccato alle Ferrovie. Non solo non era più possibile accedere ai servizi di biglietteria dal sito di Trenitalia, ma è stata interrotta anche la vendita dei biglietti nelle stazioni.
Lo scorso 8 aprile, un analogo problema ha interessato il Ministero della Transizione Ecologica.
Per l’anno corrente le aspettative non sono tranquillizzanti. Le strategie messe in atto dai pirati informatici punteranno particolarmente sullo smart working, sempre più diffuso nella Pubblica Amministrazione.

Come difendere le scuole dagli aggressioni informatiche

La Pubblica Amministrazione scolastica non è considerata un obiettivo primario.
Ciò nonostante, gli attacchi che coinvolgono le scuole, sono il 9% dei casi totali.
All’inizio dell’aprile 2021 un attacco ransomware ha interessato il registro elettronico, fornito al 40% degli istituti scolastici italiani, dall’azienda Axios Italia. Per “risolvere” il problema, i pirati, avrebbero chiesto un riscatto di diverse decine di migliaia di euro.
Malgrado il fenomeno, al momento attuale, sembra essere circoscritto, la quantità dei dati gestiti dalle scuole e la delicatezza degli stessi, impone alcune cautele. Le scuole infatti gestiscono i dati identificativi personali, anche sensibili, di 9 milioni di persone, in larghissima parte minori.
Senza entrare in profili di carattere tecnologico, l’aspetto fondamentale nella difesa degli attacchi informatici è quello preventivo. Nella maggioranza dei casi, gli istituti si avvalgono della consulenza tecnica di professionisti del settore. Esistono tuttavia casi non isolati in cui la creazione e gestione delle reti è affidata a personale interno non specializzato. Inoltre, non sempre le aziende alle quali è affidato questo incarico sono in grado di progettare e gestire una rete informatica scolastica totalmente sicura.
In tutti i casi, l’onere e la responsabilità della verifica e del controllo, rimane a carico al Dirigente Scolastico.

La percezione del rischio

Uno dei migliori sistemi di tutela è la polizza Cyber Risk.
Queste polizze sono disponibili da più di 15 anni, eppure la sensibilità della grande Pubblica Amministrazione è ancora marginale e ancor meno lo è di quella scolastica.
I motivi di questo stato di cose sono sostanzialmente riconducibili a una sottovalutazione del problema. Eppure, come abbiamo visto, i casi di disservizi, quando non di danno, non mancano.

I danni potenziali

I danni posso essere riassunti in due categorie: quelli diretti e quelli indiretti.
Il danno diretto è quello legato al malfunzionamento degli apparati che presuppone i costi per l’intervento di assistenza da parte di un soggetto specializzato per il ripristino dei sistemi.
Quello indiretto è legato alla Responsabilità Civile nel caso di danno alla reputazione e alla sottrazione dei dati.
In questo senso vanno comprese le truffe informatiche, la pedopornografia, il cyberbullismo e i ricatti a sfondo sessuale derivanti da video chat on line.
Come nel mondo reale, anche in quello virtuale, la scuola è tenuta a identificare il rischio, individuando le possibili minacce e stimando i danni derivanti.
In seconda battuta dovrà porre in essere tutte le ragionevoli contromisure.
Solo il concetto di sicurezza informatica, può mettere la scuola al riparo da sgradevoli sorprese.

Il costo delle polizze Cyber Risk

Il costo delle polizze cyber risk normalmente è molto contenuto. I migliori prodotti, per la protezione dei rischi informatici di norma, non superano le poche centinaia di euro, sicuramente molto meno di un danno cagionato al sistema.

Se desideri avere maggiori informazioni sulla protezione dei rischi informatici nella scuola, contattaci qui.

Cyber Risk, nella scuola
abint Nessun commento

Cyber Risk, una nuova sfida per la scuola

Il Cyber Risk è il rischio connesso al trattamento delle informazioni del sistema informatico. Le banche dati, ma anche le applicazioni digitali, possono essere violate, rubate o cancellate a causa di eventi accidentali o di azioni dolose.

Il rischio informatico nella scuola

La scuola è una delle realtà con il più alto tasso di dati in senso assoluto. Tuttavia nella scuola c’è anche il minor controllo in termini di processi, organizzazione, sicurezza e gestione informatica.  
In Italia, inoltre, la digitalizzazione della Pubblica Amministrazione, benché prioritaria nei programmi politici da più di dieci anni, stenta ad entrare a regime.
In moltissimi Istituti, prevalentemente quelli comprensivi, non esiste personale tecnico dedicato al parco informatico né alla gestione o all’amministrazione della rete. Esistono aziende che offrono servizi strutturati di cyber security ma la loro offerta è spesso sottovalutata. Il grosso del lavoro nelle scuole, è offerto da personale interno a volte con scarsa competenza. Volontari che cercano di aiutare, ma la sola volontà spesso non è sufficiente.

La costante crescita degli attacchi informatici

A fronte di questa realtà lacunosa, continuano invece a crescere a livello globale gli attacchi informatici.
Il Rapporto Clusit 2020 evidenzia come, in Italia, nel solo nel 2019, gli attacchi, classificati come gravi, sono stati 1.670, in media uno ogni 5 ore.
Il 7% in più rispetto all’anno precedente e il 91,2% in più rispetto a cinque anni prima.
I numeri tuttavia sono sottostimati. I dati infatti si riferiscono esclusivamente agli attacchi reali, ovvero effettivamente andati a segno che hanno provocato danni importanti. Restano esclusi gli attacchi tentati o bloccati.
Il numero inoltre è necessariamente parziale, data la tendenza generale non solo ad individuare il problema ma anche ad evitare di rendere pubbliche le cyber-aggressioni.
Le infrastrutture e il settore pubblico, hanno subito nel 2019 il maggior numero di attacchi di impatto critico.
Le categorie con il maggior numero di attacchi con impatti di alto livello sono la sanità, i fornitori di software, hardware e il settore pubblico.
«Ci troviamo di fronte a un vero e proprio cambiamento epocale nei livelli globali di cyber-insicurezza. – riporta il rapporto – La causa è l’evoluzione rapidissima degli attori, le modalità, la pervasività e l’efficacia degli attacchi».

La pandemia complica la situazione

La recente pandemia di Covid19, se possibile, ha complicato ulteriormente la situazione. Il Security Operation Centres di Chieti ha contato tra febbraio e aprile ben 230.000 campagne di malspam a tema coronavirus nel mondo. Il 6% di queste è indirizzato verso l’Italia.
I criminali informatici fanno leva sull’emotività del momento, l’apprensione e l’ansia generale. Complici sono la necessità di avere informazioni, aggiornamenti sulla diffusione del virus, consigli su come evitare il contagio.
La diffusione del lavoro agile (home working), spesso attuato a casa, in ambianti non particolarmente protetti, incrementa il rischio di attacchi informatici.

La sensibilità verso il problema

In Italia la sensibilità verso il tema del Cyber Risk è ancora poco o nulla sviluppata. Anche la scuola fa ancora fatica a comprendere la gravità della questione e la sua potenziale pericolosità. Eppure, nella scuola, l’asset principale sono i ragazzi, ed i loro dati dovrebbero essere protetti, in modo efficace.

Il panorama è cambiato, almeno dal punto di vista normativo, con l’entrata in vigore del GDPR. La nuova normativa europea sulla protezione dei dati, infatti applica sanzioni anche cospicue a chi perderà o diffonderà dati senza autorizzazione, anche a causa di un attacco cyber.

Il profilo assicurativo

Se è vero che prevenire totalmente un cyber attacco non è possibile, le coperture assicurative possono servire efficacemente a tutelare l’Istituto. Nella stragrande maggioranza dei casi è il soggetto esposto al rischio a dover stabilire quali siano questi eventi e a negoziare coperture assicurative personalizzate. Tuttavia il compito non è spesso né facile né immediato. L’esperienza di un consulente assicurativo specializzato permette di indicare la copertura migliore da attuare con una polizza Cyber Risk. La copertura permette la tutela in relazione alla tipologia di Istituto, all’attività quotidiana, all’ampiezza della popolazione scolastica, al livello di informatizzazione e alla quantità di dati raccolti e gestiti.

Se desideri avere maggiori informazioni sulla protezione dei rischi informatici nella scuola, contattaci qui.