Negli ultimi due anni gli istituti scolastici italiani sono diventati uno dei bersagli emergenti dei cybercriminali. Hanno enormi quantità di dati sensibili (di minorenni), budget IT spesso limitati, infrastrutture stratificate. Vediamo i punti critici e cosa si può fare concretamente.
Cosa cercano gli attaccanti nelle scuole
- Dati anagrafici di minori: utili per furti d'identità futuri o ricatti emotivi alle famiglie.
- Dati sanitari: certificati medici, diagnosi, esenzioni.
- Dati amministrativi: stipendi, fornitori, contabilità.
- Possibilità di estorsione: paralizzare il registro elettronico durante esami e scrutini massimizza la pressione sull'ente.
Le criticità tipiche
Registro elettronico
È il sistema più sensibile. Spesso è esposto su internet con autenticazione semplice e password riusabili. Va protetto con MFA per docenti e accessi dirigenziali, monitoraggio degli accessi anomali, backup separati.
Reti scolastiche
WiFi unico per amministrazione, didattica e dispositivi degli studenti è uno scenario disastroso. Le reti vanno segmentate:
- VLAN amministrazione: solo personale autorizzato.
- VLAN didattica: docenti e dispositivi gestiti.
- VLAN ospiti/studenti: isolata, accesso solo a internet.
BYOD studenti
Migliaia di dispositivi non gestiti che si collegano alla rete. Servono policy chiare, NAC (Network Access Control) per limitare cosa possono fare, e mai accesso a risorse interne sensibili.
Postazioni amministrative
Sistemi spesso datati, con software vecchi necessari per integrazioni con il MIUR e altri sistemi nazionali. Vanno isolati e fortificati.
Backup
Le scuole con backup serio dei dati sono la minoranza. Quando arriva il ransomware, il danno è enorme e spesso i dati restano persi.
Adempimenti normativi
Le scuole sono soggette a:
- GDPR: trattamento dati di minori, base giuridica spesso "compito di interesse pubblico".
- Linee guida AGID per la cybersecurity nella PA.
- Misure minime di sicurezza ICT obbligatorie.
- Possibile NIS2 per istituti di una certa dimensione.
Cosa fare con budget limitato
Anche senza budget enormi si può migliorare molto:
- MFA su registro elettronico e mail istituzionali: spesso disponibile gratuitamente nei contratti esistenti.
- Backup esterno automatizzato: anche un NAS dedicato in stanza chiusa più cloud è un buon punto di partenza.
- Segmentazione di rete: si fa col firewall esistente, costa solo lavoro.
- Formazione personale: due ore l'anno per tutti i dipendenti, focalizzate su phishing.
- Policy uso dispositivi: documento chiaro su cosa si può e non si può fare.
- Aggiornamenti software: una pulizia delle macchine non aggiornate da anni.
Conclusione
Le scuole non possono permettersi di trattare la cybersecurity come problema secondario. Possiamo affiancare istituti scolastici di ogni ordine e grado nell'adeguamento progressivo, partendo dalle priorità più alte.