Sicurezza delle informazioni nel sistema formativo: nuovo dossier

Secondo il Neue Zürcher Zeitung, «il 2023 è stato un anno di successo… per gli hacker.» Nell'articolo sono stati riassunti quaranta attacchi hacker avvenuti solo nel 2023 e che hanno avuto conseguenze di enorme portata. È preoccupante il fatto che tra le vittime elencate ci siano stati diversi istituti scolastici e amministrazioni pubbliche che gestiscono e archiviano dati dell’educazione. Questi episodi dimostrano che il sistema formativo non è immune da ciberattacchi, ma rischia in realtà di essere particolarmente vulnerabile a causa della quantità di dati personali che amministra. Anche il Consiglio federale sottolinea l'importanza della sicurezza informatica e delle informazioni nella sua Strategia Svizzera digitale 2025, ponendosi l'obiettivo di «rafforzare la sicurezza dell’informazione per proteggere efficacemente l’intera Svizzera e la sua popolazione.»

Per proteggersi dalla minaccia dei ciberattacchi, è importante per le istituzioni dare priorità alla sicurezza delle informazioni e alla cibersicurezza. Ciò comporta mettere in atto dei provvedimenti per la protezione dei dati personali, dei processi di lavoro, dell'infrastruttura informatica e dei dispositivi utilizzati. Se la sicurezza delle informazioni comprende tutti i processi di elaborazione di informazioni, inclusi documenti cartacei e affermazioni orali, la cibersicurezza si concentra specificamente sui sistemi digitali ed è oggigiorno una componente fondamentale della sicurezza delle informazioni. Il nostro nuovo dossier «Sicurezza delle informazioni nel sistema formativo» è rivolto sia alle istituzioni scolastiche e amministrative, come anche alle singole persone che ne fanno parte, con l'obiettivo di sensibilizzare il sistema formativo sul tema della sicurezza delle informazioni. Il dossier presenta i principali metodi dei cibercriminali, fornisce informazioni sui rischi a cui individui e organizzazioni sono esposti nello spazio digitale, raccoglie consigli pratici dai ciberattacchi che si sono già verificati nel sistema formativo e offre opportunità di miglioramento.

L'abbondanza e la diversità delle strategie dei cibercriminali dimostra la necessità di dover valutare i possibili rischi ICT, e quindi la resilienza ICT, sempre attraverso molteplici punti di vista: a livello di organizzazione, con le proprie tecnologie e infrastrutture fisiche e digitali, ma anche a livello degli individui, sia nelle istituzioni che nella vita privata. In questo senso, le istituzioni formative non sono affatto immuni dalla cibercriminalità e hanno la grande responsabilità non solo di rendere resilienti le tecnologie e le infrastrutture, ma anche di sensibilizzare a una maggiore resilienza informatica tutte e tutti gli individui coinvolti, a partire dalla direzione, dal personale scolastico, fino al corpo insegnante e alle allieve e allievi. A seconda delle dimensioni, della disponibilità di risorse o della sensibilità al tema, la resilienza delle organizzazioni può variare notevolmente.

La versione integrale del dossier - completata grazie anche alla collaborazione dell'Ufficio federale della cibersicurezza (UFCS) - è disponibile in tedesco e francese.

Per aumentare lo standard di sicurezza delle informazioni in un’istituzione è necessario aumentare la resilienza delle tecnologie dell’informazione e della comunicazione (ICT). Con resilienza in questo ambito si intende la capacità dei sistemi ICT di mantenere la propria funzionalità nonostante le interruzioni, gli attacchi o altre circostanze avverse e di riprendersi rapidamente ed efficacemente da tali eventi. Per poter valutare quali rischi ICT possono verificarsi, è utile prendere in considerazione le modalità con cui i diversi tipi di crimini digitali vengono utilizzati per manipolare o danneggiare i sistemi digitali, i dati o le persone.

Innanzitutto è importante specificare che, secondo il Codice penale svizzero, ogni reato che si svolge nello spazio digitale è un reato digitale. Sebbene non esistono dati specifici sulla cibercriminalità nel settore dell’educazione in Svizzera, l'Ufficio federale di statistica (UST) fornisce ogni anno statistiche sistematiche e dettagliate sulla criminalità digitale in generale. I dati raccolti dall’UST mostrano che esistono essenzialmente tre categorie principali di reati digitali: la cibercriminalità economica, con il numero maggiore di reati all'anno, i ciberdelitti sessuali e la ciberlesione della reputazione. Per ottenere informazioni maggiormente concrete sui possibili rischi ICT è però necessario approfondire a partire da questi dati quali sono i comportamenti specifici dei cibercriminali.

Osservando il comportamento specifico dei cibercriminali è possibile ottenere informazioni sui possibili rischi ICT in cui anche il sistema formativo può incorrere. I reati di cibercriminalità economica, ad esempio, sono commessi principalmente attraverso piattaforme di annunci, l'uso improprio di sistemi di pagamento o identità di terzi e il phishing. Questi diversi comportamenti dimostrano che la cibercriminalità rappresenta una minaccia sia per i privati che per le aziende o le istituzioni e il loro personale. Se l'hacking attacca direttamente interi sistemi ICT di aziende o istituzioni, il malware è utilizzati per cercare di penetrare nei sistemi ICT delle organizzazioni attraverso il loro personale. Per quanto concerne i reati di ciberdelitti sessuali e ciberlesione della reputazione, sia le vittime che gli aggressori sono tendenzialmente privati, principalmente attraverso i metodi del ciberbullismo e cibermobbing. Con circa 2670 casi all’anno, quasi il 90% delle vittime di ciberdelitti sessuali ha meno di 21 anni (cfr. UST 2024). Risulta legittimo dedurre che la maggior parte delle persone colpite siano probabilmente studentesse e studenti.

Incidenti informatici nel sistema formativo svizzero

Le istituzioni formative in Svizzera sono sempre più spesso il bersaglio di ciberattacchi e le conseguenze possono essere particolarmente gravi per la protezione dei dati, che è una priorità assoluta nel settore dell’educazione a causa della natura particolarmente sensibile dei dati personali. Gli incidenti che sono avvenuti in Svizzera negli ultimi anni dimostrano chiaramente che indipendentemente dalle loro dimensioni o dal livello di sicurezza, tutte le scuole o le amministrazioni formative sono potenzialmente a rischio di cadere vittime di crimini informatici. In modo analogo ai metodi della cibercriminalità, analizzare i ciberattacchi avvenuti in passato in istituti scolastici svizzeri può offrire dei validi insegnamenti e spunti su come proteggersi da essi e aumentare così la resilienza ICT.

In generale, i cibercriminali che attaccano le istituzioni formative in Svizzera agiscono con l’obiettivo principale di estorcere denaro. La loro mentalità è piuttosto «economica»: scelgono il modo più semplice ed efficiente per raggiungere i loro obiettivi. Invece di condurre attacchi elaborati e dispendiosi, preferiscono dei metodi facili e automatizzati, che gli permettono di attaccare simultaneamente un gran numero di obiettivi. Uno dei metodi più comuni è l’invio di e-mail di phishing. Queste e-mail contengono link o allegati dannosi che, una volta cliccati o aperti, infettano i sistemi delle vittime per rubare, tra le varie cose, i dati di accesso. Un altro metodo di attacco molto diffuso è lo sfruttamento delle vulnerabilità nella sicurezza di sistemi non aggiornati. Anche in questo caso la vulnerabilità del sistema viene sfruttata per ottenere accesso a dati o ulteriori sistemi. Sia i dati che i sistemi vengono di norma resi inutilizzabili con l’obiettivo finale di ottenere una ricompensa in denaro per la loro decriptazione e restituzione.

Su questa mappa interattiva è possibile trovare ulteriori informazioni sugli incidenti specifici avvenuti in Svizzera nel settore formativo.

Le esperienze passate dimostrano che la preparazione sia dell’organizzazione che dei singoli individui è la misura di protezione più importante per poter reagire efficacemente a un ciberattacco. Le seguenti domande riassumono i provvedimenti centrali che dovrebbero essere chiariti durante la creazione del concetto di resilienza ICT:

• Il personale sa cosa fare in caso di crisi?

• Chi deve essere informato in caso di crisi?

• Quali sono i numeri di emergenza e le informazioni di contatto necessarie?

• Quali misure immediate devono essere adottate?

• Chi è responsabile del coordinamento e della gestione dell'incidente?

L'UFCS sconsiglia inoltre di pagare qualsiasi riscatto. Se un'istituzione accetta le richieste di pagamento dei cibercriminali, segnala che tali attacchi possono avere successo. Ciò aumenta il rischio di essere di nuovo in futuro oggetto di un altro attacco o che vengano avanzate ulteriori richieste. Inoltre, finanzia ulteriori attività criminali e contribuisce ad aggravare il problema.

Controllo della sicurezza delle informazioni

È evidente che garantire la sicurezza delle informazioni rappresenta una sfida notevole per il sistema formativo. Per questo motivo abbiamo sviluppato il «Controllo della sicurezza delle informazioni». Questo strumento offre alle istituzioni formative la possibilità di valutare e rafforzare in modo indipendente la sicurezza delle informazioni all’interno della propria organizzazione. Sebbene lo strumento sia stato progettato principalmente per le scuole, è adatto anche ad altre istituzioni del settore dell’educazione. Il controllo dello stato attuale della sicurezza informatica consente di identificare le aree specifiche in cui è necessario intervenire. Il nostro controllo della sicurezza delle informazioni rispetta lo standard internazionale ISO/IEC 27002:2022 e le sue misure proposte. In questo modo, il nostro strumento di controllo garantisce l’applicazione delle pratiche più recenti e affidabili per la protezione e la sicurezza delle informazioni riconosciute a livello internazionale.