L'istruzione è un obiettivo primario per gli attacchi informatici, insieme a settori come la finanza e la sanità. A livello globale, l'istruzione continua a registrare un aumento degli attacchi informatici contro il settore. Check Point Research (CPR) ha rilevato un aumento del 75% degli attacchi informatici contro gli istituti scolastici nel 2021, collocando il settore al primo posto in termini di numero di attacchi informatici rispetto ad altri settori industriali.
L'istruzione è uno dei bersagli preferiti dai criminali informatici perché presenta alcuni aspetti che la rendono vulnerabile. Ad esempio, gli istituti scolastici possono non avere il lusso di un team di sicurezza dedicato. Altri fattori includono una base di utenti dinamica e politiche come il "Bring Your Own Device" (BYOD), in cui studenti e personale utilizzano dispositivi mobili per accedere alla rete e alle applicazioni cloud.
Poiché gli attacchi informatici continuano a devastare questo settore vulnerabile, la formazione sulla sicurezza informatica per il settore dell'istruzione diventa un'arma vitale contro questi attacchi.
Tipo di minacce informatiche agli istituti scolastici
Il Ponemon Institute e IBM hanno analizzato l'impatto delle violazioni della sicurezza nel settore dell'istruzione in un recente rapporto. I ricercatori hanno scoperto che il 48% delle violazioni nel settore è stato causato da attacchi dolosi che hanno richiesto fino a 212 giorni per essere identificati e contenuti. Gli attacchi malevoli si sono concentrati sui dati, compresi i risultati degli esami, e il43% del settore ha dichiarato che l'obiettivo erano i dati degli studenti.
Alcune cifre sconcertanti sono emerse da una ricerca del governo britannico. La seguente percentuale di istituti scolastici è stata vittima di un attacco informatico nel 2020-2021:
- 36% delle scuole primarie
- 58% delle scuole secondarie
- 75% delle università
Come in molti altri settori, l'elemento umano è fondamentale per il successo di un attacco informatico. Una ricerca dell'Università di Stanford ha rilevato che l'88% delle violazioni della sicurezza inizia con un essere umano, ad esempio un dipendente.
I seguenti tipi di minacce informatiche prendono di mira gli istituti scolastici e, poiché tutti hanno al centro dell'attacco gli esseri umani, la formazione sulla sicurezza può aiutare a prevenirle:
Phishing
Le e-mail di phishing, il phishing vocale (Vishing) e lo spear-phishing (attacchi di phishing mirati) sono i preferiti dai criminali informatici perché funzionano bene. Una ricerca di Symantec ha rilevato che il 96% delle violazioni di dati inizia con un'e-mail di phishing. Scuole, istituti e università sono tutti a rischio di phishing. Un rapporto del 2021 di Netwrix ha rilevato che il 60% degli istituti scolastici ha subito un attacco di phishing.
Cosa sono i ransomware e come proteggersi? MetaCompliance
Il ransomware non si limita più a criptare i dati e a chiedere un riscatto per decriptarli. Ora i dati vengono tipicamente rubati e utilizzati come leva per fare pressione sul pagamento del riscatto e/o venduti ad altri criminali informatici.
Nell'ultimo anno il National Cyber Security Centre (NCSC) ha lanciato una serie di avvertimenti sull'aumento degli attacchi ransomware contro il settore dell'istruzione. Il phishing è uno dei tre metodi più comuni utilizzati per infettare le reti scolastiche con il ransomware. Altri metodi sfruttano la scarsa autenticazione e le vulnerabilità del software.
Violazioni di dati ed esposizioni accidentali
Le violazioni dei dati sono costose per scuole, college e università: un rapporto sul costo di una violazione dei dati di IBM e Ponemon ha rilevato che il costo medio del settore era di 141 dollari (107 sterline) per record violato. Tuttavia, questa cifra è salita a 200 dollari (153 sterline) nel settore dell'istruzione.
Le fughe accidentali di dati comportano anche costi e tempi di inattività: il report di Netwrix ha scoperto che quasi tutti gli istituti scolastici impiegano giorni o settimane per scoprire una fuga accidentale di dati. Inoltre, circa un terzo di essi impiega settimane per riprendersi da una fuga di dati accidentale.
Che cos'è il social engineering in cybersecurity?
L'ingegneria sociale spesso riunisce molti elementi di una truffa complessa. Il phishing è un metodo tipico utilizzato per rubare le credenziali di accesso, ma sempre più spesso i truffatori utilizzano anche altri metodi, tra cui i social media e le telefonate, per ottenere informazioni su una persona e/o un istituto di istruzione target.
Ambienti di apprendimento domestici insicuri
Covid-19 e l'apprendimento a distanza hanno evidenziato la necessità di una buona sicurezza nell'ambiente domestico. Ma il lavoro a distanza spesso significa che la sicurezza va a farsi benedire, dato che i membri della stessa famiglia condividono dispositivi e connessioni Wi-Fi.
In che modo la formazione sulla sicurezza informatica può aiutare a prevenire gli attacchi informatici a scuole, college e università?
Come dimostrato dalla ricerca, l'esposizione dei dati è spesso una conseguenza dei fattori umani. Ciò include sia la mancanza di conoscenze sulla sicurezza da parte degli individui, sia la manipolazione del comportamento umano da parte dei criminali informatici.
La formazione di sensibilizzazione alla sicurezza colma le lacune nella comprensione del concetto di sicurezza e fornisce alle persone gli strumenti per prevenire gli attacchi informatici. La formazione di sensibilizzazione alla sicurezza per il settore dell'istruzione ha più successo quando il programma di formazione di sensibilizzazione alla sicurezza è adattato al settore. L'istruzione presenta sfide uniche e ogni tipo di istituto scolastico, dalle scuole elementari alle università, ha un ambiente e una struttura particolari.
La formazione sulla sicurezza aziendale deve riguardare molti tipi di ruoli all'interno di un'azienda; ruoli come la contabilità e le risorse umane sono bersaglio di specifici tipi di attacchi informatici, ad esempio la Business Email Compromise (BEC).
Anche gli istituti scolastici hanno molti degli stessi ruoli di un'azienda, ma le università, ad esempio, devono formare sia gli studenti che il personale. La progettazione di un programma di formazione che copra tutti questi tipi di persone e ruoli diversi è realizzabile con un approccio alla formazione sulla sicurezza basato sui ruoli. Ma deve essere in grado di raggiungere anche gli utenti remoti. I programmi di formazione erogati tramite Software as a Service (SaaS) sono ideali per la natura distribuita dell'istruzione moderna.
Cinque elementi chiave della formazione sulla sicurezza informatica per l'istruzione
I cinque elementi principali da ricercare nella scelta di un programma che si adatti alle esigenze uniche di un istituto scolastico sono: il programma deve essere:
- Progettato per funzionare con un'ampia gamma di individui, dal personale agli studenti.
- Può essere adattato per riflettere i tipi di attacchi informatici che colpiscono il settore dell'istruzione.
- Può essere erogato tramite SaaS a tutti, compresi i lavoratori e gli studenti in remoto
- Incorpora moduli formativi divertenti e interattivi che mantengono l'attenzione di tutti i tipi di allievi
- È in grado di generare report e prove per contribuire alla conformità normativa, compreso il GDPR del Regno Unito.
I criminali informatici non hanno morale e l'attacco al settore dell'istruzione dimostra quanto siano disposti a scendere in basso. Tuttavia, il profilo unico del settore dell'istruzione significa che l'erogazione della sensibilizzazione alla sicurezza deve essere adattata a tali esigenze. Quando scegliete un programma di formazione sulla consapevolezza della sicurezza, assicuratevi che la soluzione sia in grado di soddisfare i cinque elementi chiave di cui sopra.