L’istruzione: un bersaglio ransomware facile per i cybercriminali
Negli ultimi anni, il settore dell’istruzione, sia pubblico che privato, è diventato una fonte di reddito estremamente facile per i cybercriminali.
Il livello spesso inadeguato di sicurezza nella gestione dei dati, le eccessive superfici di attacco, la tendenza a pagare i riscatti a causa delle assicurazioni informatiche e la volontà di celare gli attacchi a studenti e famiglie per motivi di contenimento hanno reso scuole e università un obiettivo privilegiato.
Il fenomeno era largamente presente anche prima dell’evento pandemico, vero e proprio spartiacque anche in ambito informatico, che con l’istruzione da remoto ha ampliato enormemente le opportunità degli hacker.
L’impatto economico degli attacchi ransomware
Dal 2018, Comparitech ha registrato 491 attacchi ransomware contro scuole e college statunitensi, con oltre 6,7 milioni di record individuali compromessi. Gli attacchi hanno causato danni economici enormi, con una stima di oltre 2,5 miliardi di dollari di perdite solo per i tempi di inattività. Le istituzioni scolastiche hanno dovuto affrontare costi di ripristino astronomici per il recupero dei dati e il rafforzamento dei propri sistemi di sicurezza.
Nel 2023 si è registrato un numero record di attacchi, con 121 casi, un aumento significativo rispetto ai 71 del 2022. Anche il periodo medio di inattività è aumentato, passando da 8,7 giorni nel 2021 a 12,6 giorni nel 2023. In media, un istituto scolastico statunitense spende 550.000 dollari al giorno per il downtime causato da un attacco ransomware.
Il trend in Italia
Il fenomeno non riguarda solo gli Stati Uniti. Anche in Italia, il settore dell’istruzione è sempre più esposto a minacce informatiche. Nel 2022, il 79% delle scuole superiori e l’80% delle scuole inferiori a livello globale hanno subito almeno un attacco ransomware, con un aumento significativo rispetto al 2021. In Italia, il numero di attacchi informatici alle scuole è aumentato del 37% rispetto al 2023, superando del 53,2% la media globale.
Secondo Cybersecurity360, nel nostro Paese si registrano quasi 3.000 attacchi settimanali alle istituzioni educative. La vulnerabilità delle scuole è legata alla scarsa adozione di strategie di cybersecurity efficaci e alla mancanza di fondi per proteggere adeguatamente i sistemi informatici.
L’esclusione dell’istruzione dalla direttiva NIS2
Nonostante la gravità della minaccia, il settore dell’istruzione non rientra tra quelli regolamentati dalla Direttiva NIS2, che si applica principalmente a settori essenziali come energia, trasporti, sanità e finanza. Questo significa che scuole e università non sono obbligate a rispettare i requisiti di sicurezza e segnalazione previsti dalla normativa europea.
Tuttavia, istituti che forniscono servizi critici a settori regolamentati potrebbero rientrare nelle disposizioni della NIS2. Anche senza un obbligo formale, molte scuole e università stanno perlomeno mettendo ad indice il bisgno di innalzare le proprie misure di sicurezza per far fronte all’aumento degli attacchi informatici.
Il caso PowerSchool: un precedente preoccupante
A dimostrazione della crescente vulnerabilità del settore educativo, il colosso statunitense della tecnologia educativa PowerSchool ha confermato che nel dicembre 2024 circa 16.000 studenti nel Regno Unito hanno subito il furto di dati personali e sensibili durante una violazione dei dati.
L’incidente, reso noto a gennaio 2025, ha visto gli hacker accedere ai dati di milioni di studenti e insegnanti sfruttando credenziali compromesse per violare il portale di assistenza clienti dell’azienda.
PowerSchool non ha rivelato il numero esatto di studenti internazionali coinvolti, ma la portavoce dell’azienda ha dichiarato in un’intervista a TechCrunch che quattro scuole nel Regno Unito sono state colpite. I dati violati includevano informazioni di contatto degli studenti, date di nascita, dati medici limitati e altre informazioni correlate. L’azienda ha rifiutato di nominare le scuole coinvolte, aumentando le preoccupazioni sulla trasparenza nella gestione delle violazioni informatiche.
Considerazioni
Il settore dell’istruzione è oggi una delle aree più vulnerabili agli attacchi ransomware. L’assenza di regolamentazioni specifiche come la NIS2 e la carenza di investimenti in cybersecurity rendono scuole e università bersagli facili per i criminali informatici.
Come è evidente, necessiteremmo di misure più rigorose per proteggere i dati di studenti e docenti, investendo in infrastrutture sicure e formando il personale su come prevenire e gestire le minacce informatiche.
D’altro canto, il limite tecnico e i fondi stanziati per l’istruzione pubblica sono ben visibili nell’economia di ogni paese europeo.
Senza un intervento deciso, il costo degli attacchi per gli istituti privati continuerà a salire, con conseguenze sempre più gravi per il mondo dell’istruzione privata, mentre le infrastrutture meno attrezzate costituiranno una fonte di approvvigionamento dati facile per rivendita dati nel web, escalation e perfino ricatto agli enti statali.
Considerando il crescente numero di attacchi alle scuole e ai college, è possibile che in futuro l’istruzione venga parzialmente inclusa in un’estensione della NIS2 o in regolamenti nazionali ispirati ad essa:
Gli obblighi conseguenti potrebbero essere l’arma principale di difesa per il settore
Fonti:
- https://www.powerschool.com/security/sis-incident/
- https://techcrunch.com/2025/02/07/powerschool-data-breach-affected-16000-students-in-the-uk/
- https://www.cybersecurity360.it/nuove-minacce/rischio-cyber-attacchi-e-ransomware-nella-scuola-in-italia-quasi-3-mila-attacchi-settimanali-in-sei-mesi
- https://www.agendadigitale.eu/sicurezza/cybersicurezza-in-italia-aziende-sotto-attacco-i-nuovi-dati-oad
- https://www.comparitech.com/blog/information-security/school-ransomware-attacks/
