Più spesso di quanto si possa pensare, gli alunni fanno scherzi e attaccano i sistemi scolastici. Ma indipendentemente dal fatto che siano coinvolti alunni o criminali, le scuole hanno bisogno di concetti di sicurezza. Gli strumenti per questo sono la gestione degli accessi e la consapevolezza della sicurezza.
Un 14enne ha presumibilmente commesso un attacco denial-of-service su una piattaforma di apprendimento, come riportato da SWR a febbraio. Con l'attacco hacker al sistema, aveva completamente paralizzato l'apprendimento a distanza di diverse scuole della Renania-Palatinato in gennaio. Gli investigatori hanno accusato i giovani di sabotaggio. Il pubblico ministero ha esaminato quali "misure educative" erano appropriate in questo caso.
Non è raro che gli studenti disturbino le loro lezioni a distanza. Questo perché le videoconferenze e le chat di molte piattaforme open source, come Jitsi o Big Blue Button, che le scuole amano usare, ma anche a Microsoft Teams e Zoom, sono liberamente accessibili non appena il nome della conferenza o un link di connessione sono disponibili.
"Purtroppo, questo accade ancora e ancora", riferisce Patric Raiber, responsabile del settore pubblico all'ACP. "Per esperienza, molti attacchi vanno agli account degli studenti sperimentali, compreso l'accesso non autorizzato ai dati o ai programmi. Poiché sempre più media digitali trovano la loro strada in classe, la loro volontà di sperimentare aumenterà sicuramente in futuro". Ma cosa succede se non sono gli stessi studenti ad invitare amici nella chat per disturbare l'homeschooling, ma la conferenza viene violata da un criminale?
Il passaggio a breve termine agli ambienti di apprendimento virtuali non ha fatto bene alla sicurezza informatica. Non solo, ma soprattutto Zoom ha guadagnato popolarità negli ultimi anni Corona e quindi ha dovuto affrontare molti intrusi. I media hanno regolarmente riferito che gli hacker hanno giocato al porno nelle riunioni o le hanno interrotte in altro modo.
Sale d'attesa, password e crittografia end-to-end dovrebbero fornire un rimedio, così come più opportunità per i moderatori di intervenire. Ma anche gli attacchi di sovraccarico che causano il collasso delle piattaforme e le email di phishing che criptano i dati per estorcere un riscatto sono tra i metodi.
Nelle istituzioni educative si fa una distinzione tra la rete amministrativa e la rete educativa. Quest'ultimo fornisce l'infrastruttura per le piattaforme di cui sopra. Spesso, le reti sono poco sicure, come riferisce la dottoressa Janina-Vanessa Schneider, Business Development Manager Vertical Markets del distributore Also. Ecco perché gli attaccanti possono rubare le password qui con il più semplice dei mezzi.
Il bottino che gli hacker possono fare nella rete amministrativa, tuttavia, è molto più esplosivo. Perché la rete amministrativa comprende i computer della direzione della scuola e della segreteria. I dipendenti vi conservano dati personali, certificati e valutazioni. Secondo Schneider, una separazione delle due reti è quindi assolutamente necessaria.
"C'è stato molto poco tempo per pensare alla sicurezza o per fornire una formazione di base sulla cybersecurity a tutti gli utenti", ha detto Martin Weiß, Sophos public security expert. "Questo ha ancora una volta aumentato significativamente la vulnerabilità del settore"."
L'esperto segnala infrastrutture obsolete e soluzioni a silos. In questo contesto, sia le scuole che le aziende si affidano anche alla protezione perimetrale tramite firewall, alla sicurezza degli endpoint sui client e sui sistemi server e all'integrazione sicura dei dispositivi mobili.
Raiber aggiunge: "L'accesso alla rete deve essere controllato. Una password complessa per il dominio della scuola dovrebbe essere altrettanto scontata quanto l'uso di prodotti con alti standard di sicurezza. Purtroppo, però, ci sono ancora scuole che permettono l'uso di dispositivi di consumo insieme a prodotti aziendali, che spesso sono molto meno sicuri". Dimostra chiaramente che alle scuole mancano specifiche chiare e standard di sicurezza uniformi.
Con il DigitalPakt Schule, i governi federale e statale vogliono principalmente promuovere l'acquisizione di hardware e infrastrutture WLAN e rendere le istituzioni educative più digitali.
Secondo Ingo Steuwer, Head of Product Management at Univention, solo una piccola parte dei fondi per l'acquisto di software è prevista. Le reti scolastiche dovrebbero essere protette con un software per la gestione degli accessi.
A questo scopo, Univention offre una piattaforma open source con cui le scuole possono gestire la loro IT e tutte le identità. Grazie alla gestione centrale delle identità e del loro accesso, una riduzione del numero di account utilizzati va di solito di pari passo, secondo Steuwer. "Il rischio di far circolare liste di password che si perdono facilmente o, in caso di compromissione, di identificare i molti luoghi in cui un account deve essere bloccato, è drasticamente ridotto."
Se le scuole vogliono esternalizzare la gestione del loro IT, MSP e system house sono a disposizione per consigliare. "Offriamo servizi di sicurezza gestiti", dice Raiber. "Questo significa che non solo impostiamo i componenti della strategia di sicurezza come il firewall, il controllo dell'accesso alla rete o la protezione degli endpoint, ma ci occupiamo anche del buon funzionamento. Monitorando anche le soluzioni implementate, notiamo rapidamente i processi insoliti e siamo quindi in grado di agire rapidamente in caso di emergenza."
La volontà di affrontare la digitalizzazione si nota chiaramente nelle istituzioni educative. Le scuole e le autorità scolastiche fanno sempre più uso dei fondi del DigitalPakt.
Nonostante, il concetto di sicurezza deve essere considerato in modo olistico. Il semplice acquisto di soluzioni di sicurezza non è sufficiente. Oltre al personale della scuola, sono soprattutto gli alunni che devono essere sensibilizzati alla sicurezza informatica. Tutte le persone coinvolte devono tenere presente che i bambini e gli adolescenti non sono i classici clienti finali. Le misure di sensibilizzazione alla sicurezza devono essere pedagogiche e facili da capire. "Nella nostra esperienza, l'uso di strumenti di simulazione di phishing si è dimostrato particolarmente utile, perché introducono gli alunni al problema in modo giocoso e hanno comunque un grande effetto di apprendimento", dice Weiß.
Per placare la sete di sperimentazione dei bambini senza causare danni, la Hacker School, per esempio, offre progetti nelle scuole con il suo programma "@yourschool", in cui gli alunni possono programmare se stessi e vengono introdotti alle professioni IT.