Ognuno di noi, almeno una volta, ha convinto i propri genitori ad assecondare un desiderio inizialmente non concesso, oppure ha persuaso l’insegnante di matematica a rimandare il compito in classe già ampiamente pianificato.
Si potrebbero ritrovare tante altre situazioni simili poiché ognuno di noi ha sicuramente utilizzato e usufruito, in maniera del tutto inconsapevole, di quell’insieme di strategie che va sotto il nome di social engineering (ingegneria sociale). Purtroppo però, come vedremo, a scuola non serve attuare di queste tecniche per appropriarsi di informazioni sensibili.
Basta molto meno.
Cos’è l’ingegneria sociale
L’ingegneria sociale, in parole povere, può esser definita come l’arte di persuadere e convincere le persone ad assecondare i propri scopi; essa, in generale, non deve per forza essere correlata ad attività illecite, anzi è studiata e utilizzata nelle scienze sociali, nella psicologia e moltissimo nel marketing.
Ma perché si utilizza la parola ingegneria? Perché l’ingegneria sociale non è un’attività improvvisata, ma è necessario pianificare ogni singola fase per realizzare il progetto e quindi è fondamentale in un processo di “ingegnerizzazione”.
Nella realtà, però, con il termine social engineering si intende l’arte di manipolare le persone, sfruttandone l’ingenuità o la scarsa attenzione, al fine di ottenere informazioni riservate, indipendentemente dal mezzo utilizzato (telefono, posta elettronica o contatto diretto).
Più in particolare, se ci si concentra sulla sicurezza informatica, si fa riferimento a una sequenza di azioni volte a recuperare informazioni riservate personali o dati dell’azienda per cui si lavora: account, file, furto d’identità, accesso a database.
Il fattore umano
Il problema è che il punto interrogativo di ogni sistema di sicurezza è rappresentato dalle persone ed è proprio lo studio delle caratteristiche di tale anello debole che spesso rende semplice il compito di un ingegnere sociale.
Kevin David Mitnick, detto Condor, programmatore, phreaker e cracker, noto per le sue notevoli capacità nel campo social engineering, anche a scapito del governo degli Stati Uniti, in un suo libro ha scritto: “Un’azienda può spendere centinaia di migliaia di dollari in firewall, criptografia e altre tecnologie per la sicurezza, ma se un hacker ha una talpa in azienda, ha la possibilità di violare tutti i sistemi di protezione, e non c’è denaro che possa contrastare questa eventualità”.
Una recente ricerca condotta dall’Osservatorio Information Security & Privacy del Politecnico di Milano ha messo in evidenza che, oltre alla presenza di sistemi obsoleti software non aggiornati, per l’82% delle aziende la distrazione e la scarsa consapevolezza dei dipendenti rappresentano una criticità determinante.
Il Data Breach
Un effetto tipico della falla nella sicurezza è il data breach, un incidente di sicurezza che comporta la diffusione, la distruzione, la perdita o la modifica non autorizzate di dati confidenziali: indirizzi, numeri di telefono, e-mail, account, dati finanziari e così via.
Un Data Breach può avvenire per motivi volontari o involontari. Ad esempio (Fonte AGID CERT-PA):
- perdita accidentale: data breach causato ad esempio da smarrimento di una chiavetta USB con contenuti riservati;
- furto: data breach causato ad esempio da furto di un notebook con all’interno dati confidenziali/riservati;
- infedeltà aziendale: data breach causato ad esempio da un dipendente/persona interna che avendo autorizzazione ad accedere ai dati ne produce una copia da distribuire in ambiente pubblico;
- accesso abusivo: data breach causato ad esempio da un accesso non autorizzato ai sistemi informatici con successiva divulgazione delle informazioni acquisite.
Come scritto in precedenza, quindi, il fattore umano è il primo responsabile non solo per la scarsa cultura informatica e sulla sicurezza in generale, ma anche per una gestione poco accurata (a partire dall’utilizzo di password deboli), se non negligente, dei dati in possesso.
E tutto ciò, sebbene le strategie siano ormai note, rende un attacco di ingegneria sociale estremamente efficace e con un’elevata probabilità di successo.
Cosa succede nelle scuole – il PNSD
Il Piano Nazionale Scuola Digitale si è prefissato di definire una visione sostenibile di scuola digitale, che non si limitasse a riempire di strumenti tecnologici gli spazi vuoti, ma che invece definisse nuovi paradigmi educativi coadiuvati dalle tecnologie: spazi alternativi per l’apprendimento, laboratori mobili, aule “aumentate” dalla tecnologia.
Naturalmente, Il cablaggio LAN/WLAN (Azione #2) è stata una delle condizioni abilitanti per l’educazione nell’era digitale, per consentire un accesso attivo alla società dell’informazione.
Con la realizzazione di “Ambienti di apprendimento innovativi” (Azione #7), cioè ambienti e spazi di apprendimento attrezzati con risorse tecnologiche innovative, si è cercato di integrare in maniera fluida nella didattica l’utilizzo delle tecnologie; e tutto grazie alla mobilità, alla connessione continua con informazioni e persone, all’accesso alle risorse educative aperte e al cloud.
Oltre che alle attrezzature si è data rilevanza anche alla formazione del personale (Azioni #25 e #28), in particolare all’innovazione didattica con le tecnologie digitali, non solo come sostegno per la realizzazione dei nuovi paradigmi educativi ma, soprattutto, per la fattiva operatività nelle normali attività di gestione documentale.
Sicurezza, anche nella scuola c’è il fattore umano
Prima grande vulnerabilità è rappresentata dall’accesso al registro elettronico: username e password (sempre uguali), inseriti di fronte agli alunni giorno dopo giorno potrebbero essere facilmente individuati dagli occhi furbi degli studenti. Anzi, è sufficiente installare un semplice keylogger per recuperare gli account del registro, alzando i voti per migliorare le medie finali.
Per non parlare dei docenti poco avvezzi alla tecnologia, che consegnano il proprio account ad alunni “fidati”, per non perdere troppo tempo nella registrazione delle assenze e degli argomenti, ma anche per l’inserimento di voti e giudizi.
Fin dal 2018 il MIUR, tramite il PNSD (Azione #6), aveva legittimato attraverso dieci punti, l’uso dei dispositivi mobili a scuola promuovendo a tutti gli effetti la metodologia BYOD (Bring Your Own Device), non solo da parte degli studenti ma anche dei docenti (pratica molto frequente già da tempo negli Istituti con poche attrezzature informatiche).
Per consentire l’utilizzo di dispositivi personali in ambito scolastico diventa fondamentale che la rete della Scuola sia costruita per tutelare i propri utenti, per proteggersi da accessi esterni non autorizzati e da utilizzi interni impropri o illegali. In caso negativo alunni più smaliziati o personale disattento potrebbero mettere a dura prova la sicurezza dei sistemi e dei dati.
La situazione diventa più critica nelle scuole in cui la connessione è insoddisfacente; in tali casi il BYOD è sostituito dal BYON (Bring Your Own Network), ovvero la possibilità, per ogni utente, di disporre della propria rete personale connessa a Internet (la cosiddetta connessione dati).
Tale pratica ha fatto nascere seri problemi di sicurezza per la scuola, in quanto gli studenti possono aggirare i filtri della scuola creando un ponte tra la rete scolastica (sicura) e ogni altro servizio del web.
Permettere dunque la connessione di dispositivi BYOD o BYON, in alcuni casi, potrebbe compromettere la sicurezza globale del sistema e si potrebbero mettere a repentaglio anche postazioni contenenti dati sensibili.
Rimane, in conclusione, un rammarico: nelle scuole (ma non in tutte per fortuna) l’incidenza del fattore umano (docenti in primis) rappresenta a volte una falla talmente profonda che, per appropriarsi di informazioni riservate, non serve alcuna tecnica di ingegneria sociale.