La sicurezza informatica nell'istruzione superiore: problemi e soluzioni

Gli istituti di istruzione superiore affrontano un costante diluvio di attacchi informatici. A seguito di un incidente nel 2015, Kevin Morooney - ex vice prevosto per l'informatica presso la Pennsylvania State University - ha dichiarato al New York Times che la Penn State ha dovuto affrontare una media di 20 milioni di attacchi al giorno, una quantità "tipica per un'università di ricerca".

Partendo da un piccolo campione degli effetti finanziari che tali minacce possono avere, la società di digital forensics e cybersecurity LIFARS ha stimato in un rapporto del 2016 che gli attacchi di Spear Phishing, progettati per infiltrarsi in un'organizzazione e rubare informazioni sensibili, spesso tramite e-mail, costano alle aziende una media di $ 1,8 milioni per incidente. In un rapporto del 2017, Cybersecurity Ventures ha previsto che gli attacchi che coinvolgono ransomware, che minacciano di rubare, bloccare o pubblicare i dati di una vittima a meno che non venga pagato un riscatto, avrebbero causato danni per circa 5 miliardi di dollari nel 2017, rispetto ai 325 milioni di dollari del 2015.

L'istruzione superiore ha registrato il più alto tasso di attacchi ransomware tra tutti i settori intervistati in un rapporto del 2016 pubblicato da BitSight (una società di gestione del rischio informatico) e il secondo tasso più alto nel rapporto di BitSight del 2017. Di conseguenza, le università stanno lavorando 24 ore su 24 per rafforzare le loro difese contro queste enormi perdite potenziali. Come ha affermato Kim Milford, direttore esecutivo del Research and Education Networking Information Sharing and Analysis Center dell'Università dell'Indiana in un articolo del 2016 scritto dal Center for Digital Education, le università sono ora "bloccate in una costosa corsa agli armamenti" mentre esplorano nuovi modi di sia combattendo gli attacchi attuali che cercando di stare un passo avanti agli attacchi che devono ancora venire. Indipendentemente dal fatto che gli attacchi informatici abbiano successo, afferma Milford, rappresentano una questione costosa e onnipresente che le università sono costrette ad affrontare.

Forse ancora più significativi delle potenziali perdite finanziarie, gli attacchi informatici rappresentano una grave minaccia per la reputazione di un'università e la sicurezza dei suoi studenti.

Ma i rischi posti dagli attacchi informatici vanno oltre le perdite finanziarie per il mondo dell'ed. In effetti, i college e le università ospitano un enorme volume di dati sensibili, dai numeri di previdenza sociale degli studenti alla preziosa proprietà intellettuale, che, se rubati o compromessi, potrebbero causare danni significativi ben oltre le mura dell'accademia. Forse ancora più significativi delle suddette potenziali perdite finanziarie, gli attacchi informatici rappresentano una grave minaccia per la reputazione di un'università e la sicurezza dei suoi studenti.

Sebbene le minacce siano in continua evoluzione, i college e le università devono continuare a investire sia nel talento che nell'infrastruttura necessari per affrontare le sfide future della sicurezza informatica. Questo articolo illuminerà ulteriormente l'importanza di sviluppare competenze in materia di sicurezza informatica per gli istituti di istruzione superiore e offrirà strategie per affrontare queste sfide. Partendo da un esame del motivo per cui i college e le università sono particolarmente vulnerabili agli attacchi informatici, cercheremo di comprendere le strategie utilizzate dagli aggressori per sfruttare queste vulnerabilità e arrivare a una serie di raccomandazioni progettate per equipaggiare meglio college e università per affrontare le minacce informatiche in futuro.

Perché l'istruzione superiore è vulnerabile?

Mentre praticamente tutti i principali settori devono affrontare sfide significative per la sicurezza informatica, l'istruzione superiore è particolarmente vulnerabile per una serie di motivi chiave.

Uno ha a che fare con la cultura unica del mondo accademico, che si vanta di un grado di apertura e trasparenza che manca alla maggior parte delle industrie. Come ha articolato Fred Cate, direttore dell'Indiana University Center for Applied Cybersecurity Research, in un articolo di UniversityBusiness del 2013, i college e le università hanno storicamente concentrato gli sforzi per assicurarsi che "la nostra facoltà, i nostri studenti, il nostro pubblico e i nostri donatori [possano] connettersi bene facilmente per noi”. Ciò ha reso le reti informatiche di college e università, afferma l'articolo, "aperte e invitanti come i loro campus".

Un altro motivo riguarda la storia, in particolare da quanto tempo i college e le università sono online. Alex Heid, Chief Research Officer di SecurityScorecard (una società di gestione del rischio di terze parti) ha affermato in un articolo EducationDIVE del 2016 che le università sono sempre state gli obiettivi principali degli attacchi informatici in gran parte perché "Le università sono state uno dei primi posti ad avere accesso a Internet e con accesso a Internet hai persone che cercano di vedere fino a che punto può arrivare. In virtù dell'accesso a Internet da un tempo relativamente lungo, i college e le università sono stati a lungo obiettivi visibili e le loro debolezze sono quindi probabilmente ben note e comprese dagli aggressori informatici.

Gli aggressori informatici utilizzano tecnologie e metodi all'avanguardia per sfruttare i sistemi universitari che, in alcuni casi, sono tristemente obsoleti e superati.

Poiché i college e le università sono stati così precoci nell'adottare strumenti e interfacce digitali (e a causa di problemi finanziari e di altro genere), molti istituti di istruzione superiore si affidano ancora a sistemi legacy particolarmente vulnerabili agli attacchi. "Molti college usano roba che è stata scritta anni fa", ha detto Heid nell'articolo di cui sopra. In parole povere, gli aggressori informatici utilizzano tecnologie e metodi all'avanguardia per sfruttare i sistemi universitari che, in alcuni casi, sono tristemente obsoleti e superati.

Più specificamente, i sistemi informatici universitari sono spesso caratterizzati da una costruzione decentralizzata e, secondo Heid, casuale che gli aggressori possono facilmente sfruttare. In un post sul blog del 2017 per la società di software Code42 e di gestione del rischio dei dati, Ashley Jarosch osserva che mentre può avere senso da una prospettiva operativa per i singoli dipartimenti operare sotto le proprie strutture IT (il dipartimento di astrofisica di un'università probabilmente, scrive, avrà diversi esigenze tecnologiche rispetto al dipartimento di letteratura di un'università, ad esempio), questo tipo di configurazione frammentaria crea evidenti vulnerabilità nella sicurezza delle informazioni. "In una dozzina (o dozzina di) dipartimenti, c'è una buona possibilità che almeno uno abbia una combinazione di dispositivi obsoleti e sistema operativo senza patch, filtri e-mail e AV inadeguati, backup dei dati difettoso o formazione e policy degli utenti insufficienti", scrive Jarosch.

Sebbene non sia un problema specifico dell'istruzione superiore, la carenza di talenti nella sicurezza informatica rappresenta un ostacolo significativo che i college e le università devono superare per affrontare i problemi sopra menzionati. Un recente studio condotto dalla società di consulenza Frost & Sullivan prevede che entro il 2020 ci saranno 1,8 milioni di posti di lavoro non occupati nella sicurezza informatica e che questa carenza di talenti esiste su scala globale, con quasi il 70% dei professionisti a livello globale che afferma che ci sono troppo pochi addetti alla sicurezza informatica nel personale . Con la domanda di talenti per la sicurezza informatica che supera di gran lunga l'offerta, le aziende spesso pagano il massimo per le competenze in materia di sicurezza informatica. Ciò probabilmente mette i college e le università in grave svantaggio quando tentano di attirare tali talenti lontano da lavori del settore privato ben pagati in Alphabet, Facebook e simili.

Con una comprensione delle ragioni alla base delle vulnerabilità della sicurezza informatica dell'istruzione superiore, ora possiamo esplorare i modi in cui queste vulnerabilità vengono sfruttate.

Come gli aggressori sfruttano le vulnerabilità

Gli attori malvagi utilizzano una vasta gamma di tattiche e strumenti quando lanciano attacchi informatici. Di seguito sono descritti due dei metodi più comuni. Sebbene questo elenco non sia affatto esaustivo, né esclusivo per college e università, fornirà una maggiore comprensione di come gli hacker mirano a sfruttare le lacune nella sicurezza informatica e si rivelerà utile nel considerare il modo migliore per fermare tali attacchi in futuro.

Iniezioni SQL: descritte da alcuni come "probabilmente il problema più grave che le applicazioni Web devono affrontare", le iniezioni SQL (SQLi) sono, in termini semplici, attacchi progettati per aggirare le protezioni tramite password sfruttando i database alla base di determinate applicazioni. SQL (Standard Query Language) è un linguaggio che gestisce e comunica con i database. Le iniezioni SQL funzionano sfruttando i punti deboli nel codice sottostante le pagine di input (come le pagine di accesso di nome utente e password, ad esempio) e costringendo un determinato database a restituire informazioni riservate. Ad esempio, di fronte a una pagina di accesso con nome utente e password, un utente malintenzionato può inserire ("iniettare") una parte del codice SQL nella sezione password. Se il codice del database sottostante è vulnerabile, questo codice SQL potrebbe modificare il database sottostante e forzare l'applicazione controllata dal database a consentire l'accesso all'hacker.

I college e le università hanno una miriade di applicazioni online protette da password, dai rapporti sui voti degli studenti alle informazioni sull'occupazione dei docenti, che potrebbero teoricamente essere violate utilizzando SQL Injections. Uno di questi attacchi all'istruzione superiore è avvenuto nel febbraio 2017, quando un hacker o un gruppo di hacker russo ha utilizzato SQL Injection per rubare dati da dozzine di college e università statunitensi, tra cui la Cornell University e la New York University. Finché gli istituti di istruzione superiore continueranno ad avere punti deboli scritti nei loro database sottostanti, le iniezioni SQL probabilmente rimarranno comuni e fin troppo facili da utilizzare per gli hacker.

Phishing: come accennato all'inizio di questo articolo, gli attacchi di phishing sono caratterizzati da e-mail o pagine Web progettate per indurre gli utenti a inserire dati sensibili, come password o informazioni sulla carta di credito. L'Ufficio per la sicurezza delle informazioni dell'Università di Princeton fornisce un'utile panoramica di come tali attacchi si manifestano solitamente:

“In genere, il phisher invia un messaggio di posta elettronica a un folto gruppo di persone di cui ha catturato gli indirizzi da rubriche e siti Web su Internet. Il messaggio, solitamente ben congegnato e dall'aspetto ufficiale, può affermare di provenire da un istituto finanziario, un fornitore di servizi o qualsiasi altra organizzazione conosciuta dal destinatario... Spesso, al destinatario viene chiesto di fornire le informazioni facendo clic sul collegamento di un sito Web in l'email. Ma mentre il collegamento al sito Web può sembrare legittimo, il collegamento visualizzato non è necessariamente il sito effettivo che si visita quando si fa clic su di esso".

Il 30% degli utenti nel settore dell'istruzione è caduto per truffe di phishing spacciandosi per comunicazioni aziendali, il doppio del tasso della popolazione generale, nell'ultimo anno.

Gli attacchi di phishing possono avere una vasta gamma di obiettivi finali, dal furto dei dati degli utenti all'installazione di ransomware sul computer di una vittima e all'estrazione di pagamenti finanziari. Sebbene questi attacchi possano sembrare ovvi e facili da evitare, gli studi hanno dimostrato che la maggioranza sostanziale delle aziende è stata vittima di truffe di phishing. Il settore dell'istruzione si è dimostrato particolarmente suscettibile, poiché Wombat Security, una società di software dedicata ad aiutare le aziende a combattere gli attacchi di phishing, ha rilevato in un rapporto del 2017 che il 30% degli utenti nel settore dell'istruzione ha fatto clic su truffe di phishing spacciandosi per comunicazioni aziendali, il doppio tasso della popolazione generale, nell'ultimo anno.

Sebbene le tattiche sopra menzionate si siano dimostrate efficaci, vedremo che possono essere prevenute.

Come prevenire gli attacchi: codice migliore e maggiore vigilanza

Esistono numerose strategie per combattere gli attacchi informatici sopra descritti. Alcuni riguardano strategie che i professionisti IT dell'istruzione superiore devono adottare da soli, mentre altri implicano strategie che tutti nella comunità dell'istruzione superiore, inclusi gli utenti finali, devono attuare:

Arresto degli attacchi SQLi tramite istruzioni preparate, stored procedure e convalida dell'input

Molto è stato scritto su come prevenire gli attacchi di SQL Injection, e il consenso è che farlo potrebbe in realtà non essere particolarmente difficile. L'Open Web Application Security Project (OWASP) fornisce una panoramica su come evitare gli attacchi SQLi. OWASP cita tre strategie principali per farlo:

Dichiarazioni preparate: i college e le università dovrebbero costruire i loro database sottostanti con dichiarazioni preparate. Come afferma OWASP, "Le istruzioni preparate assicurano che un utente malintenzionato non sia in grado di modificare l'intento di una query, anche se i comandi SQL vengono inseriti da un utente malintenzionato". In sostanza, le istruzioni preparate possono rendere impotenti i comandi SQL che si atteggiano a dati di input dell'utente (nomi utente e password).

Stored procedure: secondo OWASP, le stored procedure possono avere lo stesso effetto delle istruzioni preparate, con la differenza principale che "il codice SQL per una stored procedure è definito e archiviato nel database stesso, quindi chiamato dall'applicazione". Come hanno scritto OWASP e altri, le stored procedure potrebbero non essere sempre appropriate per la difesa dagli attacchi SQLi, ma rappresentano un'opzione praticabile per college e università se scritte e implementate correttamente.

Convalida dell'input: gli attacchi SQL injection sfruttano applicazioni e database che non effettuano riferimenti incrociati e non convalidano i dati immessi. Un passaggio logico per prevenire questi attacchi è, quindi, assicurarsi che un database in fase di costruzione richieda la convalida dell'input. Microsoft cita anche la convalida dell'input come tecnica chiave per evitare attacchi SQLi all'interno del suo modello di sviluppo Web ASP.net.

Prevenire il phishing attraverso la formazione e l'accresciuto sospetto

A differenza della prevenzione degli attacchi SQLi, che può essere eseguita tramite correzioni tecniche interne, la prevenzione delle truffe di phishing si basa principalmente sugli utenti finali: docenti, personale e studenti. Ci sono diversi passaggi che i college e le università dovrebbero intraprendere per garantire che tutti gli utenti finali rimangano vigili:

Filtri e-mail: come primo semplice passaggio, i college e le università dovrebbero impostare filtri e-mail che inviano e-mail sospette non universitarie alla cartella spam di un utente. Sebbene questa sia tutt'altro che una soluzione infallibile, è un primo passo importante che può impedire alle e-mail dannose di raggiungere i loro obiettivi.

Campagne di formazione e sensibilizzazione: i college e le università dovrebbero richiedere agli utenti finali di seguire una formazione che copra cos'è il phishing e come riconoscerlo. Ci sono aziende dedicate a fornire questo servizio e gli istituti di istruzione superiore devono essere disposti a investire il tempo e le risorse necessarie per istruire adeguatamente le proprie facoltà e il proprio personale. Come sottolinea un articolo di Infosecurity Magazine, questa formazione dovrebbe essere ripetuta su base relativamente regolare e dovrebbe esporre gli utenti a una vasta gamma di attacchi di phishing. Anche fornire esempi di attacchi reali e creare un repository per tali attacchi, come ha fatto la Princeton University con il suo "Phish Bowl", può aumentare la consapevolezza.

"Educare i nostri clienti in termini di informatica sicura comporta uno dei maggiori guadagni".

Sasi Pillay, Vice President of Information Technology Services & Chief Information Officer presso la Washington State University, afferma che lui e il suo team tengono un mese annuale di sensibilizzazione sulla sicurezza informatica e hanno cercato di creare una "cultura della consapevolezza informatica" generale per combattere il phishing, il numero dell'università un problema di sicurezza informatica. "Educare i nostri clienti in termini di informatica sicura comporta uno dei maggiori guadagni", afferma Pillay.

Sebbene le strategie sopra elencate non siano complete e potrebbero non impedire ogni attacco, rappresentano passaggi relativamente semplici che possono produrre vantaggi significativi nella lotta dell'istruzione superiore contro le potenziali minacce informatiche.

Le chiavi per un futuro sicuro

Comprendere le vulnerabilità, come funzionano gli attacchi informatici comuni e come prevenire tali attacchi è fondamentale per creare un futuro più sicuro e finanziariamente stabile per l'istruzione superiore. Eppure le minacce informatiche sono in continua evoluzione e non vi è alcuna garanzia che le minacce affrontate oggi (e le strategie per mitigarle) assomiglieranno a quelle future.

Per Sasi Pillay, la soluzione a lungo termine alla sicurezza informatica deve includere cambiamenti fondamentali nel modo in cui il software viene scritto e progettato.

"Il mio sogno, la visione a lungo termine è di essere in grado di eseguire un'elaborazione sicura in un ambiente compromesso", afferma Pillay. “Quello che dobbiamo fare è cambiare in modo significativo il modo in cui scriviamo software oggi. Lo sviluppo del software deve essere rafforzato in modo che le persone tengano conto dei rischi per la sicurezza e delle esposizioni".

Un'altra chiave per affrontare le future sfide della sicurezza informatica, menzionate brevemente in questo articolo, è l'impiego di un team solido e costante di esperti nel campo. Questo è, ovviamente, più facile a dirsi che a farsi, poiché i budget universitari sono limitati e il talento scarseggia. Tuttavia, ci sono diversi modi per aggirare questo problema, incluso l'assunzione di liberi professionisti esperti e quelli disposti a lavorare da remoto.

Sebbene le sfide alla sicurezza informatica che devono affrontare l'istruzione superiore siano grandi e il costo per risolverle sia elevato, i potenziali rischi finanziari e reputazionali che derivano da una difesa insufficiente sono probabilmente ancora più elevati. Gli istituti del panorama dell'istruzione superiore potrebbero scoprire che soluzioni di sicurezza informatica efficaci possono alla fine ripagarsi da sole.