Quanti e quali dati contengono i registri elettronici scolastici? Chi produce i software impiegati nelle scuole? E qual è il livello di protezione di queste informazioni? Tablet ed elaboratori sono entrati da molti anni nelle scuole, e non solo come ausili per la didattica: i terminali vengono usati anche per tenere traccia di tutto quello che una volta si annotava a mano. Anagrafiche, assenze, voti.
Indice degli argomenti
I dati degli studenti italiani sono a rischio?
Nei mesi scorsi Illuminate Education, società leader di settore che fornisce software a molte scuole americane, ha subito un attacco. Coinvolti circa un milione di alunni e dozzine di distretti scolastici, tra cui New York e Los Angeles, i più grandi del Paese. Fonti ufficiali hanno riferito che i dati sottratti includono nomi, date di nascita, etnia e, ovviamente, risultati scolastici.
Ma almeno un distretto, riporta il New York Times, avrebbe ammesso che i dati includono informazioni più personali, come la frequenza dei ritardi, il tasso di assenze, lo status migratorio, incidenti di comportamento e la presenza di disabilità. In qualche caso si parla numeri importanti: nell’attacco hacker al distretto scolastico di Chicago, sono stati esposti i dati di 560mila tra studenti e impiegati.
Quelle informazioni sensibili sui bambini
I software che molti istituti Usa impiegano possono memorizzare informazioni estremamente riservate sui bambini, prosegue il quotidiano statunitense nella sua inchiesta. “Disabilità intellettiva”, “disturbi della sfera emotiva”, “distruttivo”, “presenta atteggiamenti di sfida”, “colpevole”, “parla troppo”, “dovrebbe ricevere sostegno”. Si tratta, come è facile comprendere, di informazioni estremamente sensibili, che potrebbero condizionare il futuro di uno studente, anche dal punto di vista professionale.
Il problema non è confinato agli Stati Uniti. Anche in Italia si registrano scricchiolii. Come accaduto a Lecce, dove lo studente di un istituto superiore avrebbe forzato il registro elettronico per modificare il voto di un’interrogazione. Ad accorgersi dell’accaduto sarebbe stato lo stesso docente titolare della cattedra. Scarse le informazioni trapelate, trattandosi di un minorenne; secondo quanto dichiarato dalla preside agli organi di stampa il sistema, comunque, sarebbe nel complesso integro.
Il digitale strumento contro la dispersione scolastica
La digitalizzazione della scuola comincia a diffondersi in Italia dei primi anni Duemila. Come spiega a Paolo De Santis, dirigente alla direzione generale per i sistemi informativi e statistica del ministero dell’Università e della Ricerca, lo scopo era nobile, la lotta alla dispersione scolastica: “L’anagrafe [ministeriale, ndr] nasce nel 2005 per contrastarla attraverso la rilevazione puntuale degli alunni soggetti all’obbligo e al diritto-dovere all’istruzione”.
Quali dati vengono registrati
Negli anni si sono succeduti i testi normativi, che hanno di volta in volta ampliato le platee e raggruppato le modifiche. I dati raccolti, prosegue il dirigente, riguardano “il percorso scolastico dei singoli studenti per l’assolvimento del diritto-dovere all’istruzione e alla formazione. Inoltre viene utilizzata per l’adempimento dei compiti istituzionali del Ministero e come supporto alla valutazione del sistema scolastico”.
Nello specifico – riprende il dirigente – i dati raccolti delle scuole dell’infanzia, primarie, secondarie di primo e secondo grado e CPIA, vanno da quelli relativi alla “frequenza, cioè scuola, anno di corso, sezione, indirizzo di studio/tempo scuola fino alla valutazione finale, con l’esito dello scrutinio o dell’esame di Stato”. L’elenco di tutte le informazioni raccolte è disponibile nell’allegato al D.M. 692/2017.
Google Fonts, un nuovo problema per i siti delle PA e delle scuole: ecco come risolverlo
Che interesse potrebbe avere un hacker?
“Nelle basi dati dell’Amministrazione – spiega Paolo De Santis – sono gestite informazioni di natura personale: un eventuale attacco che avvenisse con successo potrebbe minarne la disponibilità, la riservatezza o l’integrità. Ad esempio, un attacco di ransomware potrebbe essere mirato alla richiesta di riscatto oltre alla compromissione dell’operatività dell’Amministrazione; una esfiltrazione di dati potrebbe causare un danno di immagine o problemi legati al rispetto della normativa sulla privacy, oltre che eventuali ripercussioni dirette sulle persone oggetto del data breach”.
Il ministero dispone di un proprio sistema informativo da quarant’anni, afferma De Santis. “Inizialmente concepito per l’automazione dei principali procedimenti amministrativi per l’avvio e la gestione dell’anno scolastico come, ad esempio, organici, mobilità, fascicolo del personale scuola, nel corso del tempo ha notevolmente ampliato il proprio perimetro di azione, aggiungendo nuovi servizi rivolti alle istituzioni scolastiche, al personale della scuola e ai cittadini”.
Chi gestisce il sistema informativo del Ministero
Il sistema è gestito in outsourcing ed attualmente vede la presenza della Società Generale di Informatica (Sogei) come partner dell’Amministrazione, “la quale, mediante il ricorso a convenzioni ed accordi quadro stipulati dalla Consip, può avvalersi dei principali fornitori informatici presenti sul mercato” continua De Santis.
“Tutte le attività informatiche di natura operativa, come ad esempio lo sviluppo del software o la gestione dei sistemi di elaborazione, sono svolte dai fornitori, mentre all’Amministrazione spetta il compito di governare il sistema informativo, formulando le proprie esigenze di evoluzione, indirizzando gli investimenti, identificando nuovi fabbisogni e controllando che l’operato dei fornitori sia in linea con i contratti in essere e con gli obiettivi del ministero”.
Scuola, algoritmi di rating reputazionale sotto la lente del Garante Privacy: la nostra analisi
Un attacco al giorno
Gli attacchi sarebbero quotidiani: tentativi di phishing, malware, scansioni della rete e tentativi di sfruttamento di vulnerabilità conosciute del middleware o di altre componenti del software in esercizio. “Questi attacchi vengono generalmente intercettati e bloccati dai sistemi citati in precedenza” afferma De Santis.
Che non si sbilancia sull’origine. “Non è compito dell’Amministrazione l’attribuzione degli attacchi o risalire alla provenienza degli stessi”, spiega. “La squadra di risposta alle emergenze informatiche (CSIRT, Computer security incident response team, ndr) nata da due anni è costantemente in contatto con altre strutture di sicurezza della pubblica amministrazione, ad esempio il CSIRT Italia, il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (Cnaipic), l’Agenzia per la Cybersicurezza Nazionale (Acn), e può quindi intervenire proattivamente qualora siano segnalate campagne di attacco generalizzate, ad esempio bloccandone le sorgenti IP”.
“Inoltre il CSIRT del ministero effettua un’attività autonoma di monitoraggio e threat intelligence volta a prevenire eventuali attacchi mirati all’Amministrazione”.
Le misure di routine
Le misure di sicurezza routinarie intraprese dal dicastero sono di tipo organizzativo e tecnico. Tra le prime, le politiche di sicurezza indirizzate al personale sull’utilizzo degli strumenti messi a disposizione per le attività lavorative (posta elettronica, postazione di lavoro, collegamento internet), nonché l’attività di formazione ed awareness sulle minacce esistenti e sui comportamenti più idonei da adottare per non esporre l’Amministrazione a possibili incidenti, definita da De Santis “costante”.
L’attenzione sulla privacy
“Numerose attività sono inoltre riservate agli aspetti di compliance con la normativa sulla privacy” aggiunge. “E’ inoltre in fase di perfezionamento un vero e proprio sistema di gestione della sicurezza delle informazioni (ISMS), che aiuterà ad organizzare e razionalizzare tutti i vari aspetti legati alla gestione e miglioramento della sicurezza del ministero”.
Da un punto di vista più tecnico, prosegue il dirigente, “la protezione della rete e dei sistemi viene svolta dai fornitori del sistema informativo, mediante i più comuni strumenti a disposizione per questo tipo di attività: firewall, antivirus, anti DDoS, antimalware, intrusion prevention systems (IPS) e intrusion detection system (IDS)”.
Recentemente l’Amministrazione si è inoltre dotata di un SIEM (Security information event management system) che aiuta nell’analisi e nella correlazione dei vari eventi di sicurezza.
L’Amministrazione è , inoltre, dotata di un sistema di disaster recovery che può intervenire in caso di incidenti che comportino il blocco dell’operatività di alcune procedure o dell’intero sistema.
I dati delle scuole e il ruolo delle aziende che forniscono i software
Questo per quanto riguarda il ministero. Ma esiste un altro attore cruciale: le scuole. Le istituzioni scolastiche, in quanto entità dotate di personalità giuridica, soddisfano le proprie esigenze di informatizzazione mediante il ricorso a prodotti e servizi di mercato, offerti da fornitori specializzati per il mondo della scuola, sottolinea il funzionario.
“Questi si affiancano, alle applicazioni messe a disposizione gratuitamente, in maniera centralizzata, dal ministero. In genere, in ogni istituzione scolastica, sono presenti piattaforme applicative per la gestione delle attività amministrative di segreteria, come quelle relative a personale, bilancio, alunni: altre riguardano l’organizzazione dell’attività scolastica, come la gestione dell’orario scolastico, altre ancora per tutto che attiene alla gestione documentale e alla didattica, come il registro elettronico”.
Ma la scuola deve occuparsi di sicurezza informatica?
“La scuola è direttamente responsabile per tutti i prodotti informatici che acquista autonomamente sul mercato, nonché per tutte le questioni relative all’organizzazione della sicurezza delle informazioni, nonché al rispetto della normativa sulla privacy”, spiega De Santis. “Il ministero, qualora lo ritenga opportuno, può fornire indicazioni e linee guida, anche mediante la figura del responsabile della transizione al digitale che svolge tale funzione anche per le istituzioni scolastiche”.
Il ruolo delle aziende di software
Insomma, la responsabilità passa agli istituti che, con la dovuta diligenza, devono scegliere i software migliori. A questo punto entrano in gioco le aziende, con i loro servizi, generalmente basati sul cloud, e che devono essere tutelati da opportune misure di sicurezza. Quali, e di che tipo, sono state prese? E a che tipo di attacchi sono state esposte? Ci sono già stati tentativi di intrusione, fughe di dati? Abbiamo provato a contattare tre delle principali fornitrici di servizi, Spaggiari, Axios, Madisoft, per approfondire l’argomento. Le aziende non hanno risposto.
Manca una politica condivisa
La diffusione di registri scolastici e degli altri applicativi è, però, capillare. Complesse le soluzioni proposte dalle aziende, ma non è necessario acquistare tutte le suite: ogni istituto può pagare solo per il pacchetto di funzionalità di cui ha bisogno.
Come funzionano i registri scolastici
Esistono diversi livelli di privilegio nei sistemi gestionali: al vertice della piramide, con la possibilità di accesso pressoché totale, c’è il dirigente scolastico. Di ampi margini gode anche il direttore amministrativo. Un gradino più in basso troviamo i coordinatori di classe; a scendere, i docenti.
La maggior parte dei dati memorizzati sono comuni a tutte le piattaforme in commercio: in generale, carriera accademica dell’alunno, crediti formativi, voti, richieste di colloquio, compiti, verifiche, note disciplinari, tutto quanto riguarda l’alternanza scuola-lavoro.
In alcuni gestionali sono indicate le professioni dei genitori, i quali, comunque, devono fornire l’autorizzazione. Alcuni registri consentono ai docenti l’accesso a numeri di telefono, indirizzi di residenza e altre informazioni di contatto degli studenti; altri no. In alcuni casi, i professori possono avanzare la richiesta di permessi di lavoro direttamente sulla piattaforma.
Non è stato possibile appurare se siano presenti campi sulla disabilità. Un’altra domanda da porre alle aziende. Di solito, negli istituti, le certificazioni vengono custodite sotto chiave in formato cartaceo: il docente che dovesse consultarle si presenta di persona e prende appunti a mano. Resta il fatto che un hacker capace di introdursi nel sistema informatico e dotato di una certa conoscenza del software potrebbe risalire con sufficiente approssimazione all’eventuale status di disabilità semplicemente incrociando i dati.
Il rischio degli strumenti di lavoro condivisi
Esiste, però, un altro problema, legato allo scambio di informazioni al di fuori delle piattaforme: alcuni istituti inviano le certificazioni sulle disabilità richieste dai docenti in formato pdf, e a quel punto è impossibile conoscere il percorso del file e assicurarsi che non venga diffuso a seguito di una disattenzione o di un attacco alla mail personale.
Non solo. Nelle scuole sono normalmente impiegati strumenti di lavoro condivisi come le suite di Google e Microsoft: verbali e altro materiale vengono caricati tutti i giorni sul cloud, senza una policy condivisa.
Nel personale scolastico manca consapevolezza dei rischi, che possono pregiudicare il futuro lavorativo degli alunni ed esporne informazioni strettamente riservate. Certamente, dirigenti e direttori amministrativi conoscono la normativa; ma la cybersicurezza dei dati non è un argomento di cui i docenti normalmente discutono tra loro.
In Italia manca una legge sulla cyber security degli studenti che organizzi la materia, sul modello di quelli che dal 2014 esistono in diversi stati americani. E mancano anche impegni di carattere spontaneo, come quello sottoscritto nello stesso anno da alcune aziende statunitensi: tra le promesse, quella di non raccogliere o conservare i dati degli studenti per fini diversi da quelli amministrativi, di non venderli, non profilare gli alunni. Non solo. Le società si impegnano anche ad avvalersi di partner che sottoscrivano le stesse policy, e a mantenerle valide anche in caso di fusione o acquisizione. Un altro pianeta.
