Nel settore Education la cybersecurity non riguarda solo il tema della salvaguardia della reputazione o la riduzione di possibili perdite economiche: riveste soprattutto un ruolo chiave nelgarantire agli studenti la possibilità di sviluppare pienamente il proprio percorso formativo. Ma le risorse a disposizione sono spesso insufficienti a fronte di attaccanti sempre più agili e determinati.La soluzione non è semplice; tuttavia, un buon punto di partenza può essere la collaborazione con fornitori esterni, che individuino e contengano tempestivamente eventuali intrusioni, limitandone al minimo l’impatto.
Perché gli attori malevoli hanno un vantaggio?
Le difficoltà di scuole e università dipendono in gran parte dall’ampia varietà di attori ostili con cui devono confrontarsi. I cybercriminali mossi da motivazioni economiche rappresentano sicuramentela minaccia principale: attraverso attacchi ransomware cercano di estorcere denaro e di sottrarre dati per frodi d’identità, prendendo di mira le amministrazioni scolastiche con truffe di tipo business email compromise (BEC). A questi si aggiungono gli hacker di Stato, che monitorano le reti universitarie in caccia di proprietà intellettuale da sottrarre. Nel 2024 l’MI5 ha informato i rettori di oltre 20 università britanniche proprio su questo rischio. Esistono poi minacce meno evidenti: ci sono gli hacktivisti che possono provocare danni rilevanti, distogliendo l’attenzione dei team IT, e poi gli studenti curiosi, desiderosi di testare le proprie competenze, che spesso finiscono per generare criticità anche gravi. L’autorità britannica per la privacy ha rilevato che oltre la metà degli attacchi interni alle scuole è causata proprio dagli studenti.
In generale, cybercriminali e hacker di Stato dispongono di strumenti evoluti e competenze avanzate per mettere in atto i propri attacchi. Hanno il vantaggio della sorpresa e una vasta superficie da attaccare. Sempre più spesso, poi, utilizzano l’AI per attività di social engineering, la raccolta di informazioni sulle vittime e lo sviluppo di exploit. Oltretutto, l’AI abbassa la barriera d’ingresso a favore dei criminali meno esperti, permettendo loro di automatizzare e far scalare le proprie campagne con maggiore facilità. Kit preconfigurati per phishing ed exploit offrono grandivantaggi.
Negli ultimi tempi hanno avuto un impatto significativo i servizi infostealer–as-a-service, che hanno generato un’enorme quantità di credenziali compromesse nel sottobosco cybercriminale. Questeattività semplificano l’accesso iniziale, consentendo agli attaccanti di accedere ai sistemi senza attivare allarmi. Una volta all’interno, restano nascosti sfruttando tecniche “living-off-the-land” e prendendo di mira i sistemi di identità per mantenere la persistenza e spostarsi lateralmente nella rete.
Gli attaccanti beneficiano, infine, di un vantaggio dato anche dal loro stesso modello di business: figure come gli initial access broker (IAB) e modelli ransomware-as-a-service (RaaS) permettono anche ad attori poco esperti di avviare attacchi complessi. Ci sono poi gruppi specifici, come Qilin, Fog e SafePay, che si sono persino specializzati nel colpire scuole e università.
Perché il settore Education è in difficoltà?
Sul fronte opposto, molti istituti scolastici incontrano difficoltà nel proteggere utenti, reti e dati a causa delle risorse insufficienti a disposizione. Secondo un report, nel settore Education gli attacchi ransomware sono aumentati del 23% nella prima metà del 2025 rispetto allo stesso periodo dell’anno precedente. Non si tratta solo di carenza di fondi, in realtà esistono molte altre criticità.Innanzitutto, scuole e università operano in ambienti IT complessi, che comprendono sistemi on-premise e cloud, piattaforme per la didattica a distanza e dispositivi personali non gestiti. (BYOD). Le reti sono spesso poco segmentate e, in alcuni casi, gli studenti remoti di Paesi ad alto rischio (come Cina e Russia) devono poter accedere anche durante i periodi di vacanza. Gli stessi studenti rappresentano una base utenti eterogenea e difficile da controllare, con fenomeni di shadow IT e attacchi costanti.
Da parte loro, i team IT e di sicurezza si trovano costantemente sotto pressione, limitandosi a gestire emergenze quotidiane invece di pianificare strategie di lungo periodo. La mancanza di copertura operativa nei weekend e durante le lunghe pause accademiche aggiunge un ulteriore fattore di rischio.
Come possono aiutare i servizi di Managed Detection and Response
Ovviamente, i servizi di Managed Detection and Response (MDR) non risolvono miracolosamentetutti i problemi, ma contribuiscono ad alleggerire le maggiori criticità. Esternalizzando il rilevamento e la risposta alle minacce a un fornitore specializzato, scuole e università possono, per esempio, beneficiare di una copertura 24/7/365, ottenendo che qualsiasi attività sospetta, può essere rilevata e gestita rapidamente. I provider di servizi MDR dispongono non solo di professionisti qualificati nei loro Security Operations Center (SOC), ma anche di strumenti di analisi avanzati e di intelligence in grado di migliorare i tassi di rilevamento.
Cosa valutare nella scelta di un fornitore di servizi MDR
Non tutti i servizi MDR, però, sono uguali. Nella scelta di un partner è importante considerare diversi aspetti. Innanzitutto, i servizi MDR non sono una soluzione “plug-and-play” ed è necessario che il provider personalizzi le regole di rilevamento, le eccezioni e i parametri in base all’ambiente IT. Quindi, è fondamentale scegliere un partner capace di combinare rapidità di implementazione con prestazioni di rilevamento ottimizzate, per garantire un funzionamento continuo. Un altroelemento da considerare è lo stack tecnologico. Un buon servizio MDR dovrebbe includere almeno soluzioni di endpoint o extended detection and response (EDR/XDR), intelligence e ricerca delle minacce, oltre a capacità di risposta rapida. Da valutare anche l’uso dell’AI per supportare l’analisi di grandi volumi di dati individuando comportamenti anomali, mentre quello dell’automazione aiuta ad accelerare i tempi di risposta e di contenimento.
Per gli attacchi più sofisticati, è importante che il provider utilizzi anche attività di threat huntingproattivo. A tutto questo molti fornitori MDR aggiungono servizi di remediation e recupero dopo l’individuazione delle minacce: anche in questo caso occorre scegliere l’opzione più adatta alle proprie esigenze. Bisogna, poi, valutare se il servizio si integra facilmente con le operazioni IT esistenti, come i sistemi di gestione ticket e i flussi di lavoro interni. Infine, il provider deve garantire la conformità alle normative e ai requisiti di settore in materia di privacy, localizzazione e conservazione dei dati, oltre a eventuali clausole assicurative.
La tecnologia, tuttavia, è solo uno strumento: il valore reale deriva dall’esperienza degli analisti SOC e serve valutare vendor che siano in grado di mettere il fattore umano sempre al centro.
In conclusione, le conseguenze economiche di una violazione possono essere significative, così come i danni reputazionali, che possono arrivare addirittura a scoraggiare l’iscrizione di nuovi studenti. Detto questo, l’impatto più insidioso degli incidenti cyber nel settore Education resta l’interruzione delle attività didattiche. Questo impatto non figura nei bilanci, ma (come dimostrato in fase di pandemia) può incidere seriamente sulle disuguaglianze sociali e sulle prospettive degli studenti. In sintesi, la cybersecurity per il settore Education non è semplicemente un costo: è un elemento fondamentale per la loro stessa missione.
Di Samuele Zaniboni, Manager of Sales Engineering di ESET Italia
