In università, il tema della cybersecurity riguarda aspetti fondamentali della vita dell’Istituto, che interessano tanto gli studenti, quanto i docenti, i ricercatori e il personale di staff. Garantire la cybersecurity significa, infatti, assicurare il corretto funzionamento dei servizi essenziali e tutelare la privacy dei dati. Ma non solo. Si pensi, infatti, ad altri aspetti fondamentali, quali, ad esempio, la protezione della proprietà intellettuale delle ricerche scientifiche, la disponibilità degli archivi digitalizzati, o infine, alla reputazione dell’ateneo. Per garantire un valido sistema di cybersecurity è necessario un approccio strutturato e strategico, che includa iniziative di sensibilizzazione atte a diffondere la cultura della sicurezza. La severità del problema è ben evidenziata dal Governo del Regno Unito, che mostra come il 97% degli istituti di Higher Education abbia subito, nel 2024, eventi di data breach. Una percentuale ben più alta della media di tutte le organizzazioni di business in UK, pari al 50%.
Quali attacchi subiscono gli atenei
La cybersecurity è un tema ampio e i rischi a cui sono esposti gli atenei sono molteplici, a causa di diversi fattori: didattica a distanza e reti aperte per favorire la collaborazione; numero e diversità dei dispositivi d’accesso; quantità di informazioni sensibili trasmesse; strutture decentralizzate e diffuse sul territorio; infine, la presenza di software obsoleti o stratificati. Non è casuale, dunque, che la survey citata evidenzi un’ampia varietà di attacchi, come:
- phishing: 100%;
- sconosciuti che impersonano l’Istituzione online o nelle mail: 90%;
- virus, spyware o malware (esclusi i ransomware): 77%;
- denial of service: 40%;
- accessi non autorizzati a file o risorse di rete da parte di utenti interni: 27%;
- accessi non autorizzati a file o risorse di rete dall’esterno: 20%;
- furto delle credenziali di accesso: 20%.
Sono percentuali molto significative, che obbligano gli atenei a pianificare interventi mirati, avvalendosi di tecnologie apposite e competenze specifiche.
Cybesecurity per la Higher Education: quali sono le risorse disponibili
Il mercato offre, oggi, molte soluzioni tecnologiche atte ad implementare una politica di cybersecurity. È opportuno, tuttavia, che vi sia un commitment forte da parte del vertice dell’Istituzione, al fine di assicurare i risultati attesi. Ciò si traduce, di norma, con la creazione di una struttura apposita atta a presidiare la cybersecurity, tanto da un punto di vista tecnologico, quanto organizzativo e culturale. Quest’ultimo aspetto è centrale e non accessorio; può accadere, infatti, che molte figure accademiche, soprattutto senior, non avvertano la serietà del problema e conservino comportamenti rischiosi.
Il SOC – Security Operation Center è la struttura che, su mandato del management dell’ateneo e in collaborazione con i diversi dipartimenti, assolve a un triplice compito:
- Promuovere e coordinare le iniziative di sensibilizzazione. Il gap culturale da colmare può essere affrontato con iniziative di collaborazione, in cui il SOC sia percepito come una risorsa e non un corpo estraneo. È il caso, ad esempio, dell’Università di Berkeley e dell’Indiana, che hanno superato le tradizionali barriere di diffidenza tra i dipartimenti e avviato processi virtuosi e pervasivi di implementazione della cybersecurity.
- Implementare le tecnologie di supporto. Gli strumenti spaziano dai tool di base, quali, ad esempio, i software antivirus e gli accessi con autenticazione MFA – Multi-Factor Authentication, fino all’utilizzo di archivi cloud certificati o la protezione degli endpoint (EDR – EndPoint Detection and Response). Risulta, inoltre, imprescindibile, l’utilizzo di piattaforme di monitoraggio della rete, delle infrastrutture e delle applicazioni, che rappresenta il primo e più importante punto di controllo sugli eventi sospetti.
- Assicurare la conformità normativa. Il GDPR e la NIS2 sono le normative di riferimento. A queste si aggiungono le indicazioni del PSNC - Perimetro di Sicurezza Nazionale Cibernetica (D.L. 105/2019 e DPCM 131/2020), nel caso in cui l’ateneo gestisca infrastrutture critiche o dati sensibili. Si pensi, ad esempio, ai progetti di ricerca in tema di Difesa e di tecnologie “dual-use”, civile e militare.
L’implementazione della cybersecurity non è un’opzione, ma la strada per garantire la quotidianità operativa e la possibilità di sviluppo futuro degli atenei. Molti istituti accademici, come, ad esempio, l’Università Statale di Milano, hanno costituito team dedicati e SOC per garantire la sicurezza di dati e servizi. Tali iniziative non sono da considerarsi puntuali o una tantum, ma sono una parte essenziale della vita dell’ateneo. Nella società digitale, il rischio cyber è molto concreto e l’università vi deve prestare un’attenzione maggiore che in passato, al fine di offrire un luogo sicuro a chi la frequenta.
