Che cos’è il Cyber Risk?

Con Cyber Risk, o rischio informatico, si intende l’insieme di possibili danni derivanti da azioni intenzionali o accidentali che riguardano attrezzature hardware, software, dati e informazioni gestiti e conservati in formato digitale. I danni connessi al Cyber Risk sono concreti e possono riguardare diversi aspetti del funzionamento di un’organizzazione, sia pubblica che privata: distruzione o sottrazione di dati, perdite finanziarie, crollo della reputazione.
Gli eventi alla base del rischio informatico possono essere ricondotti a tre categorie:

  • Violazioni: si tratta di azioni intenzionali, vere e proprie intrusioni compiute da soggetti esterni o interni all’organizzazione, e finalizzate alla sottrazione, alterazione, distruzione di dati o programmi, o all’interruzione del servizio. E’ un reato disciplinato dall’articolo 615 ter del Codice Penale.
  • Comportamenti incauti tenuti da chi ha accesso al sistema informatico: scaricare un allegato non sicuro o fornire i propri dati dopo aver cliccato su un link contenuto in un’e-mail di provenienza incerta possono sembrare innocue leggerezze; in realtà, questi semplici gesti possono consentire l’installazione di malware (software dannoso) all’interno del sistema o causare il furto di dati, codici o informazioni riservate (phishing).
  • Guasti dell’hardware e malfunzionamenti dei programmi, legati a cause accidentali, mancata manutenzione o sorveglianza, o anche eventi naturali, quali terremoti e allagamenti: anche questi eventi possono causare perdite di dati e interruzione del servizio.
Il rischio informatico è una minaccia in forte crescita: secondo il Rapporto Clusit, pubblicato dall’Associazione Italiana per la Sicurezza Informatica, nel 2018 gli attacchi, parliamo quindi della prima categoria, sono aumentati del 38% a livello globale. In particolare, il settore pubblico ha subito il 41% di attacchi in più rispetto all’anno precedente.

Con l’espressione Cyber Risk Management si intende l’insieme delle attività volte a valutare il rischio effettivo al quale un’organizzazione è esposta e a identificare le misure di protezione da adottare. Un aspetto fondamentale del Cyber Risk Management è anche la verifica sul campo dell’adeguatezza e dell’efficacia delle misure adottate

La scuola, così come tutti gli altri settori della società, pubblici e privati, negli ultimi anni ha vissuto una crescente esposizione ai rischi informatici, collegata alla crescente digitalizzazione di molte delle attività connesse al funzionamento del sistema scolastico stesso.
Il Decreto Legislativo 82/2005 (conosciuto come CAD, Codice dell’Amministrazione Digitale) ha introdotto l’obbligo di creazione, gestione, trasmissione e conservazione digitale di dati e documenti, con forti impatti anche sulle attività della scuola.
Inoltre, molte scuole promuovono l’innovazione, anche nelle attività didattiche, attraverso piattaforme tecnologiche.
Infine, la necessità di collegamento con il MIUR per lo scambio di dati e informazioni fa sì che le scuole siano sempre più immerse in un ecosistema digitale.
Questo processo di digitalizzazione ha naturalmente aumentato l’esposizione delle scuole al rischio informatico: intrusioni e accessi non autorizzati con alterazione, furto e distruzione di dati, installazione di malware, phishing. Gli istituti scolastici corrono gli stessi rischi delle altre organizzazioni, ma considerando che trattano anche dati sensibili, di minori e delle loro famiglie, e che svolgono un ruolo sociale nella propria comunità di riferimento, si intuisce come sia fondamentale attivare adeguate misure di protezione.

Non sono disponibili statistiche sul nostro paese, ma il K-12 Cybersecurity Resource Center mostra come negli Stati Uniti gli attacchi informatici a istituti scolastici siano in continua crescita: nel 2109 sono triplicati e aumentati di gravità rispetto all’anno precedente.

I danni subiti dalle scuole a causa di attacchi informatici possono essere di diversi tipi:

  • economici, nel caso in cui si debbano sostenere spese per la sostituzione o il ripristino di hardware e software
  • legali, qualora la scuola sia chiamata in causa dalle persone che hanno subito danni, legati per esempio alla violazione della privacy, e sia condannata al risarcimento danni
  • di immagine, quando l’attacco sia operato da persone “interne” alla scuola o abbia ripercussioni verso l’esterno (esempio: manipolazione del sito web o delle pagine social), o nei casi in cui la scuola si trovi nelle condizioni di dover sospendere temporaneamente la propria attività

Sicuramente, le scuole devono valutare l’adozione di una serie di misure: acquisto e utilizzo di hardware e software sicuri, con regolare licenza; promozione di momenti di formazione, dedicati al personale docente e non docente e agli studenti, per illustrare tutti i possibili rischi informatici e i comportamenti da tenere per limitarli; elaborazione e diffusione di regole di condotta chiare ed esaustive.
Tutte queste misure sono fondamentali per ridurre il rischio informatico, ma non sufficienti a eliminarlo del tutto.
Una buona soluzione per affrontare il rischio residuo è la stipula di una polizza assicurativa che tuteli rispetto ai danni derivanti da Cyber Risk.

I consulenti di ABZ Broker aiutano il Dirigente Scolastico a valutare i rischi informatici a cui è esposto l’Istituto. Se dall’analisi fatta nasce la necessità di cautelare l’Istituto Scolastico con una polizza assicurativa, ABZ Broker supporta il Dirigente nella definizione di un capitolato di gara specifico per le esigenze dell’istituto stesso.

La tua scuola è a rischio?