Sono luoghi aperti, affollati, difficili da proteggere. E allo stesso tempo custodiscono dati preziosi e ricerche che fanno gola agli Stati. Le università sono e saranno sempre più spesso un obiettivo sensibile per gli attacchi informatici. “Proteggere un’università rappresenta una sfida unica rispetto a qualsiasi altro tipo di organizzazione”, spiega Max Heinemeyer, Director of Threat Hunting della società specializzata in cybersecurity Darktrace.
Attacco ai dati e alla ricerca
All'inizio di marzo, alcuni criminali cinesi hanno sferrato un attacco massiccio contro 24 istituti universitari, compresi il Mit, l’Università delle Hawaii e quella di Washington. Il gruppo a cui è stato ricondotta l’offensiva, Mudcarp, ha utilizzato phishing mirato (cioè mail fraudolente) nel tentativo di sottrarre ricerche militari che riguardavano missili sottomarini. Visti la complessità dell'operazione e il suo bersaglio, gli esperti hanno ipotizzato il sostegno di uno Stato, la Cina. Il valore di un attacco alle università è chiaro: le loro reti contengono una vasta gamma di informazioni sensibili, a partire da quelle (anche finanziarie) che riguardano gli studenti. É soprattutto la ricerca, però, a rendere le università target privilegiati. Ma perché gli atenei sono così difficili da proteggere?
Perché è difficile proteggere le università
1 – Reti aperte e frammentate
Prima di tutto, spiega Heinemeyer, c'è un problema di reti. Le università hanno “un ambiente IT ad accesso aperto”. Una scelta dovuta alla necessità di “scambiare liberamente le idee”, che però aumenta la superficie esposta agli attacchi. Inoltre, gli istituti universitari “spesso possiedono reti ad alto traffico e devono per questo implementare un sistema decentralizzato, in cui le diverse facoltà sono responsabili della sicurezza della propria porzione specifica di rete”. Un ambiente più diffuso e frammentato, quindi, è più difficile da controllare.
2 – Studenti e dispositivi
Gli studenti e le personale che si connettono alla rete ogni giorno è un altro problema. Non solo per i numeri assoluti, ma perché gli utenti accedono anche con i propri dispositivi, cui si aggiunge un crescente numero di oggetti dell'IoT. “Il flusso continuo di studenti nel campus – afferma Darktrace - aumenta la difficoltà di distinguere tra le minacce autentiche alla sicurezza e le attività benigne”.
3 – Meno attenzione ai rischi
La cultura dell’accesso aperto ha anche un altro effetto collaterale: “Finisce per influire negativamente sull'atteggiamento degli utenti nei confronti del rischio”. Si sentono cioè meno responsabili delle loro azioni e hanno un comportamento più disinvolto. “In altre parole – spiega Heinemeyer - gli utenti delle reti universitarie hanno maggiori probabilità di cliccare su link o allegati di posta elettronica sospetti”. E non è un caso che il recente attacco abbia utilizzato il phishing. Tutto questo “porta le università a presentare una superficie di attacco ancora più estesa di quella delle aziende private”.
Le possibili soluzioni
Come se ne esce? Come in qualsiasi ambiente connesso, il rischio zero non esiste. Per Heinemeyer, la soluzione per ridurre il pericolo non è “costruire barriere perimetrali attorno alle reti dei campus”. I muri informatici non bastano perché, per propria natura, le università hanno le porte spalancate e – di conseguenza – un perimetro che cambia di continuo, così come cambiano gli studenti e i loro dispositivi.
“La chiave – afferma l'esperto di Darktrace - è quindi raggiungere una visibilità totale all'interno della rete e neutralizzare gli attacchi che sono già in corso”. Un obiettivo non semplice da raggiungere: “Cercando solo le minacce conosciute, gli strumenti convenzionali da soli molto probabilmente non saranno in grado di identificare il prossimo attacco rivolto alle università nel mondo. I sistemi di sicurezza basati sull'intelligenza artificiale, invece, imparano a distinguere la differenza tra comportamento normale e anomalo per ciascun utente, dispositivo e rete, consentendo di rilevare e rispondere autonomamente alle sottili anomalie che indicano un attacco informatico in corso”. “È quindi di importanza capitale - conclude Heinemeyer - che le università imparino la lezione prima che sia troppo tardi”.