La sicurezza dei dati nelle scuole è ancora molto fragile. Un effetto, quello della perdita dei dati derivanti da un buco di sicurezza, che tecnicamente si chiama Data Breach, cioè un incidente di sicurezza che comporta la diffusione, la distruzione, la perdita o la modifica non autorizzate di dati confidenziali quali indirizzi, numeri di telefono, e-mail, account, dati finanziari e personali.
I registri elettronici sono contenitori virtuali di tanti dati personali, il che comporta la necessità di applicare la normativa sul trattamento dei dati stessi.
Tutti i soggetti i cui dati sono presenti nei registri elettronici hanno il diritto alla correttezza e alla sicurezza di questi dati, peccato che non esiste una normativa chiara in materia. In assenza di direttive condivise da parte del MIUR, le diverse scuole e le aziende fornitrici hanno proceduto in autonomia, senza nessuna garanzia ufficiale di conformità rispetto alla normativa GDPR.
Il Data Breach può avvenire per cause volontarie e cause involontarie.
Una delle cause involontarie può essere ad esempio la perdita accidentale dei dati dovuta allo smarrimento di una chiavetta USB, o al furto di un dispositivo personale.
Casi di Data Breach volontari sono quelli relativi al caso di un dipendente infedele che usa impropriamente in dato di cui ha accesso o il dato rubato da accesso non autorizzato.
Più in generale, uno dei fattori maggiori che causano la perdita di dati sensibili è legato al fattore umano, per la scarsa cultura informatica della persona o per negligenza nell’utilizzo di password deboli.
Nel contesto scolastico uno dei più diffusi casi di perdita dei dati, come detto, è quello del registro elettronico. Vediamo quali sono i rischi maggiori di vulnerabilità di questo strumento diventato di uso comune nella didattica scolastica.
Nella pratica di tutti i giorni aldilà delle normative, oggi per accedere al proprio registro basta un login semplicissimo, in un solo passaggio, ben diverso da quelli che si adoperano comunemente per accedere al conto bancario o alla propria busta paga che hanno un meccanismo di controllo doppio denominato tecnicamente strong authentication.
Il limite di validità delle password è spesso abbassato a tre mesi con unico limite quello di avere un codice non inferiore a otto caratteri, ma questo non costituisce di certo una protezione molto forte. Nella scuola dei nativi digitali Username e password sempre uguali o cambiati poco frequentemente inseriti di fronte agli alunni giorno dopo giorno potrebbero essere facilmente individuati dagli occhi furbi degli studenti.
Per aumentare la soglia di sicurezza si potrebbe usare il processo di One Time Password, cioè la creazione di un codice univoco da utilizzare una sola volta che consente di avere un secondo livello di protezione, oppure si potrebbe consentire l’accesso al registro tramite SPID.
Altro tema rilevante è la possibilità di correzione sul registro di classe senza che rimanga traccia della modifica, per cui di un eventuale dato alterato da persona malevola non ne rimane storia da nessuna parte.
Altro buco di sicurezza può essere creato dal fatto che di solito il registro elettronico viene consultato e utilizzato in ambienti diversi dalla classe, ad esempio nell’aula insegnanti dove la scuola mette, di solito a disposizione uno o più PC per questi usi. Anche in questo caso la vulnerabilità del registro elettronico è ampia. Esistono strumenti sia hardware che software che inseriti nei PC dell’aula insegnanti potrebbe consentire a eventuali malintenzionati di trafugare nomi utente e correlate password di chi incautamente li avesse inseriti in un PC di uso comune.
Esiste, infine, un rischio di vulnerabilità che non comporta le competenze informatiche. C’è infatti la possibilità che malintenzionati utilizzino particolari strategie persuasive per “acquisire” le informazioni necessarie per violare il registro elettronico direttamente dalle persone coinvolte (docenti e personale di segreteria), sfruttando più l’ingenuità e la buona fede delle vittime che complesse tecniche di hacking informatico.
Non è da sottovalutare, inoltre, che Il PNSD (Azione #6) legittima e regolamenta l’uso dei dispositivi mobili personali a scuola secondo la logica BYOD (Bring You Own Device). Questo tipo di utilizzo deve essere supportato da una infrastruttura di Rete della scuola in grado di proteggere da accessi esterni non autorizzati o da utilizzi interni illegali.
Ma la situazione peggiore subentra quando a causa della mancanza di connessione nella scuola, il docente è costretto ad utilizzare la propria rete personale, ovvero la connessione dati dello smartphone personale Questo utilizzo potrebbe provocare dei problemi di sicurezza per la scuola stessa. Studenti smaliziati informaticamente potrebbero approfittarne ed entrare facilmente nei server della scuola.
In definitiva, il tema della sicurezza dei registri di classe e di altri strumenti che gestiscono dati riservati dovrebbe essere affrontato di nuovo cosi da allinearlo ad altri strumenti che gestiscono questo tipo di informazioni.
