L’hacking della tela non è un incidente. È un sintomo.

18

Le scuole sono ancora spalancate.

Un nuovo attacco a Canvas lo dimostra. Instructure, la società che alimenta il sistema di gestione dell’apprendimento utilizzato da trenta milioni di studenti, è stata violata alla fine della scorsa settimana. Non i conti pagati. Gli hacker hanno preso di mira il livello “gratuito per gli insegnanti”. Quella scelta specifica è importante. Ciò dimostra che gli aggressori sanno esattamente dove le difese sono più deboli.

Gli ShinyHunters affermano di aver rubato 275 milioni di dischi. Da 9.000 istituzioni in tutto il mondo.

La risposta? Tipico. Instructure ha annunciato un accordo. Dicono di aver riacquistato i dati. Ricevuta la “conferma digitale” è stato cancellato. Ho avuto la promessa che nessuna scuola sarebbe stata estorta.

Silenzio su quanto hanno pagato.

Mercoledì è previsto solo un webinar.

È la seconda violazione quest’anno. E-mail, nomi utente, nomi dei corsi. Roba che rovina le identità. Tutto ha colpito mentre i ragazzi stavano sostenendo le finali. Il caos è una buona copertura per il furto. Canvas è tornato online sabato. Ma almeno una dozzina di distretti scolastici in sei stati stanno ancora rimettendo a posto il caos. ShinyHunters aveva persino fissato una scadenza affinché quei distretti negoziassero separatamente.

Perché l’istruzione? Perché è facile.

Gli esperti definiscono il settore “ricco di obiettivi, povero di risorse”. Abbiamo terabyte di dati sensibili. Abbiamo budget per gli spuntini della mensa ma non per gli ingegneri della sicurezza. E poiché la pandemia ha costretto ogni insegnante a usare un computer, abbiamo lasciato le porte aperte. Ora siamo arrabbiati. Ma la rabbia non ferma il ransomware.

Va peggio. L’intelligenza artificiale rende gli hacker più intelligenti. Non ci siamo davvero adattati.

“L’82% delle famiglie K-12 ha segnalato un incidente nel 2024. Oltre 9.300 casi confermati.”

I numeri sono noiosi finché non pensi al contenuto della tua casella di posta. O i documenti di tuo figlio.

Siamo stati qui prima. Solo con nomi diversi.

  • 2018: L’UE ha approvato il GDPR. L’America alzò le spalle. Mancava un consenso nazionale su chi possiede i dati degli studenti.
  • 2022: La Illuminate Education è stata colpita. Poi Los Angeles Unificata. Gli hacker hanno scaricato 500 gigabyte di file di studenti sul dark web perché LAUSD si è rifiutata di pagare. Chiamavano le scuole “vasi di miele”. Avevano ragione.
  • 2025: Il sostegno federale è svanito. I tagli hanno colpito le squadre di difesa coordinate. I distretti hanno iniziato a operare nell’oscurità. Nessuna guida. Nessun aiuto.

La giornalista Ellen Ullman ha esaminato la questione. Le sue scoperte per EdSurge erano desolanti. Le scuole sono deboli sui fondamenti. Le piccole scuole sono particolarmente allettanti. Perché combattere una fortezza fortificata quando puoi rubare da un garage aperto? La prima linea di difesa non è il software. Sono gli umani. E gli esseri umani si stancano. Fanno clic sui collegamenti sbagliati.

Quindi ci affidiamo agli audit.

Certificazioni. Liste di controllo. Douglas Levin, che gestisce il K12 Security Exchange, lo ha definito “teatro della conformità”. Non aveva torto. Gli scudi di carta non fermano i proiettili. Ti danno solo una difesa legale quando tutto va storto.

Alle scuole viene detto di “educare il personale”. Per “cercare aiuto esterno”. Facile a dirsi. Difficile da fare quando il tuo tecnico informatico è anche la persona che ripara la stampante in palestra.

La pressione sta aumentando. Gli attacchi stanno diventando più intelligenti. Continuiamo ad aspettare che il venditore ci salvi.

Non lo faranno.