Il problema
Il numero di incidenti relativi alla sicurezza dei dati personali segnalati dalle scuole nell’anno appena concluso è aumentato di ben oltre il 43%, con conseguente significativo aumento dei data breach. Le cause principali di tali perdite e furti di dati personali sono state, e tuttora sono:

• l’invio accidentale di informazioni verso destinatari sbagliati
• la divulgazione verbale degli stessi in maniera involontaria.

Tutto questo rappresenta una grave minaccia considerando che le scuole non solo possiedono i dati identificativi degli alunni (quali nomi, indirizzi, informazioni di contatto, registri scolastici, voti e schede di valutazione), ma anche e soprattutto i loro dati sensibili come i dati biometrici (es. impronte digitali e foto), il credo religioso (es. la scelta di non seguire le ore di religione), la salute (es. allergie), o le prescrizioni alimentari (che possono fornire indicazioni sulla fede religiosa, la razza o lo stato di salute dell’alunno).

Perché accade
Tutto ciò accade perché molto spesso le scuole non hanno le competenze interne sulla sicurezza informatica necessarie per prevenire tali rischi, e nemmeno sanno quali mitigazioni adottare nel caso in cui avvenga il data breach. Infatti molti di questi incidenti alla sicurezza che hanno coinvolto le scuole sono stati scaturiti da malware, phishing e ransomware (che sono aumentati di ben il 69% nell’anno appena concluso).

Come proteggersi
Secondo il principio di accountability (responsabilizzazione) previsto dal G.D.P.R., ogni scuola deve essere in grado di fronte ad un controllo di dimostrare di aver adottato tutte le misure di sicurezza necessarie per evitare il danno, perciò si raccomanda alle scuole di creare firewall perimetrali e gateway Internet per impedire l'accesso non autorizzato da e verso le reti private.

Inoltre devono utilizzare configurazioni sicure, controlli del livello di accesso, controlli di malware e virus, nonché mettere in atto policy di sicurezza efficaci per educare il personale e gli studenti sulla sicurezza, ottemperando anche all’obbligo di formazione degli incaricati al trattamento dei dati personali, previsto obbligatoriamente ai sensi dell’art. 29 del G.D.P.R.