Perchè i siti delle scuole devono migrare da http ad https?

Sito sicuro

La sicurezza nella rete è fondamentale anche nel mondo scolastico.

Ma parlare di sicurezza significa anche non offrire opportunità a cyber criminali di sfruttando le vulnerabilità dei sistemi informatici e siti web delle scuole per danneggiare i potenziali utenti che accedono alle informazioni quotidianamente (una scuola con 1000 alunni potenzialmente ha un bacino d’utenza di 3000/5000 accessi).

Ma le scuole sono pronte a mette in campo le tecniche ed i processi per garantire la sicurezza dei dati, la loro inviolabilità ed integrità e gli utenti che accedono a questi?

Secondo i dati contenuti nel 15esimo rapporto Clusit nel 2018 il settore pubblico, ha visto un incremento del 41% degli attacchi in più rispetto ai dodici mesi precedenti. 

Nelle scuole italiane le difficoltà nel mettere in azione tutte quelle strategie adeguate a garantire la sicurezza in ambito ICT (information and communication technology) sono note: mancanza di fondi, di specifiche competenze all’interno del personale (docente e amministrativo/tecnico), di una cultura della sicurezza dei dati e dei sistemi, formazione inadeguata e di inconsapevolezza dei rischi sono alcuni dei motivi (non unici) di questi dati in continua crescita.

Un aspetto che troppo spesso viene trascurato dai Dirigenti delle scuole italiane è la scarsa consapevolezza sui rischi di violazione del sito web istituzionale (il .edu.it).

La quasi totalità dei siti scolastici è presente nella rete ancora con il protocollo http mentre, per ragioni di sicurezza, oggi è indispensabile avere il proprio portale web con il protocollo https.

La differenza fondamentale tra i due protocolli è fondamentale:

  • http, acronimo di HyperText Transfer Protocol ovvero protocollo per il trasferimento dell’ipertesto, è il principale protocollo di comunicazione in internet. I dati trasferiti con tale protocollo risultano essere “in chiaro” ovvero sono, se intercettati, perfettamente leggibili e quindi utilizzabili.
  • https, acronimo di HyperText Transfer Protocol secure, cioè “protocollo per il trasferimento dell’ipertesto sicuro” crea una connessione criptata tra l’utente e il sito web.
    Il sistema (certificato SSL) cripta i dati in entrata e in uscita rendendoli indecifrabili, tutelando il contenuto della comunicazione da terze parti malintenzionate.

Ma perché è indispensabile adottare per le scuole italiane un protocollo https?

Moltissime scuole utilizzano, per realizzare e gestire i contenuti del proprio portale, sistemi CMS, content management system, ovvero sistemi per la gestione dei contenuti gratuiti (ad esempio wordpress, drupal, joomla i più famosi) che utilizzano database altrettanto gratuiti (MySQL, PostgreSQL, ecc..).

U&PGli amministratori del sito, i docenti e il personale della scuola, gli studenti ed i genitori che vogliono accedere ad aree riservate devono inserire le credenziali di accesso (usualmente una username ed una password).

E queste credenziali vengono trasferite dal dispositivo finale (client) al sito (server).

Con tecniche non particolarmente raffinate è possibile intercettare tutto quanto è trasmesso in rete (sniffing) e pertanto estremamente semplice carpire tali informazioni.

Utilizzando il protocollo https non si impedisce lo sniffing ma il dato non può essere utilizzato in quanto protetto dalla crepitazione garantita dal protocollo https.

Molti fornitori di servizi web oggi offrono, con una spesa di qualche euro/anno, il protocollo https.

Non adottare tali accorgimenti potrebbe portare ad una violazione della riservatezza e dell’integrità del dato e, nei casi più gravi, l’utilizzo del sito web istituzionale per attività illegali.

La sicurezza informatica non è un prodotto ma un modo di pensare ed agire

Ti interessa approfondire l’argomento? invia una mail all’indirizzo pnsd.cloud@gmail.com