Didattica online a prova di hacker, vademecum per insegnanti e studenti | Agenda Digitale

CYBERSECURITY

Didattica online a prova di hacker, vademecum per insegnanti e studenti

Per la prima volta la scuola si è trovata catapultata nel mondo digitale. Nella maggioranza dei casi senza una preparazione adeguata. Né sul fronte della formazione dei docenti né su quello dei sistemi d’istituto. Ecco lo status quo e una guida per scongiurare gli errori principali in ambito sicurezza

13 Mag 2020
Mauro Ozenda

consulente informatico


Dalla protezione dei dati personali alla sicurezza, sono molteplici i nodi emersi dal primo “esperimento” di scuola digitale forzato dal lockdown. Vediamo insieme come affrontarli nel modo giusto così da farci trovare preparati per il futuro.

Didattica online, il fulmine a ciel sereno

“Scuole chiuse in tutta Italia.” Questo l’annuncio ufficiale in una conferenza stampa congiunta col premier Conte e la ministra dell’Istruzione Lucia Azzolina. Era il 4 marzo 2020 e da quel momento la scuola italiana di ogni ordine e grado ha dovuto trovare modi alternativi di fare didattica garantendo l’attività di docenza mediante piattaforme di formazione a distanza.

Con Nota del 17 marzo il Ministero dell’Istruzione fornisce le indicazioni operative per la didattica a distanza. Nello specifico cosa si intende per didattica a distanza, le questioni della privacy collegate, la progettazione delle attività, l’attenzione agli alunni DSA e BES, la valutazione delle attività didattica a distanza.

La nota arriva come un fulmine a ciel sereno su migliaia di docenti che si trovano da un giorno all’altro a doversi uniformare sfruttando al meglio la didattica digitale per proseguire l’attività formativa sugli studenti che deve avvenire necessariamente in remoto (esigenza obbligata vista la situazione).

Il Ministero dell’Innovazione Tecnologica/Digitalizzazione e AGID hanno messo a disposizione dei cittadini e delle aziende uno spazio dedicato a Solidarietà digitale, dove poter attingere a risorse messe a disposizione servizi gratuiti a disposizione dei cittadini, fra questi soluzioni per le scuole dedicate alla didattica a distanza. Il Ministero dell’Istruzione ha messo a disposizione uno spazio web dedicato alla Didattica a Distanza.

Didattica a distanza: lo scenario 

Oltre 850.000 docenti dei quali 150.000 dedicati al sostegno per 8 milioni e mezzo di studenti da formare. Oltre 40.000 sedi scolastiche al momento deserte che obbligano ciascun insegnante a svolgere l’attività didattica dalla propria abitazione. Fondamentale dunque avere una connessione a internet per consentire di svolgere videolezioni a distanza, con una didattica innovativa che vede per certi versi i ragazzi più preparati dei loro insegnanti nell’utilizzo degli stessi.

La rincorsa dunque a utilizzare le diverse piattaforme digitali, già utilizzate in diverse realtà scolastiche, con l’obiettivo primario di rendere efficace l’attività svolta sui ragazzi. Nonostante siano anni che si parla di formazione sul digitale nella scuola italiana, ad oggi solo una piccola percentuale di insegnanti è realmente formata. Una piccolo gruppo di docenti tecnologici, se rapportato al numero su scala nazionale, sta cercando di trasmettere il suo know how con tutorial creati ad hoc per spiegare l’utilizzo delle diverse piattaforme tramite pagine Facebook o canali Youtube a tema.

Gruppi social, in particolare su Facebook, consentono ai docenti di confrontarsi con i colleghi ponendo i quesiti più svariati. Di seguito alcuni dei principali gruppi Facebook maggiormente attivi.

Gruppi Facebook a tema:

WHITEPAPER
Stop alle minacce informatiche grazie alla Threat Intelligence avanzata. Scopri come nel white paper
Sicurezza
Cybersecurity

Ultimamente appaiono all’interno di questi gruppi post di docenti che lamentano problemi nella gestione delle classi virtuali all’interno dei sistemi di videoconferenza utilizzati. Personale opinione è che si è partiti in quarta, a partire dal Ministero facendo pressione sui Dirigenti Scolastici, per arrivare a fare nel brevissimo periodo didattica a distanza.

Strumenti digitali: i rischi

Obiettivo primario arrivare a fine anno scolastico senza interruzione dell’attività didattica. Pur di arrivare a questo – personale impressione – si è assistito a un comando dall’alto che intimava ai Dirigenti, con ricaduta sui docenti, “intanto armatevi e partite, poi vediamo…” . Tutto questo ha portato, credo, a rischi legati in primis alla privacy, la protezione dei dati, la sicurezza, che sono sotto gli occhi di tutti.

Episodi di videochat invase da contenuti a sfondo razzista e pornografico, piuttosto che di accessi indesiderati alle classi virtuali durante gli incontri programmati dai docenti. Registrazioni audio-video delle lezioni, screenshot di conversazioni avvenute in chat fra i ragazzi durante le lezioni che vengono poi condivisi all’interno di pagine create su Instagram o gruppi a tema su WhatsApp.

La continuità didattica a tutti i costi ha portato il Ministero a sottovalutare l’importanza di garantire un buon livello di tutela dei dati personali e ridurre al massimo i rischi cyber.

“Gli istituti scolastici sono tenuti a garantire un’adeguata sicurezza dei dati trattati, che in breve significa rispettare le principali buone prassi e raccomandazioni in materia di cyber sicurezza, oltre che adottare un vero e proprio sistema di gestione dei rischi cyber, che nel contesto della formazione a distanza e telelavoro aumentano esponenzialmente. Subire un incidente informatico (e conseguente violazione di dati personali) in un momento del genere potrebbe significare il blocco totale di tutte le attività a tempo indeterminato, con gravissime ed evidenti conseguenze per tutti (ente scolastico e studenti)”.

Piattaforme digitali, vantaggi e limiti 

Da tempo ogni scuola dovrebbe aver redatto il modulo relativo alle MISURE MINIME DI SICUREZZA implementate o da implementare per tutelare il sistema informativo scolastico. Questa è la base di partenza per cominciare a parlare di tutela del sistema informativo scolastico e dei relativi dati che si muovono all’interno dello stesso.

Le norme contenute nel GDPR purtroppo vengono ancora viste come mera burocrazia da assolvere quando invece, se rispettate, consentono alle aziende/P.A. e in questo caso all’ente scuola, di ridurre al minimo i rischi legati a perdita o furto di dati che circolano all’interno del sistema informativo scolastico. E’ di PRIMARIA IMPORTANZA che gli enti scolastici facciano affidamento al proprio Responsabile per la protezione dei dati (“DPO”) per costruire un percorso di formazione a distanza (e telelavoro) che possa tutelare i diritti degli studenti, invece che porli ancora più a rischio. Sarà lui in questa fase a verificare e validare che le piattaforme fornite dalle aziende del settore IT abbiano requisiti conformi al GDPR rispettando gli standard di sicurezza previsti dallo stesso.

Negli ultimi giorni sono emersi problemi di sicurezza in particolare sulla piattaforma ZOOM che risulta essere probabilmente oggi la più utilizzata su scala mondiale. Giusto rilevare che a fronte dei problemi di sicurezza/privacy emersi, l’azienda sia intervenuta tempestivamente implementando aggiornamenti con patch di sicurezza che hanno mitigato di molto le problematiche emerse.

Per mettere in guardia i docenti importante di seguito una sorta di vademecum per il docente da seguire per garantire un utilizzo maggiormente sicuro della piattaforma di e-learning utilizzata :

  • Verificare che la piattaforma utilizzata garantisca una crittografia contenuti audio e video end-to-end.
  • Attivare, laddove è possibile, la sala d’attesa (Waiting Room). Questa consente al docente di poter ammettere i ragazzi della classe e sarà quindi più difficile a terzi soggetti accedere alla lezione online.
  • Evitare di diffondere il link del nostro meeting sui social. Così facendo diamo modo ai ragazzi di condividerlo eventualmente con terze persone che nulla hanno a che fare con la lezione (l’incontro diventa un fatto pubblico).
  • Evitare di utilizzare l’identitificativo personale (PMI). Creare il meeting con ID generato random con password. Fornire alla lista dei partecipanti una password per verificare che possano accedere.
  • Entrare almeno 5 minuti prima dell’inizio del meeting per verificare le funzionalità e controllare la sala d’attesa. Fare l’appello confermando i ragazzi iscritti alla classe.
  • Chiudere la porta (Lock Meeting Room) , una volta cominciato il meeting e si è sicuri di avere tutti i partecipanti desiderati. In questo modo, anche se un esterno viene a conoscenza della password e del link non li può utilizzare.
  • Disattivare le funzioni di trasferimento di file tra partecipanti e disattivare l’eventuale possibilità di registrazione audio/video da parte dei partecipanti (recording).
  • Disattivare anche temporaneamente il video di qualcuno e disattivare la chat private.
  • Impostare l’opzione dei partecipanti inMUTO” aprendo l’audio solo agli studenti cui viene richiesto.

Di seguito le principali piattaforme di gestione videolezioni sincrone con un rimando alla pagina specifica del produttore in relazione alla conformità cyber-security.

Suggerimenti per buone prassi

  • Impostare una buona password di accesso alla propria casella di posta elettronica lavorativa e personale che è la base di partenza per l’iscrizione alle piattaforme (min. 14 caratteri, alfanumerica, caratteri speciali, maiuscole/minuscole, differenziata per ognuno dei servizi utilizzati e modificata almeno ogni 6 mesi).
  • Attivare per il proprio account, laddove i servizi e le piattaforme in Rete lo consentono (dovrebbe già essere uno standard) il 2FA (doppio fattore di autenticazione) collegandolo a un APP installata sul proprio smartphone (es.Google Authenticator o analoghe).
  • I dispositivi utilizzati (escluso gli apparati Iphone) devono essere dotati di software di protezione (antivirus) aggiornati. Non appena disponibili gli upgrade di sistema e delle applicazioni presenti, questi devono essere eseguiti. Sul dispositivo dal quale ci si connette per fare videoconferenza un occhio di riguardo alle applicazioni che vengono installate, rigorosamente dalle piattaforme ufficiali, installando solo quelle effettivamente necessarie avendo sempre cura di controllare a quali dati le app installate accedono, verificando bene le recensioni.
  • Per le eventuali registrazioni (recording) delle lezioni da parte del docente, nel caso avvengano in locale, si suggerisce il trasferimento delle stesse su un dispositivo esterno cifrato mediante software di cifratura opensource Veracrypt.
  • Nel caso di registrazioni, materiale didattico salvato in cloud fare il BACKUP su un dispositivo esterno(pendrive o hard disk).
  • Wi-fi – Router di casa: onde evitare che malintenzionati possano accedere alla rete di casa e quindi ai dati presenti sui nostri dispositivi o inserirsi nella stanza virtuale dove avviene il meeting online, ricordare di impostare, alcuni suggerimenti di impostazione e modalità di utilizzo del router wifi :
    • Cambiare la password di accesso Admin al pannello di controllo del router
    • Cambiare il nome del SSID (Service Set Identifier).
    • Una volta configurati tutti i dispositivi collegati, disabilita o nascondi la trasmissione del SSID.
    • Cambiare la password WPA2-PSK chiave di cifratura dotata di almeno 24 caratteri costituita da numeri, lettere maiuscole, lettere minuscole e magari anche da qualche carattere speciale.
    • Disabilitare la rete Guest, cioè la rete che viene solitamente utilizzata per consentire l’accesso alla propria connessione wireless.
    • Abilitare il firewall già integrato sul tuo router.
    • Aggiornare sempre il firmware del tuo router all’ultima versione.
    • Salva la configurazione del tuo router facendo un backup delle impostazioni dello stesso.
    • Quando non usi la connessione wireless per lungo tempo, ad esempio la notte o quando sei fuori casa per lavoro, tieni il router spento.
  • Evitare di utilizzare dispositivi di terzi per accedere a meeting online o altri servizi che prevedano comunque una forma di autenticazione con le proprie credenziali.
  • Evitare di connettersi su reti wifi di terzi. Nel caso lo si debba proprio fare in emergenza, dotarsi di un software VPN che consenta di gestire i dati in transito in maniera protetta.
  • Posta elettronica: nel caso si debbano trasferire dati personali personali/sensibili dotarsi di strumenti di comunicazione con cifratura basata su standard PGP (OPENPGP).
  • Browser Web : possibilmente collegarsi solo a siti protetti (https) laddove i dati personali sono maggiormente protetti in quanto gestiti in uno spazio cifrato. Non salvare le CREDENZIALI DI AUTENTICAZIONE ai diversi servizi online. Laddove il browser lo consenta attivare il VPN integrato.

Didattica a distanza e netiquette

Oltre alle giuste implementazioni di sicurezza e privacy suggerite e presenti sulle piattaforme menzionate, per ridurre al massimo i rischi connessi a una fuga di dati testo/audio/video, importante pensare a una specifica policy per la didattica a distanza e a una Netiquette per un uso rispettoso e corretto durante la videolezione live docente-studenti.

Sulla mia pagina facebook è disponibile la “FAD-Etichette” disponibile e aggiornabile a cura dei singoli istituti scolastici per consentire una gestione maggiormente efficace, rispettosa, diligente e sicura della Formazione A Distanza.

Una specifica policy che andrà a integrare il “Regolamento d’Istituto” verranno indicati i comportamenti NON CONFORMI con relative sanzioni. Fra questi non condividere la lezione con persone al di fuori della classe, così come non registrarle e divulgarle. Riportiamo un esempio di regolamento di una scuola del napoletano ha pensato bene di implementare per impedire che fatti del genere accadano con le relative conseguenze.

Fondamentale cominciare a pensare a percorsi di “Educazione Digitale” non solo lato DOCENTI ma anche lato GENITORI con una particolare attenzione alla “Cybersecurity” e alla “tutela della privacy”. Utile infine poter fornire un LINK alle scuole con i sistemi operativi e le piattaforme DAD conformi GDPR e dunque “Security e Privacy by design”.

Esempio di regolamento didattica a distanza a integrazione Regolamento d’Istituto redatto dall’I.I.S. “G. Marconi” di Torre Annunziata (Napoli)

ARTICOLI NORMA SANZIONE
ART.1 Custodire in un luogo sicuro la password con cui si accede alla piattaforma ******o alla piattaforma ****** e non divulgarla a nessuno per alcun motivo.Sospensione da 1 a 3 giorni
ART.2 Verificare quotidianamente la presenza di lezioni in piattaforma e seguirle con puntualitàMenzione sulla sezione annotazioni del registro di classe
ART.3 Negli appuntamenti in presenza accedere alla piattaforma con almeno 5 minuti di anticipo, in modo da risolvere eventuali problemi tecnici.Menzione sulla sezione annotazioni del registro di classe
ART.4 Vestire in maniera appropriata, anche se si segue da casa, con il dovuto rispetto per i docenti ed i compagni di classe.Menzione sulla sezione annotazioni del registro di classe
ART. 6 Collegarsi alla piattaforma didattica con il proprio nome e cognome evitando pseudonimi o sigleSospensione da 1 a 3 giorni
ART.5 Chiudere tutte le altre applicazioni durante le lezioni.Sospensione da 1 a 3 giorni
ART.6 Abbassare la suoneria del cellulare e non rispondere né effettuare telefonate durante le lezioni.Menzione sulla sezione annotazioni del registro di classe
WHITEPAPER
Come vendere un maggior numero di soluzioni di data protection?
Sicurezza dei dati

@RIPRODUZIONE RISERVATA

Articolo 1 di 3