La violazione ransomware dell'Università Mount Royal colpisce i dati di studenti e dipendenti

Un attacco ransomware all'Università Mount Royal (MRU) di Calgary ha compromesso i dati personali di studenti e dipendenti, sollevando interrogativi urgenti su come le istituzioni post-secondarie gestiscono la comunicazione delle violazioni e quali tutele devono alle persone più colpite. L'università ha confermato che i dati aziendali sono stati sottratti nell'attacco, ma la decisione di offrire il monitoraggio del credito solo ai dipendenti, e non agli studenti, ha suscitato critiche e ha lasciato molti a chiedersi se le loro informazioni siano davvero al sicuro.

Questo incidente non è un caso isolato. Il modello di attacco ransomware e violazione dei dati nelle università è diventato una delle storie di cybersicurezza più ricorrenti degli ultimi anni, con le istituzioni post-secondarie sottoposte a una pressione incessante da parte di gruppi criminali che vedono i campus come obiettivi di alto valore e spesso poco difesi.

Perché le università sono bersagli di alto valore per i ransomware

Le università si trovano in un'intersezione insolita: detengono grandi volumi di dati sensibili personali, finanziari e di ricerca, ma operano in ambienti di rete aperti e collaborativi che privilegiano l'accesso rispetto alla restrizione. Un ospedale o una banca possono giustificare controlli di accesso aggressivi; ci si aspetta invece che un campus universitario sia aperto per progettazione.

Questa apertura crea vulnerabilità strutturali. Studenti, docenti, collaboratori esterni e ricercatori in visita si connettono tutti alle stesse reti, spesso con dispositivi personali dalle configurazioni di sicurezza non uniformi. I team IT della maggior parte delle istituzioni post-secondarie sono sotto pressione rispetto alla scala dell'infrastruttura che gestiscono. E poiché le università spesso detengono proprietà intellettuale insieme ai dati personali, i gruppi ransomware possono minacciare di rilasciare entrambe le categorie di dati, massimizzando la loro leva.

Il calcolo finanziario per gli attaccanti è semplice. È improbabile che le università chiudano completamente le operazioni, il che significa che subiscono forti pressioni per pagare o negoziare. E a differenza delle aziende private, spesso hanno strutture di governance visibili pubblicamente, dati sulle iscrizioni e fonti di finanziamento che aiutano gli attaccanti a stimare quanta pressione esercitare.

Quali dati sono stati compromessi presso l'Università Mount Royal

L'MRU ha confermato che durante l'attacco sono stati sottratti dati aziendali relativi all'università, insieme a informazioni personali di studenti e dipendenti. L'università ha avvertito che un'analisi completa di ciò che è stato esattamente consultato potrebbe richiedere diverse settimane o mesi, una realtà comune e frustrante dopo gli incidenti ransomware. L'indagine forense è lenta e gli attaccanti non sempre lasciano tracce chiare di ciò che hanno esfiltrato.

Ciò che è già chiaro è che i dati dei dipendenti sono stati trattati diversamente da quelli degli studenti nella risposta dell'MRU. L'università offre il monitoraggio del credito ai dipendenti, ma non agli studenti, sostenendo che le informazioni degli studenti non presentano lo stesso profilo di rischio finanziario. Vale la pena esaminare attentamente questa distinzione.

Perché la decisione dell'MRU di negare il monitoraggio del credito agli studenti solleva segnali d'allarme

L'argomento dell'MRU secondo cui i dati degli studenti presentano un rischio inferiore rispetto a quelli dei dipendenti presuppone che la minaccia principale derivante da una violazione sia la frode finanziaria immediata, il tipo che il monitoraggio del credito è progettato per individuare. Ma le registrazioni degli studenti includono in genere nomi, date di nascita, numeri di matricola, dettagli di contatto e, in molti casi, lo stato di immigrazione, la storia delle iscrizioni e i registri dei pagamenti. Si tratta di un ricco insieme di dati per il furto d'identità, anche se il rischio immediato di frode appare diverso da quello di un record di buste paga rubato.

Il monitoraggio del credito non è certo uno strumento perfetto, e il suo valore varia a seconda dei dati effettivamente sottratti. Ma la decisione di escludere gli studenti da questa protezione, senza aver ancora completato una revisione forense completa di ciò che è stato compromesso, è una scelta significativa. Gli studenti sono spesso più giovani, possono avere storie creditizie più sottili e potrebbero essere meno esperti nel riconoscere i segnali di un uso improprio dell'identità. Hanno anche meno risorse istituzionali per reagire se qualcosa va storto mesi dopo.

Le università hanno un dovere di diligenza nei confronti delle persone che affidano loro informazioni personali. Questo dovere non diminuisce perché la parte interessata è iscritta invece che assunta.

Passi che studenti e dipendenti possono intraprendere ora per proteggersi

Che l'MRU estenda o meno tutele formali agli studenti, le persone colpite da questa violazione devono prendere immediatamente le proprie misure. Aspettare che l'istituzione completi la sua analisi, che potrebbe richiedere mesi, non è una strategia protettiva praticabile.

Controlla i tuoi account per attività insolite. Verifica conti bancari, carte di credito e qualsiasi conto finanziario collegato al tuo indirizzo email studentesco o lavorativo. Attiva gli avvisi di transazione se la tua banca li offre.

Cambia le password associate ai tuoi account universitari. Se riutilizzi le password su più servizi, cambia anche quelle. Utilizza un gestore di password per generare e memorizzare credenziali univoche per ciascun account.

Stai attento ai tentativi di phishing. I gruppi ransomware spesso vendono o utilizzano i dati rubati per creare email di phishing mirate. Sii scettico verso qualsiasi comunicazione che ti chieda di cliccare un link o verificare informazioni personali, anche se sembra provenire da una fonte attendibile.

Considera un blocco del credito. In Canada, puoi richiedere un blocco del credito o un avviso di frode tramite Equifax e TransUnion. A differenza del monitoraggio del credito, un blocco impedisce attivamente l'apertura di nuovo credito a tuo nome senza la tua esplicita autorizzazione.

Usa una VPN nei campus e sulle reti pubbliche. Gli ambienti Wi-Fi dei campus possono essere monitorati o compromessi. Utilizzare una VPN affidabile quando accedi a account sensibili sulle reti universitarie aggiunge un livello di crittografia che rende più difficile per chiunque sulla stessa rete intercettare il tuo traffico. Questa è un'abitudine pratica per ogni studente o membro del personale, indipendentemente da una violazione specifica.

Monitora le tue informazioni nel tempo. I dati rubati spesso non vengono utilizzati immediatamente. Imposta un promemoria per controllare il tuo rapporto di credito ogni pochi mesi per il prossimo anno, e rimani vigile per qualsiasi apertura di account o modifica inaspettata.

Cosa significa questo per te

L'attacco ransomware e la violazione dei dati dell'Università Mount Royal ricordano che gli incidenti di cybersicurezza nelle istituzioni comportano conseguenze reali e personali per le persone che non hanno avuto altra scelta se non quella di fornire le proprie informazioni per iscriversi o lavorare lì. L'indagine forense è in corso e il quadro completo di ciò che è stato compromesso potrebbe non essere chiaro per mesi.

Se sei uno studente o un dipendente dell'MRU, agisci ora sui passaggi sopra indicati, anziché aspettare che l'università completi la sua revisione. E se sei uno studente o membro del personale di qualsiasi istituzione post-secondaria, questo incidente è un invito a esaminare le tue abitudini digitali. Le reti dei campus sono ambienti condivisi e la tua postura di sicurezza personale conta indipendentemente da ciò che la tua istituzione offre o non offre. Rivedere come utilizzi queste reti, incluso se una VPN merita di entrare nel tuo kit di strumenti abituale, è un passo pratico che costa poco e può fare una differenza significativa.