K metro 0 – Minneapolis – I documenti riservati rubati dalle scuole e messi online da bande di ransomware sono crudi e molto intimi. Descrivono aggressioni sessuali da parte degli studenti, ricoveri psichiatrici, genitori violenti, assenze ingiustificate, persino tentativi di suicidio.

L’Associated Press ha raggiunto le famiglie di sei studenti i cui casi di violenza sessuale sono stati resi noti. Emerge il caso di una madre il cui fascicolo del figlio contiene 80 documenti. E comunque, anche quando le scuole scoprono un attacco ransomware in corso, in genere i dati sono già spariti.

È quello che ha fatto il distretto scolastico unificato di Los Angeles lo scorso fine settimana del Labor Day, per poi vedere trapelare online i documenti privati di oltre 1.900 ex studenti, tra cui valutazioni psicologiche e cartelle cliniche. Solo a febbraio i funzionari del distretto hanno reso note le dimensioni della violazione, sottolineando la complessità di informare le vittime con file esposti vecchi fino a tre decenni.

L’eredità duratura degli attacchi ransomware nelle scuole, a quanto pare, non è rappresentata dalla chiusura delle scuole, dai costi di recupero o dall’impennata dei premi di assicurazione informatica. È il trauma per il personale, gli studenti e i genitori dovuto all’esposizione online di documenti privati, che l’AP ha trovato su Internet aperto e sul dark web.

Un’enorme quantità di informazioni è pubblicata online e nessuno cerca di capire quanto sia grave. “Oppure, se qualcuno sta cercando, non rende pubblici i risultati”, ha dichiarato l’analista Brett Callow della società di sicurezza informatica Emsisoft.

Altri grandi distretti di recente colpiti da furti di dati sono San Diego, Des Moines e Tucson, in Arizona. Mentre altri obiettivi del ransomware hanno fortificato e segmentato le reti, criptando i dati e imponendo l’autenticazione a più fattori, i sistemi scolastici sono stati più lenti a reagire.

È probabile che il ransomware abbia già colpito oltre 5 milioni di studenti statunitensi e che gli attacchi dei distretti siano destinati ad aumentare quest’anno, ha dichiarato l’analista Allan Liska della società di cybersicurezza Recorded Future. Secondo un sondaggio del Center for Internet Security, un’organizzazione no-profit finanziata a livello federale, quasi un distretto statunitense su tre aveva subito una violazione entro la fine del 2021. “Tutti vogliono che le scuole siano più sicure, ma pochi vogliono vedere aumentare le tasse per farlo”, ha detto Liska.

In un file trapelato, uno studente implora di fare qualcosa, ricordando il trauma di imbattersi continuamente in un ex-abusatore in una scuola di Minneapolis. Altre vittime hanno raccontato di aver bagnato il letto o di aver pianto per addormentarsi.

I fascicoli completi dei casi di violenza sessuale contenenti questi dettagli erano tra gli oltre 300.000 file scaricati online a marzo, dopo che le Minneapolis Public Schools, con 36.000 studenti, si erano rifiutate di pagare un riscatto di un milione di dollari. Tra gli altri dati esposti vi erano cartelle cliniche, denunce di discriminazione, numeri di previdenza sociale e informazioni di contatto dei dipendenti del distretto.

Ricche di dati digitalizzati, le scuole della nazione sono un obiettivo primario per gli hacker criminali più lontani, che stanno assiduamente individuando e raccogliendo file sensibili che fino a poco tempo fa erano conservati su carta in armadietti chiusi a chiave. “In questo caso, tutti hanno una chiave”, ha dichiarato l’esperto di sicurezza informatica Ian Coldwater, il cui figlio frequenta un liceo di Minneapolis.

Spesso a corto di fondi, i distretti non sono attrezzati a sufficienza non solo per difendersi, ma anche per rispondere in modo diligente e trasparente in caso di attacco, soprattutto mentre lottano per aiutare i ragazzi a recuperare il ritardo accumulato dalla pandemia e si confrontano con bilanci in contrazione.

A distanza di mesi dall’attacco di Minneapolis, gli amministratori non hanno mantenuto la promessa di informare le singole vittime. A differenza di quanto avviene per gli ospedali, non esiste una legge federale che imponga questa notifica alle scuole.