Cloud inside

 In Notizie
Nessuna valutazione fornita dagli utenti.

Recentemente sentiamo parlare e di consueto proferiamo la fatidica parola “cloud”, ma ci accorgiamo davvero di conoscerne poco in merito. Il presente articolo si occuperà di delucidare ed indagare, per quanto mi è possibile, gli aspetti legali, gli accorgimenti ed i suggerimenti sul cloud computing per guidare l’utente ad una scelta più consapevole ed accorta dei servizi oggi disponibili, tanto propagandati, ma sovente sconosciuti, motivo di preoccupazione e, talvolta, pericolosi od illegali, senza che l’utente si accorga dei rischi entro insiti, a causa di campagne di marketing mirate alla vendita di prodotti o servizi convenienti, ma ingannevoli.

Innanzitutto, cos’è il cloud computing?

Spesso sentiamo esaltati che definiscono il/la cloud (rispetto al termine inglese oppure alla sua traduzione: “nuvola”) come una rivoluzione informatica. Per come la vedo io, hanno ragione a definire il cloud come rivoluzione. Una rivoluzione, infatti, è alla base di un’innovazione nata da un’esigenza insoddisfatta (nella fattispecie: di avere sempre a portata di mano i propri dati ovunque ci si trovi con o senza dispositivi con sè); in alternativa una rivoluzione avviene quando non si perde il contatto/rapporto con la fisicità materiale od immateriale dell’oggetto anche con coloro che non sono specialisti, ma che di fatto ne vengono coinvolti, traendone benefici; può accadere, inoltre, che una rivoluzione si manifesti quando il livello di astrazione è facilmente acquisibile da anziani e bambini senza necessità di un periodo di insegnamento guidato per l’apprendimento; infine, non dobbiamo pensare che una rivoluzione sia un evento di circostanza che si verifica in poco tempo e sconquassa completamente il passato. Il cloud ha radici molto remote e profonde: infatti, a livello teorico non dobbiamo dimenticare che il cloud nasce come SaaS (Software as a Service), che consiste nell’utilizzo di programmi in remoto, spesso attraverso un server web; questo acronimo condivide in parte la filosofia di un termine oggi in disuso ASP (Application Service Provider). Poi il cloud s’è sviluppato in PaaS (Platform as a Service), ossia, in questo caso, uno o più programmi vengono eseguiti in remoto su una piattaforma software che può essere costituita da diversi servizi, programmi e librerie: si tratte delle prime architetture bancarie, mirate ai dipendenti fuori dalla sede principale in mobilità oppure senza posto fisso sempre presso la stessa postazione; qui, nasce l’esigenza di virtualizzare in remoto sia l’intero desktop sia le risorse fisiche presenti nella sede centrale, ma utilizzate altrove, in modo sempre più capillare. Da ultimo oggi il cloud computing è diventato IaaS (Infrastructure as a Service), ossia utilizza di risorse in remoto non interne, nè di proprietà aziendale; questo tipo di Cloud è quasi un sinonimo di Grid Computing (fondamentalmente: il calcolo distribuito), ma le risorse vengono utilizzate su richiesta al momento in cui un cliente ne ha bisogno e non vengono assegnate a prescindere dal loro utilizzo effettivo.

Ebbene, il cloud computing risponde a tutti i requisiti poc’anzi presentati: allora definirla rivoluzione informatica non è più lessico da esaltati, bensì correttamente applicato alla circostanza.

Molti si preoccupano di ciò che c’è intorno alla nuvola; oggi ci occuperemo di ciò che c’è all’interno: certamente più difficoltoso nel bilancio e nella quantificazione delle risorse, così come nella creazione di un’infrastruttura adeguata e sicura a livello finanziario, tecnico e giuridico. Senza dubbio, la scelta di uno spazio di storage non è l’unico obiettivo del cloud computing, tant’è che oggi il noleggio è d’obbligo per tutte le Piccole e Medie Imprese, che per emergere vogliono presentarsi come le Grandi Imprese: si veda la vendita di Office 365 come prova. In questo caso, una start-up sceglie di dimenticarsi delle difficoltà insite nella virtualizzazione attraverso server locali, a luogo di pagamenti per ogni utente, che concretamente lavorerà nella stessa maniera, ma affiliandosi direttamente a server gestiti da Microsoft.

Addentrandoci nell’argomento, è necessario dapprima chiarire concetti preliminari ed avere definizioni in comune, per poi addentrarci nell’argomento.

I principi generali della sicurezza informatica prevedono l’assunzione del concetto di disponibilità, ossia la possibilità di accessibilità alle informazioni ovunque e con qualunque dispositivo nel momento in cui sorge la necessità di consultare i documenti prodotti 24/24, 365 giorni l’anno. Ergo, non deve mai accadere che una tipologia di cloud computing precluda l’importanza dell’accessibilità, perché (ad esempio) il server è acceso solo dalle 08.00 alle 20.00.

Altro concetto di fondamentale importanza è l’integrità dei dati sia a livello hardware sia a livello software, ossia rispettivamente nella corretta elaborazione dei dati nel rispetto del corretto bilancio delle prestazioni del calcolatore in uso e nelle giuste relazioni (ad esempio) nei database: immaginate cosa accadrebbe all’interno di un’istituto di credito, il conto corrente di una persona punti ad una tabella di dati di un’altra persona. Ne consegue che anche la modifica debba essere incrementale, affinché si mantenga traccia di eventuali alterazioni fraudolente.

Ultimo concetto fondamentale è la sicurezza, ossia la limitazione di accesso alle informazioni ed alla risorse hardware soltanto agli utenti (ergo, persona/e) veramente autorizzate. Ciò è importante sia a livello logico, sia a livello logistico (pessimo gioco di parole): intendo dire sia a livello software sia a livello organizzativo all’interno di un’impresa stessa. Allora non deve accadere che le sale server siano operativamente aperte, senza chiavi fisiche, di fatto lasciando che chiunque possa entrare, senza alcun tipo di controllo. Possiamo proteggere il computer con tutti i metodi possibili (dalla crittanalisi, alle password testuali/visivo-gestuali, ai sistemi a doppio token), ma se qualcuno a livello fisico accede ad un server, non c’è sistema che tenga, dal momento che gli hard disk su altro computer sono pur sempre accessibili ed i dati, per quanto crittografati, sono facilmente estraibili oppure le credenziali con ingegneria sociale si ottengono agevolmente con chiamate e spionaggio industriale a livello di dilettanti. Ma senza andare troppo lontano con l’immaginazione, prendiamo in considerazione anche tutte quelle occasioni in cui lo stesso presidente possa costituire un rischio per la sua stessa impresa. Se è stato nominato un amministratore di sistema, solo questo (chiamato dall’interno o dall’esterno e quindi responsabile del suo operato, con gravami alle sue spalle) deve poter accedere a questi locali, altrimenti potrebbe accadere che paradossalmente il presidente come gli altri dipendenti possano alterare i dati a proprio vantaggio, di fatto mettendo a repentaglio l’altrui operato, scavalcando ruoli ed accedendo a zone non di propria spettanza, prestandosi a facili posizioni conflittuali con il ruolo aziendale a ciascuno assegnato. Quindi, prima di proteggere logicamente i dati a livello infrastrutturale, dobbiamo proteggerci da possibili alterazioni fisiche. Ne consegue che la sala server debba essere chiusa ed accessibile esclusivamente agli amministratori di rete. Nominato un amministratore e nata l’impellenza di accedere alla sala server, chi richiede l’accesso domanda di entrare all’amministratore che ha le chiavi fisiche per entrare nella sala server, si entra assieme, si effettua il lavoro richiesto e si richiude nuovamente il locale, dal momento che il presidente stesso potrebbe voler effettuare operazioni illegittime, illegali, truffaldine o nefaste.

Quando parliamo di cloud computing, dobbiamo affrontare anche un ultimo problema che è sorto nell’ultimo periodo: il log management. Quali utenti e quando hanno fatto il log-in? Siamo sicuri che gli utenti con i privilegi assegnati possano svolgere il proprio lavoro al massimo delle proprie potenzialità, senza scavalcare i propri ruoli, destreggiandosi in pericolose acrobazie per l’intera impresa? Naturalmente registrare gli accessi, monitorarli e fare una corretta analisi dei rischi è compito dell’amministratore di sistema, che di fatto deve applicare forti restrizioni iniziali, ma deve concedere flessibilità nella modifica a richiesta dell’utente all’insorgere di un’esigenza reale, motivata, permanente o temporanea, futura. Come tutelarsi da utenti che entrano con privilegi aggiuntivi, non necessari, ma che potrebbero arrecare danni? Allora è necessario tener traccia di tutte le operazioni svolte da ciascun utente. Siamo consapevoli che i log debbano essere conservati inalterati per almeno 6 mesi in un posto sicuro, lontano e non in contatto con la restante infrastruttura locale? Chi registra i log management? Rispettano la nostra normativa in merito al salvataggio dei log? Sono disponibili in caso di necessità?

Disquisiti i i principi generali, addentriamoci all’interno della nuvola, piuttosto che parlare, come di consueto, di ciò che la circonda, dei dispositivi a dati sincronizzati e degli strumenti software che lo consentono.

Chi sono gli attori del cloud computing?

– Innanzitutto, il fornitore.

– Poi l’amministatore di sistema, ossia chi seleziona e configura i servizi.

– Quindi, i clienti finali o fruitori, che di fatto utilizzano i servizi, ma non hanno le giuste competenze per la discriminazione degli oggetti dentro la nuvola, ma devono agevolmente destreggiarsi intorno, sfruttandola al massimo.

Qui un legale direbbe “un rapporto a tre puzza di bruciato“. Non è una società, quindi è necessario capire come redigere il contratto.

Una volta imboccata la strada per il cloud computing, la prima domanda da porsi riguarda la disponibilità dei dati: sono sempre reperibili all’occorrenza? Sono accessibili? Sono asportabili?

Appaiono come domande retoriche, ma, in realtà, una profonda ed attenta lettura dei contratti di sottoscrizione di spazi di storage richiede un’analisi, dal momento che talvolta accade che si imbocchino strade che portano al deposito dei dati fuori dai confini nazionali italiani, in cui la legislatura è disponibile, per quanto controversa e da migliorare. Come si comporta l’Unione europea a riguardo? Il Paese in cui si depositano ha una legislazione sulla privacy, sulla conservazione e sulla tutela dei dati immessi? Tali dati sono influenzati da possibili problemi esterni al mondo informatico, come il caso dell’improvvisa interruzione della connessione ad internet da parte di tutti i provider egizi circa un anno fa a causa di probabili sommosse incentivate dalla consapevolezza comune del popolo interessato? Sapete cosa è accaduto? Tutti coloro che avevano un tipo di cloud in Egitto, con i loro DNS chiusi, si è visto interrompere il servizio senza alcun tipo di preavviso: ne consegue che il danno ricevuto ha prodotto un lucro cessante senza possibilità di chiedere un risarcimento al fornitore incolpevole, poichè cause di forza maggiore hanno provocato il verificarsi dell’evento.

Può capitare un interruzione del contratto con i fornitori. Tuttavia, su uno spazio potrei avere lo storico di tutte le e-mail scambiate. Posso trasferirle altrove? Posso rimuoverle definitivamente senza lasciare traccia? Ci sono alcuni casi in cui questa operazione non è semplice ed immediata, poiché può capitare che l’asportazione dei dati converga in estensioni proprietarie, dal momento che la società fornitrice pensa che siamo interessati a trasferire le informazioni esclusivamente su un altro account dello stesso fornitore. Prendo come esempio la rubrica e WordPress (.COM o .ORG che sia). Nel primo caso, assumiamo di avere i contatti su iCloud e di volerli condividere con GMail. Come posso sincronizzarli? Semplicemente non posso. Devo (seguendo questa guida) prima sincronizzare iCloud con Outlook 2010 su Windows, farne una copia in una nuova rubrica, poi devo esportarla sul computer, quindi devo importarla su GMail. Vi sembra una sincronizzazione oppure una fotografia all’istante t? Vi sembra che l’asportabilità sia garantita in ambiente Windows? Su Mac sembra quasi più semplice. Assumiamo di aver creato credenziali iCloud associate al nostro indirizzo GMail. La sincronizzazione avviene, ma la tabella dei dati è compromessa al punto, che la descrizione dei telefoni non è rispettata, i compleanni sono eliminati permanentemente, le note sono inesistenti e via discorrendo. Ed ho ipotizzato la migliore e la più nota delle ipotesi. Il caso di WordPress è piuttosto simile, poiché richiede dapprima esportazione, quindi l’importazione, ma esclusivamente da e verso WordPress. E qui sorgono le prime restrizioni. Assumiamo invece di voler prelevare i file archiviati. È un’operazione possibile in tempi ragionevoli? GMail drive ad esempio richiede il download di tutto l’archivio remoto, ma assicura un’effettiva cancellazione di tutte le copie depositate sui loro numerosi server di backup?

Abbiamo un controllo generale dei database di accesso al servizio?

Scenario d’esempio:

la mia software house mi domanda se c’è un problema sul DB. Allora devo verificare  l’integrità nelle corrispondenze di una data tabella. Possiamo scaricare il DB dallo spazio di storage cloud che regolarmente paghiamo? Lo vorremmo portare in laboratorio per cercare di capire con gli sviluppatori che cosa è successo dentro il DB.

E qui potrebbero insorgere i primi problemi. Se serve un DB in un mondo cloud, potremmo sentirci rispondere che il DB non è di proprietà dell’azienda, ergo si devono chiedere le liste di dati di cui si ha bisogno. Ne consegue la seguente discussione.

Vuole l’elenco dei clienti o quello dei fornitori? Le esporto l’elenco su un foglio di calcolo automatico.

No, a me interessa il DB, perchè devo verificare le rispondenze.

Giustamente lo sviluppatore risponde: “Se io ti fornisco il DB, tu comprendi la struttura del mio software.

Allora dobbiamo riflettere: io ho ragione, lui anche; come ci comportiamo? La soluzione non è sempre disponibile.

Reperibilità implica conoscenza sia della legislatura vigente nel Paese in cui è presente la sede legale della società presso cui abbiamo depositato i dati, ma anche la consapevolezza che eventuali problemi occorsi dovranno incrementare notevolmente tempi di risposta, risoluzioni, eventuali spese legali a carico o meno della parte offesa. Un’attenzione rilevante allora deve essere riservata al foro competente: Italia o estero? Europa o Stati Uniti d’America? Hanno legislazioni notevolmente differenti e difformi. Immaginiamo un problema legale con Google, con sede legale a Londra: un legale dovrà attaccare o difendere il proprio cliente a Londra, incrementando di fatto le spese legali a dismisura solo per avere voce in capitolo. Ancora una volta, l’ipotesi è ancora accettabile. Immaginiamo un servizio cloud in Sud Africa: al momento della sottoscrizione del contratto è difficile prestare attenzione a questo aspetto, pensando piuttosto al risparmio mensile od annuale a cui si va incontro rispetto ad altre soluzioni precedentemente comparate. Allora è necessario leggere integralmente ogni clausola, per quanto piccola od umanamente invisibile (poichè ad esempio scritta con 1 punto di corpo nella scrittura, apparendo simile ad una linea di chiusura).

Chiuso l’aspetto commerciale-legale, approfondiamo la legislazione in merito al “trasferimento dei dati all’estero“.

Art. 42. Trasferimenti all’interno dell’Unione europea
1. Le disposizioni del presente codice non possono essere applicate in modo tale da restringere o vietare la libera circolazione dei dati personali fra gli Stati membri dell’Unione europea, fatta salva l’adozione, in conformità allo stesso codice, di eventuali provvedimenti in caso di trasferimenti di dati effettuati al fine di eludere le medesime disposizioni.

Art. 43. Trasferimenti consentiti in Paesi terzi
1. Il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese non appartenente all’Unione europea è consentito quando:

a) l’interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta;

b) è necessario per l’esecuzione di obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato, ovvero per la conclusione o per l’esecuzione di un contratto stipulato a favore dell’interessato;

c) è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento o, se il trasferimento riguarda dati sensibili o giudiziari, specificato o individuato ai sensi degli articoli 20 e 21;

d) è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo. Se la medesima finalità riguarda l’interessato e quest’ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato. Si applica la disposizione di cui all’articolo 82, comma 2;

e) è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;

f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con l’osservanza delle norme che regolano la materia;

g) è necessario, in conformità ai rispettivi codici di deontologia di cui all’allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell’articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati;

h) [soppressa”] (1)

(1) Lettera soppressa dall’art. 40, comma 2, lettera e), del decreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214. Si riporta per completezza la lettera h) soppressa: “il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni”.

Art. 44. Altri trasferimenti consentiti

1. Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato:

a) individuate dal Garante anche in relazione a garanzie prestate con un contratto o mediante regole di condotta esistenti nell’ambito di società appartenenti a un medesimo gruppo. L’interessato può far valere i propri diritti nel territorio dello Stato, in base al presente codice, anche in ordine all’inosservanza delle garanzie medesime;(1)

b) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione europea constata che un Paese non appartenente all’Unione europea garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti.

(1) Lettera così modificata dall’art. 29, comma 5-bis, del decreto legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133.

Art. 45. Trasferimenti vietati
1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, è vietato quando l’ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza.

Il presente D.lgs 196/03 si presta per tutti coloro che non effettuano backup in locale e neppure in Italia per proprio conto o per terzi (ad esempio i propri clienti), alcuni servizi con un fornitore, altri con fornitori differenti. Purtroppo ad oggi non esiste la tanto agognata Unified Comunication & Collaboration, dal momento che ogni alloggio (residenziali, ad uso ufficio, pubblico o privato) paga il provider per la connessione ad Internet (spesso concidente anche con il telefono), poi sottoscrive con un servizio VOIP un contratto per la telefonia internazionale, la messaggistica istantanea semi-sincrona con prodotti online (MSN, iChat, IRC, …), si serve di e-mail “hostate” altrove, non delegando più nulla al locale. Allora dobbiamo approfondire l’argomento, poiché il trasferimento dei dati all’estero sicuramente avviene di consueto e senza neppure accorgercene.

L’art. 42 illustra con semplicità quanto avviene nello scambio delle merci fisiche negli Stati membri dell’Unione europea, agevolando, senza restrizioni o limiti, il trasferimento, ad eccezione di provvedimenti locali che lo impediscano. Si ricorda che una legge europea per essere valida deve essere prima recepita, vagliata e nel caso modificata dagli Stati prima che entri in vigore.

L’art. 43, invece, riguarda il trasferimento da un Paese membro dell’UE verso l’esterno: è consentito quando l’interessato ha espresso in maniera manifesta il proprio consenso scritto. Sembra una frase stupida ed immediata, ma implica che l’informativa riguardi tutti i propri clienti, i quali a loro volta devono prendere conoscenza che l’amministratore di sistema potrà trasferire i dati in Paesi terzi solo dopo la loro approvazione e sottoscrizione. Naturalmente almeno il 90% delle imprese che sta facendo (terzo, quarto) backup geografico non è a conoscenza della normativa, con conseguenti gravi pericoli e ripercussioni interne.

L’art. 45, infine, tratta i trasferimenti vietati, ma è puntiglioso nei trasferimenti temporanei e nei transiti dei dati fuori dall’UE. Personalmente mi domando cosa significhi “transito di dati” su internet, dal momento che un dato per arrivare al server oggetto di destinazione può imboccare numerose e sconosciute strade. Ad esempio, nel momento in cui in una rete locale dotata di connessione ad internet due utenti si scambiano un messaggio attraverso MSN-Messenger, il percorso è dal locale al server Microsoft messenger.hotmail.com (porta 1863) e viceversa. Ma la strada non si arresta ad un viaggio in linea aerea, ma deve percorrere le ramificazioni della rete via cavo (rame o fibra) e/o via etere (Wi-Fi et simila). Allora una maggiore chiarezza è necessaria da parte del Garante della Privacy, affinchè tutti si trovino nelle condizioni di comprendere come comportarsi e come agire, dal momento che si riscontra che un semplice tracking di un pacchetto attraversa numerosi Stati, ergo il 100% dei backup geografici non rispetta l’articolo. Nei momenti in cui si pensa che tutti stanno infrangendo un decreto, forse lo stesso dovrebbe essere limato. Una legge è giusta sempre, può non essere condivisibile, ma deve essere comprensibile, affinchè sia rispettata (con le forze dell’ordine in primis in grado di distinguere l’operato di ciascuno).

Adesso prendiamo in esame alcuni esempi.

I legali di Livedrive, un’impresa internazionale ed ampiamente conosciuta per lo storage remoto, scrivono in maniera chiara (si legga provocatoria) nel momento della sottoscrizione del contratto:

“You, and not Livedrive, are responsible for maintaining and protecting all of your files. Livedrive will not be liable for any loss or corruption of your files, or for any costs or expenses associated with backing up or restoring any of your files.

With the exception of our business service, services that include Livedrive Backup are not to be used for archiving. You must at all times hold an original copy of the data in the original location on the system it was backed up from. If you delete files from your computer that have been backed up we will remove the corresponding backup from our servers.”
Da ciò si evince che il backup geografico debba essere fatto senza dubbio e senza esclusione. Inoltre, deve essere sempre aggiornato per sincronia. MA DEVE ESSERE UNO DEI TANTI BACKUP, NON L’UNICO OD IL PRINCIPALE. Quindi, il backup principale incrementale è necessario che resti locale, che sia abbia sempre a portata di mano, indipendentemente dal backup geografico, che, come abbiamo letto, non si dice autorizzata di effettuare una copia di più versioni dello stesso file sovrascritto, nè si preoccupa di rendere i backup ripristinabili agevolmente. Affidarsi al backup geografico esclusivamente è dunque un errore, perchè una cancellazione dolosa o fortuita compromette il ritrovamento del file.
Google apps:

“1.5 Protezione dei dati. Nella sezione 1.4 e 1.5, i termini “dati personali”, “trattamento”, “responsabile del trattamento” e “incaricato del trattamento” avranno il significato loro attribuito nella direttiva dell’Unione Europea. Ai fini del presente Contratto e relativamente ai dati personali degli Utenti finali, le parti concordano che il Cliente sarà il Responsabile del trattamento e che Google ricoprirà il ruolo di Incaricato del trattamento di tali dati. Google prenderà le misure tecniche e organizzative  necessarie affinché tali dati personali siano protetti da distruzione accidentale o illegittima, perdita accidentale, alterazione, divulgazione o accesso non autorizzati.”

“Posizione dei dati. Nell’ambito della fornitura di Servizi aggiuntivi, Google potrà archiviare ed elaborare i dati forniti attraverso i suddetti Servizi aggiuntivi negli Stati Uniti o in qualsiasi altro Paese in cui Google o i suoi agenti operano.”

Si rimarca che il il responsabile dei dati è sempre il proprietario, com’è legittimo, mentre l’incaricato sarà Google. Queste sono le citazioni alle nuove regole sulla privacy di Google che entreranno in vigore dal giorno 01 Marzo 2012. Nella seconda citazione, tuttavia, ci accorgiamo come i Servizi aggiuntivi (come GMail), invece, non godono delle stesse proprietà, dal momento che la conservazione dei dati non si conosce esattamente la posizione geografica in cui si potrebbero trovare. Ergo, Google “ti” avvisa prima di non sapere a quale normativa ed in quale luogo conserveranno i “tuoi” dati, spostandoli di fatto dove fa loro più comodo. Il foro competente resta Londra, ma la dicitura “dove i suoi agenti operano” indica la delocalizzazione fisica anche altrove, senza menzione del posto preciso. Si ricordi, inoltre, che i servizi aggiuntivi di Google sono considerati dall’azienda di Montain View alla stregua di un subappalto per un’impresa di costruzione in fase di realizzazione di un’opera.

Altro esempio: Aruba ed i servizi a spazio illimitato

Aruba è il più importante importante Internet Service Provider italiano dedicato a registrazione di domini, hosting, server dedicati ed housing, oltre ai numerosi ed interessanti servizi aggiuntivi, come Posta Certificata, Webmail, erogatore di certificazioni. Il cavillo maggiore è la politica di marketing indirizzata allo “spazio illimitato”. Innanzitutto, non esiste, dal momento che fisicamente un hard disk ha una sua capienza massima, oltre la quale l’archiviazione prosegue secondo RAID 1, magari accoppiato ad un RAID 0 per il backup del volume su altri hard disk ancora. Quanto conviene ad Aruba? Leggendo i termini del contratto da sottoscrivere in fase di registrazione mi sono accorto che tale spazio web illimitato non è di archiviazione, bensì riservato esclusivamente per “Website”: per website esiste l’equivalenza piattaforma web per servizi di cloud computing (quindi posso anche inserire i miei log management in luogo esterno e sicuro) oppure website indica solo l’estensione html? In caso di accertamenti (che puntualmente si verificano: ora ditemi la privacy dov’è!), Aruba si riserva la cancellazione permanente dell’intero account d’accesso allo spazio, rescindendo il contratto unilateralmente, dal momento che il cliente non l’ha rispettato. Che cosa significa? Significa che un sito internet è solo costituito da pagine html? E se volessi aggiungere immagini, cataloghi PDF come il valido sito di Fantini-Scianatico, dovrei preoccuparmi di reindirizzare le pagine html archiviate su Aruba verso storage esterno ad Aruba? Quanto pesa un html rispetto ai contenuti multimediali? È allora spazio illimitato? Ancora una volta, analizziamo le policy contrattuali prima di sottoscriverle: è indice di consapevolezza, conoscenza e prevenzione. Inutile effettuare 10 backup geografici e poi non sapere come gestirli oppure lasciarsi prendere in giro, perchè da svogliati clicchiamo su “accetta” il contratto per brevità, trovandosi nella situazione in cui dopo una ricerca e sviluppo intensa, finalmente si inserisce il file d’installazione non è consentito dal contratto Aruba, che non è restrittiva in fase di upload attraverso filtri che discriminino cosa effettivamente è permesso da cosa no.

Adrive:

“Maintenance of Storage Data. Adrive shall have no responsibility for and does not guarantee the integrity, completeness or availability of Storage Data residing on Adrive’s equipment. You are responsible for independent backup of Storage Data stored using Adrive’s services. You agree to assume all risk of loss of such data. You agree to defend, indemnify and hold Adrive harmless for any loss of data, whether on Your equipment or through Adrive’s services, arising out of or resulting from use of Adrive’s services, including use of software provided by Adrive, if any. Adrive may, but shall not be required to, delete Your Storage Data after the termination of this Agreement.

Traduciamo letteralmente: “Adrive può, ma non avverrà necessariamente, cancellare i tuoi dati salvati dopo il termine di questo contratto”. Ergo, Adrive può trattenere i dati anche dopo la fine del contratto. Spontaneamente mi domando “Perché?”, “Con quali finalità?”, “Cosa se ne fa?”: i dubbi e le perplessità ne nascono conseguentemente. Non lasciamoci influenzare da risposte “la gestione internazionale di archivi in copie geograficamente distanti è di difficile gestione”. In aggiunta, Adrive, similmente a Livedrive, dichiara di non essere responsabile di quanto accade sui loro server. Naturalmente possono presentarsi scenari di 3-4 backup geografici: in questo caso un investimento mensile modesto su Adrive potrebbe costituire un vantaggio. Ma se Adrive dovesse rappresentare una certezza, allora l’uso sarebbe improprio e pericoloso.

Ma fin’ora abbiamo messo in guardia gli amministratori di sistema nella scelta di alcuni servizi di cloud computing per lo storage (qualcuno doveva pur farlo, spero di non assumere la parte del disfattista). Adesso, invece, analizziamo quando conviene sfruttarlo, quali vantaggi e benefici offre:

  • diminuisce i costi di start-up di un’impresa (infatti, il cloud è già preconfezionato e l’amministratore di sistema deve solo configurarlo attraverso pannelli di controllo gestibili tramite software);
  • dimensiona i sistemi sulla base del normale carico di lavoro, gestendo i picchi di carico tramite la capacità di rapida scalabilità (SuperCloud) tipica delle infrastrutture cloud per nuove esigenze, requisiti modificati, maggiore traffico;
  • riduce i costi in termini di risorse computazionali, risorse di esercizio (logistica, consumi elettrici, raffreddamento, …) e risorse umane di gestione;
  • riduce gli investimenti (CAPEX) a fronte di maggiori spese correnti (OPEX);
  • i manutentori di un sistema cloud possono essere pagati a consulenza, piuttosto che a contratto oppure i manutentori precedentemente impiegati nel cloud locale possono essere reimpiegati per impieghi più redditizi per l’impresa, facendo ricerca e sviluppo del software aziendale, piuttosto che occuparsi di ripristinare i malfunzionamenti;
  • drastica riduzione dei tempi di realizzazione e di messa in esercizio di nuovi servizi;
  • rapido ed efficiente provisioning e deprovisioning delle risorse (ad esempio, un utente non usa il PC per 60 minuti, allora in automatico l’amministratore di sistema imposta che il desktop virtuale vada in save-state, lasciando che le risorse inutilizzate convergano verso nuovi desktop virtuali avviabili, ma al tempo stesso salvando un’immagine del lavoro in esecuzione);
  • soluzioni ed organizzazioni di sicurezza superiori ai propri standard interni (localmente, la ridondanza dei dati è troppo dispendiosa; inoltre, un’impresa è geolocalizzata in un posto X: il backup locale è facilmente accessibile, scaricabile, modificabile rapidamente, ma ha rischi insiti in eventi nefasti del luogo stesso, laddove il cloud computing garantisce una copia dei file in posti geograficamente differenti ed in ogni posto con più copie);
  • servizi standard e aperti che superano gli approcci proprietari tipici delle soluzioni adottate in ambiti locali (dentro un’impresa, un software è sempre proprietario, brevettato, deve essere comprato: nel caso del cloud, invece, si cerca di semplificare le operazioni a favore dei clienti e nel rispetto dei principi fondamentali enunciati all’inizio dell’articolo).
Preoccupazioni:
  • lock-in: nei casi in cui una migrazione di un dato servizio da un fornitore ad un altro (od un successiva internalizzazione) risulta difficoltosa oppure addirittura il “transfer-back in house” è impossibile (l’asportazione avviene per esportazione: in che formato? È un formato standard, utilizzabile altrove?);
  • perdita della governance;
  • multi-tenant model: la condivisione delle risorse con altri attori non è sempre attuabile (Google, ad esempio, non assembla una macchina fisica per ogni utente, ma sfrutta una o più macchine fisiche, dando agli utenti macchine virtuali. Siamo certi che il crash di una macchina virtuale non crei motivi di disturbo anche per tutte le altre? Ovviamente tutte le altre ne risentiranno in minima misura, con ripartizione comune dei problemi, oltre alla possibilità di sfruttare le altre macchine localizzate altrove a cui è stato applicato un mirroring dei dati. Altro scenario: una macchina virtuale ha un bug, come una porta aperta: la vulnerabilità e la conseguente scoperta di un malintenzionato rappresentano motivi di preoccupazione anche per tutte le altre macchine virtuali?).
Analisi dei rischi. Che tipo di danno si creerebbe se:
  • i file diventassero di pubblico dominio (ad esempio, il caso della password 12345 del capo del governo Siriano)?
  • un dipendente del fornitore di servizi cloud avesse accesso ai file (dopotutto, gli amministratori si riservano sempre la possibilità di osservare e da informatici curiosi e scopritori, bravi o cattivi, sfido chiunque a resistere, seppur mascherati dietro la maschera della “sicurezza collettiva” o “controllo delle clausole del contratto”)?
  • un attaccante esterno usasse il nostro cloud fraudolentemente?
  • il servizio per lentezza non fornisse il risultato atteso?
  • i file fossero manipolati in maniera non autorizzata?
  • i servizi fossero disponibile per un dato periodo di tempo (esempi: un’impresa a conduzione familiare di cucina senza posta elettronica per 30 minuti riceve danno? Un call center senza VOIP può lavorare senza connessione per 15 minuti?)?

Consigli sulla gestione dell’infrastruttura.

Virtualizzazione:
  • componenti integrativi di sicurezza (si legga, ad esempio, i firewall fisici);
  • controlli di sicurezza esterni per la protezione delle interfacce di amministrazione;
  • controlli di sicurezza delle piattaforme di virtualizzazione per la gestione del traffico;
  • creazione di zone sicure basate sul tipo di utilizzo delle risorse.

Servizi:

  • individuazione delle tipologie di risorse;
  • individuazione dei servizi che devono essere attivi su ogni tipologia di risorsa;
  • realizzazione di un Patch Management Software;
  • utilizzo di strumenti automatizzati di discovery;
  • redazione di “analisi dei rischi” periodici.

Accessi:

  • classificazione delle tipologie di accesso;
  • individuazione di ruoli da assegnare alle risorse con particolare attenzione nell’assegnazione dei privilegi di amministrazione e di accesso alle interfacce di gestione;
  • definizione delle caratteristiche di sicurezza delle diverse tipologie di canali di comunicazione;
  • utilizzo di protocolli sicuri di comunicazione;
  • applicazione del principio di “least privilege”;
  • definizione di standard per la gestione degli accessi basati sul ruolo.

Personale:

  • puntuale definizione dei ruoli in relazione alla protezione dei dati personali;
  • applicazione dei concetti di “need to know”;
  • definizione delle procedure operative;
  • formazione di tutte le figure;
  • realizzazione di un “piano di auditing“.

Spazi fisici:

  • redazione di un piano di sicurezza fisica;
  • definizione di aree a diversa criticità;
  • contromisure fisiche per la prevenzione di accessi non autorizzati;
  • gestione degli accessi del personale esterno;
  • protezione da minacce di natura fisica.

Rete:

  • scelta di un’adeguata topologia di rete;
  • applicazione dei concetti di “Defence in depth”;
  • segmentazione attraverso apparati di sicurezza;
  • documentazione delle scelte;
  • revisione periodica (o su necessità) dell’intero progetto.
Sfide future e campi di ricerca:
  • evoluzione normativa nell’approccio trasnazionale;
  • cyber crime;
  • portabilità dei dati (lock-in).

Fonte d’ispirazione:

Massimo Chirivì, SMAU BARI 2012 | Il Cloud computing nel 2012 – il know aziendale è al sicuro? (a cura di: Aipsi)

15 Febbraio 2012, Bari (Nuovo padiglione, Fiera del Levante, Arena Trade, ore 11.30-12.30)

Registrazione | Slide

Valuta questo articolo

Recent Posts
Contattaci

Inviaci un'email e ti risponderemo al più presto.

Not readable? Change text. captcha txt

Start typing and press Enter to search