Cloud storage sicuro

Come linea guida, occorre sempre considerare che l’affidamento a terzi di un servizio o di una base di dati aumenta esponenzialmente i rischi di incidente informatico colposo o doloso, con conseguente possibilità di atti illeciti e perdite economiche. Prevenire il problema è sempre meno stressante e dispendioso del dover fare fronte a una situazione di emergenza.

Con il termine Cloud Computing si intende un insieme di tecnologie che permette di memorizzare ed elaborare dati tramite risorse hardware e software distribuite su una rete telematica. Gli aspetti difficili da cogliere, per chi non ha dimestichezza con i termini dell’informatica, sono quelli che distinguono il servizio di Cloud Computing da quello di housing/hosting.

Dal punto di vista del cliente finale, non fa molta differenza utilizzare un programma e uno spazio di archiviazione presenti su un server remoto (occupandolo parzialmente, in caso di hosting; avendone l’intera disponibilità, in caso di housing) oppure su una serie di server distribuiti che operano insieme e creano un sistema diffuso (quel che rappresenta nella sostanza il Cloud Computing).

La differenza è invece sostanziale per chi, come le imprese, ha bisogno di aumentare (o di diminuire) la potenza disponibile in termini di calcolo, di velocità di elaborazione, di spazio di archiviazione, di connettività, sulla base delle esigenze del mercato e dei relativi cambiamenti nel tempo. Solo il fruitore di un servizio di Cloud Computing può garantire ai propri clienti la scalabilità del sistema, cosa che non potrà mai fare chi dispone di un solo server o parte di esso (o che potrà fare con costi e difficoltà sensibilmente superiori).

Dal punto di vista contrattuale, appare evidente come le differenze siano sostanziali per la disciplina del rapporto e, soprattutto, come l’architettura distribuita, tipica del Cloud, sia un problema per il trattamento dei dati. Chi acquista un servizio basato su un’architettura Cloud deve preoccuparsi di verificare non solo quali siano i costi al momento della sottoscrizione del contratto, ma anche quelli relativi alle modifiche hardware e software, poiché a ogni incremento di prestazioni corrisponde un aumento del canone da versare. Al tempo stesso, la clausole relative alle misure di sicurezza e ai livelli di servizio sono quelle che garantiranno nel tempo le performance aziendali e la qualità nei confronti del cliente finale.

Cloud interno o esterno? Per meglio analizzare i molteplici aspetti della questione, occorre innanzitutto considerare che il Cloud può essere interno o esterno all’organizzazione che deve utilizzarlo.

Nel primo caso, l’azienda può avere una struttura di elaborazione e archiviazione dei dati di cui ha il pieno controllo (non necessariamente la proprietà, perché anche il solo hardware con i relativi servizi di assistenza e manutenzione può essere noleggiato all’esterno), situazione che permette al dipartimento IT di installare e mantenere efficienti i programmi e gli archivi come se si trovassero su un server interno, ma con il vantaggio di non doversi preoccupare della gestione del data center. La sicurezza informatica è in tal caso ripartita tra sicurezza fisica (delegata al gestore del data center) e sicurezza logica (gestita dall’infrastruttura IT), mentre le misure organizzative – tra cui il salvataggio e il ripristino dei dati e le procedure di disaster recovery – saranno concordate tra le parti.

Nel secondo caso, anche la piattaforma software potrà essere noleggiata insieme all’hardware. E il contratto dovrà, quindi, prevedere l’intera gestione delle misure di sicurezza, giacché l’azienda sarà completamente estranea al sistema informatico, che provvederà solo a utilizzare. La scelta di esternalizzare completamente i sistemi determina l’ulteriore necessità di avvalersi di un fornitore di connettività eccellente e di una linea di backup, affinché sia possibile garantire in ogni caso l’accesso ai servizi ed evitare che l’azienda possa trovarsi nella condizione di non poter operare sui propri dati per una semplice mancanza di rete.

Il fornitore del servizio, dal canto suo, avrà un ruolo determinante nel garantire banda a sufficienza, piena operatività aziendale ed efficacia delle misure di protezione delle informazioni. Anche in questo caso la contrattualistica assume estrema rilevanza nella scelta del partner tecnologico cui rivolgersi, poiché se è vero che ormai la maggior parte delle multinazionali dell’informatica offre soluzioni di Cloud Computing, è altrettanto facile imbattersi in contratti che lasciano poco spazio alla gestione delle responsabilità e delle penali.

Tre tipologie di accordi commerciali. Si possono normalmente trovare sul mercato tre tipologie di accordi commerciali:
– IAS – Infrastructure as Service
– SAS – Software as Service
– PAS – Platform as Service

Nella prima ipotesi, il fornitore del servizio offre gli strumenti hardware e software di base (spazi di memoria, gestione dei processori, sistemi operativi ecc.) che l’utente finale può utilizzare per installare le proprie applicazioni o per incrementare le performance del proprio sistema di elaborazione dati aziendale. E’ evidente che l’intera gestione delle misure di sicurezza, del backup, del piano di recupero e ripartenza in caso di disastro devono essere garantite dall’azienda stessa.

Nell’ipotesi di Software come Servizio, il fornitore non offre solo la piattaforma hardware ma anche software di largo consumo come pacchetti di office automation, client di posta elettronica, file server, rubrica contatti e calendario eventi (ne sono un tipico esempio i servizi di Google Apps e Apple iCloud). In questo caso, le misure di sicurezza e di backup e ripristino sono solo parzialmente demandate al fornitore, poiché tra le clausole contrattuali è previsto normalmente l’onere, a carico del cliente, di fare una copia di backup dei dati e di creare un sistema di credenziali che garantisca l’accesso ai soli soggetti autorizzati.

Quando viene presa a noleggio l’intera piattaforma di servizi, il fornitore offre soluzioni di sviluppo hardware e software personalizzate per il cliente, che delega integralmente la gestione del sistema a terzi ma sulla base di proprie direttive ben precise. Ovviamente è la gestione dei dati che pone le principali problematiche di sicurezza, anche e soprattutto perché nell’utilizzo di un servizio di Cloud Computing non si ha mai la certezza dell’effettivo posizionamento fisico degli stessi.

Multinazionali come Google, Amazon e la stessa Telecom non hanno tutti i server collocati nel territorio ove operano, anzi, gran parte delle risorse hardware sono posizionate in paesi che, pur garantendo un’adeguata infrastruttura tecnologica e di rete, offrono maggiori incentivi di natura finanziaria e fiscale. Può quindi accadere che i dati del cliente italiano siano effettivamente collocati in Cina e negli Stati Uniti, in violazione del divieto di esportazione senza consenso, di cui all’art. 28 del D.Lgs. 196/2003.

I diritti del cliente. In attesa di una disciplina europea che dovrebbe intervenire entro il 2015, le Autorità Garanti hanno trovato una soluzione temporanea, imponendo alle multinazionali l’adozione di Corporate Rules in grado di garantire ai dati personali trattati le stesse misure di sicurezza dell’Unione Europea.

Ciò comporta la necessità di adeguare la contrattualistica con i fornitori di tecnologie (che spesso non sono europei), designando ciascuno di essi responsabile esterno del trattamento con specifici compiti cui adempiere, che devono riflettersi nella sottoscrizione di apposite clausole contrattuali. Clausole che dovranno poi essere trasferite al cliente finale nella modulistica che dovrà sottoscrivere per autorizzare l’azienda a trattare i suoi dati e che comporteranno un obbligo di adeguata informazione da parte di quest’ultima.

A solo titolo d’esempio, occorre ricordare che il cliente ha sempre diritto di conoscere quali siano i dati che lo riguardano in possesso della pubblica amministrazione o dell’impresa, per quale motivo siano raccolti e come siano elaborati, e può esigerne la cancellazione dagli archivi nel momento in cui la finalità per cui sono stati raccolti si è esaurita.

Operazioni che l’azienda che opera attraverso un sistema Cloud deve poter garantire e che impongono un completo controllo sulle attività del fornitore e dei sub-fornitori di cui quest’ultimo potrebbe avvalersi per erogare parte dei suoi servizi.

Da ultimo, l’azienda deve potersi garantire l’esportazione dei dati verso altra piattaforma, poiché tra le clausole contrattuali potrebbe non esservene una che stabilisce la memorizzazione dei dati in formato “aperto”. In tal caso, la conversione potrebbe risultare costosa e non garantire il pieno recupero delle informazioni, come invece sarebbe possibile prevedendo contrattualmente l’obbligo di utilizzare un tracciato dati “aperto”.

Dal punto di vista della protezione verso terzi, occorre non dimenticare che, se la centralizzazione su un server aziendale espone maggiormente i dati all’attacco di concorrenti sleali o spie industriali, l’utilizzo di un Cloud rende più elevato il rischio di una sottrazione dei dati accidentale, operata da soggetti che non cercano espressamente di dati di quell’azienda ma, in generale, grandi database da utilizzare per finalità commerciali.

Il rovescio della medaglia in tema di sicurezza, pertanto, è la cifratura dei dati, il cui algoritmo dev’essere concordato contrattualmente per la stessa ragione per cui è necessario che siano memorizzati in un formato aperto, con tracciati record noti. La riconversione in chiaro per la portabilità su altro sistema di elaborazione potrebbe non essere scontata.

Che cosa dice il Garante della Privacy. Il Garante Privacy italiano ha stilato, in proposito, un decalogo che potrebbe aiutare gli utenti a operare scelte consapevoli.

Il primo passo da compiere è quello di verificare l’affidabilità del fornitore, sia sotto il profilo organizzativo e societario, valutandone la solidità finanziaria e l’esperienza, non solo in senso generale, ma in riferimento allo specifico settore in cui il cliente intende operare. Non è detto, infatti, che una società di informatica che opera con successo nel settore dell’edilizia sia ugualmente affidabile nella gestione dei dati di uno studio di ingegneria.

E’ opportuno privilegiare i servizi che garantiscono la portabilità dei dati verso altre piattaforme, adottando standard aperti, sia per evitare di sostenere spese supplementari che per veder ridurre il proprio potere contrattuale in fase di rinnovo del servizio.

Nel contratto devono essere specificate le clausole che garantiscono comunque una copia dei dati sempre disponibile per l’attivazione in tempi brevi di un nuovo sistema, per evitare che un eventuale incidente informatico abbia ripercussioni non solo sull’attività dell’azienda ma anche su quella dei clienti che ad essa si sono affidati.

Anche la selezione dei dati da affidare alla “nuvola” è importante per evitare incidenti informatici.

E’ sempre opportuno che i dati sensibili non siano affidati a terzi. Così come è opportuno concordare chiaramente con il fornitore se egli opera in qualità di semplice intermediario (utilizzando, quindi, dei sub-fornitori anche solo per parte dei servizi erogati) o se mantiene il pieno controllo sulla piattaforma e sugli archivi.

Una clausola che prelude a quella relativa alla materiale collocazione dei dati, per i quali si può chiedere che non escano dal territorio europeo o che, quantomeno, siano collocati su sistemi localizzati in paesi che garantiscono un livello di protezione analogo o superiore a quello europeo.

Gli accordi devono essere ben chiari anche per gli obblighi di rinnovo del servizio: eventuali clausole di recesso, penali in caso di incidente informatico che comporti inattività o perdita dei dati, detenzione degli stessi al termine del rapporto (alcune aziende si riservano il diritto di mantenere una copia dei dati per scopi statistici, altre addirittura per farne un uso commerciale), formazione del personale e misure di sicurezza.

Occorre sempre considerare, come linea guida, che l’affidamento a terzi di un servizio o di una base di dati aumenta esponenzialmente i rischi connessi a un incidente informatico colposo o doloso, con conseguente possibilità di atti illeciti e perdite economiche. Prevenire il problema in modo adeguato sarà sempre meno stressante e dispendioso del dover fare fronte a una situazione di emergenza.

Fonte: Sicurezza magazine

Sicurezza, cloud e opensource

Il trattamento dei dati personali da parte di un’azienda è tanto più delicato quanto più critica è l’esposizione della sua struttura ai rischi di un attacco, non necessariamente e non solo di natura informatica.
Anzi, il dato tendenziale della sottrazione di dati personali degli ultimi anni evidenzia che è molto più semplice aggirare le misure di sicurezza adottate da un’azienda che forzarle, approfittando dell’anello debole della catena che è solitamente costituito dall’elemento umano o da una fallacia nell’organizzazione dei flussi di lavoro.
Un testo interessantissimo per analizzare il fenomeno del social engineering, inteso come tecnica di manipolazione della controparte finalizzata a provocare reazioni prevedibili, è certamente “L’arte dell’inganno” di Kevin Mitnick, edito da Feltrinelli, che ripercorre alcune imprese di quello che viene considerato uno dei migliori criminali informatici della storia e che è solito affermare, nei meeting a cui partecipa in qualità di relatore, che non ha mai avuto necessità di rubare informazioni, poiché gli è sempre bastato chiederle a chi le deteneva.
Mentre per violare un server di Rete occorre superare una serie di contromisure di natura informatica che costituiscono, ormai, lo standard in qualsiasi realtà che sia anche minimamente strutturata, approfittare dell’ingenuità di un dipendente o di un bene aziendale lasciato incustodito è infinitamente più semplice e, spesso, anche meno rischioso.
Per cercare di ridurre il rischio di subire la sottrazione dei dati da parte di un malintenzionato, una prima riflessione deve essere fatta sulla valutazione periodica dei flussi documentali e di lavoro, prevedendo schemi organizzativi che impediscano, ad esempio, che stampe siano lasciate incustodite in prossimità di una stampante di Rete, che documenti possano essere cestinati senza essere stati preventivamente alterati o distrutti, che un dipendente possa fornire informazioni al telefono, tramite fax o tramite e-mail, a soggetti non identificati o non autorizzati, anche se apparentemente affidabili.

Formazione e informazione
Risulta altresì indispensabile la formazione periodica del personale, anche attraverso il confronto con soggetti esterni che, affrontando la materia della sicurezza a 360 gradi e non solo dal punto di vista informatico, sappiano aprire la mente degli interlocutori, sollecitandoli a non valutare il rischio solo sulla base della loro personale esperienza, spesso vero ostacolo all’adozione di una corretta policy aziendale.
L’attività di formazione e informazione, inoltre, non può essere generalista e attuata unicamente attraverso manualetti aziendali autoprodotti, piattaforme di autoaddestramento e valutazioni periodiche basate su quiz a risposta multipla, poiché il mancato confronto con un interlocutore, l’impossibilità di approfondire argomenti che, pur essendo attinenti a casi concreti della vita aziendale, non sono trattati da chi ha realizzato gli strumenti di formazione e la stratificazione delle nozioni, senza un rapporto diretto con l’evento, impediscono al dipendente di trasferire la pur copiosa esperienza, acquisita in teoria, alla realtà vissuta quotidianamente.
Accade, così, che venga inviato un documento riservato a un numero di fax presso un’azienda esterna, affinché sia consegnato a un dirigente presente per un incontro o addirittura di passaggio – ad esempio, presso un hotel o un ristorante -, senza considerare che la maggior parte dei risponditori telefonici sono, oggi, server che riproducono anche un apparato fax e realizzano un documento in formato pdf di quanto ricevuto.
La scorporazione tra contenuto e supporto cartaceo comporta, solitamente all’insaputa del mittente, che la stampa sarà consegnata all’interessato, ma il file resterà negli archivi del soggetto che l’ha ricevuto, alla portata di chiunque abbia accesso al relativo database.

Incognite del cloud computing
Da qualche anno, sta prendendo piede la memorizzazione remota dei dati e delle applicazioni – meglio nota come cloud omputing – che, apparentemente, ha molti vantaggi ma presenta, anche, un discreto numero di rischi.
Per localizzazione remota delle applicazioni si intende la possibilità di utilizzare un programma senza possederlo, ricorrendo a una versione presente su un server della rete Internet che lo mette a disposizione degli utenti, gratuitamente o dietro pagamento di un canone.
Per memorizzazione remota dei dati si intende la collocazione delle informazioni di cui si dispone su un elaboratore diverso da quello sul quale si lavora, affinché siano sempre disponibili tramite un qualsiasi collegamento a Internet.
Grazie alla crescita dei collegamenti adsl senza limiti di tempo o di traffico (c.d. flat) si sta sempre più diffondendo, tra gli utenti, l’abitudine di utilizzare solo temporaneamente le applicazioni, abbinata alla comodità di poter sempre raggiungere i dati che sono necessari.
Anche le grandi case produttrici di software, come Microsoft e Adobe, hanno rilasciato, negli ultimi anni, applicazioni utilizzabili a consumo, pagando un canone, e sono sempre più diffusi i servizi che permettono di lasciare in Rete i dati, sia per raggiungerli da altre postazioni che per condividerli con dipendenti e collaboratori.
Ne sono un esempio iCloud, ElephantDrive, GoogleDrive, DropBox e il recentissimo Mega.
Uno dei servizi più interessanti è certamente quello di poter mettere in Rete anche file di grandi dimensioni, che sarebbe impossibile inviare tramite posta elettronica, affinché possano essere scaricati dall’interessato, ma è importante conoscere il funzionamento dei servizi che permettono di farlo in forma riservata, grazie alla adozione di tecniche di cifratura affidabili.
Anche in questo caso è opportuno valutare le clausole contrattuali che distinguono, ad esempio, un servizio gratuito da uno a pagamento e che, solitamente, nel secondo caso, comportano una serie di garanzie per l’utente finale.
Eseguito il caricamento (upload) del file sulla piattaforma, si può decidere di condividerlo solo con un soggetto determinato, al quale, tramite sms o posta elettronica, si invieranno il link per il collegamento diretto e la password per scaricarlo (download), che sblocca anche la cifratura.
Un altro servizio interessante è quello che permette di eseguire la memorizzazione remota (backup) dei dati e delle impostazioni presenti su un tablet o su uno smartphone, affinché diversi dispositivi possano essere sincronizzati oppure si possa sostituire un dispositivo smarrito o danneggiato con uno nuovo, semplicemente sincronizzandolo con il server che fornisce il relativo servizio.
Avendo a disposizione un nuovo dispositivo, dopo qualche minuto questo conterrà gli stessi dati del vecchio e sarà possibile procedere alla cancellazione remota del vecchio apparato, rendendolo inutilizzabile se è stato smarrito o rubato ed evitando, così, il rischio di sottrazione o utilizzo illecito dei dati ivi contenuti.
Dal punto di vista della sicurezza dei dati, infatti, tale condivisione delle informazioni espone il titolare del trattamento a evidenti rischi dal punto di vista della sicurezza e della riservatezza.

Servizi irrinunciabili, privacy a rischio
È inopportuno fidarsi ciecamente di un servizio di cloud computing che, per quanto affidabile, dipende sempre dal funzionamento dei server dell’azienda fornitrice e dalla regolarità dell’erogazione del servizio di banda larga.
Così come è inopportuno, oltre che contrario all’attuale normativa sul trattamento dei dati personali, affidare a un server remoto l’unica copia di quei dati.
Occorre, innanzitutto, prendere visione delle clausole contrattuali che regolano il rapporto e preferire una soluzione, magari più costosa, che garantisca una continuità del servizio pari o superiore al 98%, interventi in assistenza entro la giornata lavorativa successiva alla segnalazione del guasto, continuità dell’alimentazione elettrica e backup automatico dei dati con ridondanza dei server, per avere la certezza di poter ripartire in qualsiasi momento e a seguito di qualsiasi incidente.
I recenti eventi calamitosi che hanno colpito alcune zone del mondo hanno portato al centro dell’attenzione la drammaticità delle settimane successive, con aziende che non avevano subito danni alla loro struttura ma non erano ugualmente in grado di continuare a operare, perché era stata distrutta la server farm alla quale si appoggiavano.
La soluzione ottimale può essere individuata nella copia dei dati dal proprio elaboratore al server remoto, affinché siano sempre sincronizzati e sempre disponibili.
In questo modo, ciascun archivio sarà di supporto all’altro in caso di problemi.
Risulterebbe, peraltro, auspicabile l’esistenza di un terzo archivio, localizzato in una server farm diversa, per preservare i dati da un eventuale attacco informatico all’elaboratore centrale e alla copia locale.
Per quanto riguarda la sicurezza dei dati, occorre anche rilevare che l’attuale complessità dei sistemi operativi, con un numero indefinito di servizi sempre attivi, sta portando l’informatica (se non l’ha già portata) verso un punto di non ritorno, dal quale non sarà più possibile, se non a prezzo di ingenti investimenti per il supporto di personale specializzato, avere il controllo del comportamento della macchina.
Anche su piccoli sistemi, analizzando il traffico dei dati con un programma all’uopo predisposto, è possibile verificare la presenza di un’intensa attività di Rete anche durante le fasi di inutilizzo dei computer, a dimostrazione degli automatismi che caratterizzano determinate funzioni e talune tipologie di servizi.
Il software proprietario aggiunge a tale rischio l’impossibilità di verificare che all’interno del codice vi siano funzioni nascoste e sottrae al titolare del trattamento sia la facoltà di controllare che non vi siano programmi finalizzati alla sottrazione dei dati o alla violazione del sistema, sia quella di decidere se disattivare alcuni servizi inutili per non occupare risorse sempre preziose.

I vantaggi dell’open source
Sarebbe quindi preferibile, se possibile, l’utilizzo di sistemi operativi e programmi applicativi di cui si ha la disponibilità del codice sorgente.
Non è necessario procedere all’acquisto di software open source, mentre è sufficiente chiedere l’apposizione di una clausola contrattuale che preveda la disclosure del codice sorgente per la verifica delle funzioni e l’eventuale ricompilazione alleggerita.
Il software open source può essere una ulteriore scelta aziendale, che permette di far tesoro – oltre che delle capacità maturate dal reparto IT interno, in grado di intervenire direttamente sul codice per implementare e modificare funzioni di programma – anche dell’esperienza di altri utilizzatori e soprattutto di consente poter contare su una comunità di informatici indipendenti che operano costantemente sul codice sorgente, nella realizzazione di funzioni e applicativi anche radicalmente diversi e possono essere consultati come risorsa esterna, stante l’esperienza maturata nel settore.

Fonte: Sicurezza magazine