La sicurezza sulle nuvole

0
792

MILANO – “L’Fbi ( Federal Bureau of Investigation) chiude i servizi MegaVideo e MegaUpload”, è la notizia comparsa su molti media alcuni giorni fa. A parte le motivazioni dell’intervento, e la discussione sulla responsabilità dei titolari di questi siti, il fatto solleva un aspetto delicato: il danno subito dai clienti che usavano, in perfetta buona fede e onesta’, i servizi di queste aziende, e, di colpo, non hanno più potuto accedervi.

La chiusura di MegaUpload e MegaVideo infatti ha comportato l’immediata non disponibilità dei files che gli utenti avevano affidato alle societa’ -pagando il servizio- con una conseguenza disastrosa per chi non ne aveva una copia in altro sito, o in sede locale, e cioe’ la perdita pressochè totale delle risorse informatiche.

Il danno prodotto da un evento simile può variare dal ‘semplice’ fastidio di ricostruire dati non critici, recuperando le copie su carta, all’impossibilità pratica di lavorare per un tempo indefinito, cosa che per un’azienda può anche essere letale!

E così si riapre la discussione sulla validità del cloud computing e sui sui limiti: spesso affidiamo i nostri dati a un fornitore che li gestisce virtualizzandoli e distribuendoli in Paesi a basso costo di manodopera, ma ad alto rischio politico, o idrogeologico, o sociale e non abbiamo nessuna influenza, nessun potere contrattuale su queste modalità di gestione.

Nel cloud computing il provider mette i dati ove ritiene più conveniente metterli, anche attraverso complesse filiere di operatività e responsabilità. Il che comporta alcuni rischi

Vediamo insieme le cose che dobbiamo considerare con la massima attenzione:

1 Privacy – I nostri dati potrebbero essere conservati in un Paese che ha una legislazione sulla privacy più permissiva di quella italiana. Siccome la formulazione contrattuale e, soprattutto la tutela giudiziaria, variano a seconda del luogo in cui si svolge l’attivita’ di cloud e dalla legislazione vigente in quel Paese, se i nostri dati venissero rubati o violati, potrebbe essere complicato o addirittura impossibile difenderci.

2 Disponibilità dei dati – La continuità del servizio è legata all’efficienza della rete ma anche ad eventi imprevedibili come scioperi, guerre, dittature, tsunami o terremoti. Se i dati fossero conservati in Cina e il suo Governo decidesse – come è accaduto – di bloccare per qualche tempo Internet, ne perderemmo istantaneamente l’uso. La chiusura di MegaVideo e MegaUpload ordinata dall’FBI è un altro esempio. Ed ancora. Se una manifestazione come il recente ‘movimento dei Forconi’ prendesse possesso dei server in un qualsiasi Paese del mondo, noi saremmo tagliati fuori da ogni possibilità di recupero. Tutti eventi che hanno probabilità elevate in alcune zone del mondo.

3 Ampiezza del danno – Il public cloud consente di condividere in tempo reale i nostri dati con fornitori, clienti, partner, amici, e chiunque coinvolgiamo nell’uso delle nostre informazioni; in caso di perdita dei dati non ne saremo penalizzati solo noi, ma anche chi ne ha condiviso gli effetti, pur non avendo scelto spontaneamente questo servizio.

Certo va detto che le politiche di security (e il buon senso) prescrivono di tenere copie dei nostri dati anche in altri luoghi; ma nella stragrande maggioranza dei casi saranno copie vecchie, o incomplete, insomma insufficienti ad evitare un improvviso blackout delle nostre attività. Che fare, allora? In coda al documento “Cloud computing: indicazioni per un uso consapevole dei servizi”, il Garante della Privacy fornisce alcune raccomandazioni per scegliere e utilizzare un servizio di Cloud Computing.

Molte di queste raccomandazioni dovrebbero essere codificate nel contratto di fornitura e pero’, se non siamo un Ente governativo o una multinazionale, difficilmente riusciremo a spuntare modifiche a un contratto standard.

Sulla sicurezza del Cloud Computing insomma le “nuvole” rimangono ancora minacciose…

 

di Daniela Barbera