Privacy e sicurezza nel Cloud

Privacy e sicurezza nel Cloud

Privacy e sicurezza nel Cloud, cosa tenere presente quando si sceglie un servizio

di Paolo Giardini
Direttore OPSI – Osservatorio Privacy e Sicurezza Informatica

Introduzione

Girovagando su Youtube mi sono imbattuto in un video realizzato da Enter The Cloud nel quale viene posta, ad un certo numero di persone incontrate per strada, una semplice domanda: “Sapete cosa è il cloud computing”? (1)
I risultati, almeno per i sostenitori del Cloud Computing, sono quanto meno deludenti.
Su 130 intervistati, l’83% non sa cosa sia il cloud. L’8% lo associa ad iCloud e solo il 5% ne fa un uso aziendale, utilizzando principalmente  servizi di storage (il 4%).
Beh, direte voi, se prendi le persone per strada, ci potrebbe anche stare che il Cloud non sia un qualcosa di particolarmente diffuso.
Giusto. Me lo sono detto anch’io e sono quindi andato a prendere l’ultimo  rapporto sullo stato del cloud computing in Italia (2)  pubblicato a febbraio di quest’anno sempre da Enter The Cloud (3).
Il rapporto è stato realizzato analizzando le risposte di un campione di 1000 professionisti IT che hanno compilato un questionario di 15 domande. Si tratta dunque di un campione significativo di persone questa volta non prese “dalla strada” ma che potremmo dire, “hanno le mani in pasta”.
Ebbene, fra i risultati ottenuti  saltano agli occhi soprattutto due questioni: la prima, è che il Cloud Computing ancora non ha fatto breccia nelle strategie delle aziende italiane (4); la seconda è il motivo addotto per spiegare questa riluttanza, ovvero  i problemi legati alla privacy ed alla sicurezza dei dati nella nuvola.
Da questi dati si  deduce che quello che manca sia una conoscenza di base della tecnologia cloud e delle possibili problematiche che la sua introduzione in azienda potrebbe comportare. Come sempre, la “non conoscenza” porta ad un rifiuto a priori, o comunque ad una certa diffidenza.
Con questo articolo cercheremo  di chiarire  le idee su alcuni degli  aspetti fondamentali del Cloud Computing che devono essere presi in considerazione al  momento di progettare  una transizione verso servizi cloud. In particolare prenderemo in considerazione gli aspetti relativi a privacy e sicurezza dei dati conservati ed elaborati nella nuvola.

Cosa si intende con Cloud?

Cerchiamo ora di capire che cosa intenda con Cloud.
La leggenda vuole (e magari è pure vero) che il nome “cloud” derivi dal simbolo della “nuvoletta” utilizzato nei diagrammi di flusso e negli schemi  di rete per indicare “internet”.
Una definizione davvero semplicistica è infatti quella che definisce il Cloud come  qualunque servizio offerto via internet.
Se ci pensiamo un attimo, in questa definizione rientrerebbe qualunque data center,  sito web, servizio di posta elettronica e quant’altro sia accessibile tramite una connessione Internet.  In realtà un “cloud vero” impiega un mix di varie tecnologie che vanno al di là della macchina virtuale in hosting o del sito ubicato  in un server web multi dominio. Non essendo questo l’argomento che ci interessa sviluppare  lascio agli eventuali interessati il compito di effettuare le proprie ricerche.

Per poter analizzare con un minimo di consapevolezza le problematiche intrinseche nell’adozione del Cloud Computing è necessario dare alcune definizioni, per forza di cose molto semplificate, che ci serviranno in seguito per poter orientare la nostra scelta verso il servizio che più si adatti alle nostre esigenze.
Innanzi tutto va detto che di Cloud Computing ne esistono vari tipi. Una probabilmente incompleta lista comprende:
Private Cloud. L’infrastruttura è localizzata presso l’utente che ne dispone totalmente e la gestisce in piena autonomia, in proprio o tramite terzi, sfruttandone i vantaggi tecnologici (ottimizzazione, scalabilità,…). In questo caso i dati restano presso la struttura dell’utente, quindi in teoria godono di maggiore controllo e protezione. E’ la tipologia verso la quale è  orientata la maggioranza degli intervistati nel rapporto sullo stato del Cloud Computing in Italia.
Public Cloud. L’infrastruttura, di proprietà di un fornitore, mette a disposizione dei clienti (multipli) i propri servizi tramite internet. Il controllo dei dati viene in parte ceduto dal cliente al gestore del cloud.
Community Cloud. É una via di mezzo fra il public cloud ed il private cloud. Un gruppo di stakeolders decide di mettere in comune risorse ed investimenti per creare un cloud a loro stessi riservato. Ad esempio, nella Pubblica Amministrazione,  un gruppo di Comuni potrebbe decidere di creare un proprio data center con tecnologie cloud al quale appoggiarsi per le proprie esigenze. In tal modo, con  un investimento condiviso, si avrebbero  maggiori risorse a disposizione ed i dati rimarrebbero totalmente nella disponibilità di ciascun Titolare.

Esistono anche altri tipo di cloud definiti “ibridi” nei quali le soluzioni pubbliche e private sono utilizzate insieme per fornire i servizi richiesti.

Ciascun tipo di cloud può fornire vari modelli di servizi. Si potrebbe dire che i servizi cloud sono rappresentabili  come una specie di pila.
Al livello più alto sono situati i “Software as a Service” (SaaS). Sono messe a disposizione degli utenti le applicazioni, per esempio mail, suite per ufficio, ecc.
Nel livello intermedio sono situati servizi indicati come “Platform as a Service” (PaaS) che mettono a disposizione degli utenti sistemi e servizi (per esempio database, identity manager, ecc.) per lo sviluppo di applicazioni che potrebbero essere  destinate ad un utilizzo interno oppure andare a far parte di servizi offerti ad altri utenti.
Al livello più basso,  troviamo i servizi definiti “Infrastructure as a Service” (IaaS) tramite i quali vengono messi a disposizione sistemi virtualizzati HW e SW (server, sistemi per il backup, per il networking,  ecc.).

Cloud e Privacy

Nelle nostre valutazioni  per  la scelta del  servizio cloud si deve tenere ben presente il fatto che  ciascuno del modelli di servizio indicati può introdurre specifiche  problematiche e  vulnerabilità. Può essere d’aiuto individuare alcune categorie di questioni da valutare, ad esempio privacy, sicurezza, compliance (normativa, certficazioni, contrattuale), ed infrastruttura.
Dal punto di vista della Privacy, o meglio, della protezione dei dati personali, è evidente  che l’utilizzo di servizi cloud comporta un minore controllo sui dati, essendo questi  localizzati presso le strutture del provider.  “Dove sono fisicamente i miei dati” è una delle domande alle quali è più difficile rispondere ed è una delle cose che è necessario conoscere, visti anche gli obblighi di legge in materia di protezione dei dati personali.
Alcuni esempi di  domande a cui dovremo  dare risposta sono: che tipo di dati andrò a trattare, o meglio  “andrò a trasferire sul cloud”? Sono dati personali? Ed in tal caso, sono dati sensibili? Dove saranno effettivamente localizzati? Su sistemi all’interno dell’Unione Europea? Fuori Europa? Ed in tal caso, il paese ospitante ha una legislazione equivalente a quella europea in merito alla protezione  dei dati personali o vi sono particolari accordi in tal senso (vedi ad esempio Safe Harbor  fra Europa e USA)?
Un altro punto da tenere presente in funzione dell’adeguamento alla normativa sulla privacy è relativo alla identificazione di chi fisicamente avrà accesso anche potenziale, ad esempio per manutenzione dei sistemi,  ai dati personali conservati sul cloud.
In base alla normativa l’azienda che gestisce il cloud deve essere nominata Responsabile Esterno del trattamento. Ho la possibilità di farlo? In quale modo potrò esercitare l’obbligo di controllo previsto dalla normativa sulla protezione dei dati personali?
Questi ed altri importanti punti sono sono raccolti ed esaminati  nel vademecum  sul Cloud Computing del Garante Privacy (5), nel quale si fa cenno anche al nuovo regolamento europeo che presumibilmente entrerà in vigore nel 2014 e andrà a sostituire l’attuale normativa (6).

Cloud e sicurezza

Parlando di sicurezza va detto chiaramente che l’introduzione del Cloud Computing nella propria organizzazione non elimina tutti i problemi; infatti le problematiche locali, ad esempio la sicurezza dei client, rimangono tali e quali. Inoltre, come abbiamo visto prima, vengono    introdotti  nuovi livelli di infrastruttura con le loro specifiche problematiche che devono essere tenute di conto.
Per fare un esempio, basti pensare che il Cloud Computing è  solo l’affitto un servizio,  l’infrastruttura sulla quale questo servizio viene eseguito  è condivisa,  a vari livelli, con altri clienti. Un approfondimento su questo tema lo si può trovare nel rapporto 2013 di Cloud Security Alliance (7) che presenta le nove maggiori minacce per il Cloud Computing.
La cosa che si nota scorrendo la lista redatta da CSA è che  non sono elencate  solo le minacce  portate dai  criminali informatici ma anche quelle dovute a problemi legati alle tecnologie impiegate, alle modalità operative da parte dei provider, agli errori umani.
E’ dunque necessario definire ed applicare valide Policy di sicurezza e formare in proposito i propri collaboratori.

Linee di comunicazione

Siate coscienti che la velocità di accesso ai dati residenti sul cloud non potrà essere paragonata a quella di un accesso ad un server locale. Le normali ADSL, per quanto veloci, sono appunto
“A-simmetriche”, il che significa che la velocità in upload è sensibilmente minore rispetto a quella in download.  L’infrastruttura di comunicazione lato client va progettata tenendo presente che per lavorare la connessione dovrà essere sempre disponibile oltre che veloce,  affidabile e sicura.  Potrebbe essere il caso di prevedere una ridondanza di linee o quanto meno una linea di backup. La domanda da porsi potrebbe essere: “cosa succede se va giù la linea internet?”

Il contratto di servizio

La Contrattualistica è una parte importante nel progetto di una migrazione verso il Cloud Computing anche se è difficile poter contrattare clausole particolari, specialmente se si è una piccola azienda o se intervengono eventuali terzi nella fornitura del servizio.
Nel contratto dovranno essere previste determinate garanzie. Oltre ai classici parametri di  uptime e disponibilità  saranno necessarie clausole specifiche riguardanti l’adeguamento a normative e standard internazionali o per definire la geolocalizzazione dei propri dati.
A questo proposito ricordo che la normativa sulla Privacy prevede  la nomina del gestore a Responsabile del trattamento mentre lo standard PCI-DSS  (Payment Card Industry Data Security Standard) per i pagamenti con carte di credito prevede l’esecuzione di audit periodici. Potrebbero anche essere necessarie attenzioni particolari a seguito di contratti verso i propri clienti o per il mantenimento di certificazioni.
L’utilizzo di tecnologie cloud introduce una dipendenza da terze parti con possibili  difficoltà nella migrazione e nella interoperabilità  a causa delle varie tecnologie proprietarie utilizzate dai  provider. Il suggerimento è  di contrattualizzare anche le modalità di assistenza e supporto in caso di  migrazione ad altri provider o di integrazione con altri sistemi.
Valutate infine tempi e modalità di ripristino dei dati in caso di disastro, se è prevista la possibilità di ricevere una copia fisica dei propri dati e  come viene effettuata la cancellazione sicura dei dati, non solo di quelli online ma anche di quelli presenti sui backup.

Conclusioni

Come abbiamo visto, esistono vari livelli di problematiche da affrontare al momento di progettare una migrazione verso il Cloud Computing. Si va dalla sicurezza locale, con particolare attenzione alla formazione del proprio personale, alla compliance normativa, alle valutazioni  sulle linee di comunicazione, alla sicurezza lato cloud.
Molto importante è la parte relativa alle clausole contrattuali che dovranno regolare la fornitura del servizio cloud ed i servizi accessori. Orientarsi verso la scelta di un prodotto basandosi non solo sulla valutazione del lato economico potrebbe successivamente evitare costi nascosti.
Esistono molte soluzioni possibili offerte da svariati fornitori, anche presenti direttamente sul territorio italiano, quindi si possono valutare diverse proposte prima di effettuare la scelta definitiva. L’importante è fare una buona analisi preventiva per avere ben chiaro cosa ci serve; così facendo ci sono buone possibilità di non avere brutte sorprese durante il percorso.

note:

  1. http://www.youtube.com/watch?v=GDW1X4wuuUA
  2. http://www.enterthecloud.it/wp-content/uploads/2013/02/cloudsurvey2013.pdf

  3. http://www.enterthecloud.it/chi-siamo/
  4. Solo il 29% degli intervistati ha dichiarato di avere attuato o di avere in progetto di attuare strategie comprendenti tecnologie cloud

  5. http://www.garanteprivacy.it/documents/10160/2052659/CLOUD+COMPUTING+-+Proteggere+i+dati+per+non+cadere+dalle+nuvole+-+sing.pdf
  6. Fra le novità si citano l’obbligo di progettare i sistemi già “a prova di Privacy”(Privacy by Design), il ritorno, anche se in forma diversa del Documento Programmatico sulla Sicurezza che si chiamerà “Privacy Impact Assessment” e la nomina del “Data Protection Officer”, ovvero di un “supervisore” della sicurezza dei dati personali.

  7. https://cloudsecurityalliance.org/research/top-threats/