Soluzioni tecniche

Attacco informatico: chi deve pagare, il vendor o il fornitore di servizi IT?

23 Novembre 2016

Qualche settimana fa sono iniziate a trapelare le prime notizie di un attacco subito da Continnum. Continuum è un produttore di software per fornitori di servizi IT i cui sistemi sono stati bucati: in pratica qualche mese fa qualcuno è riuscito a entrare nelle reti di alcuni clienti finali che avevano affidato l'outsourcing dell’IT a service provider che usavano Continuum.

L’attacco fa sorgere spontaneo un dibattito o quanto meno qualche dubbio.
 
Se un pirata sfonda i sistemi di sicurezza di un fornitore e ha accesso alle reti dei clienti attraverso la piattaforma cloud del vendor, chi è responsabile e chi deve “pagare”? Il vendor o il fornitore di servizi IT che ha si è affidato ai suoi prodotti/servizi?
 
Difficile dare una risposta unica e convincente, ma diciamo che situazioni come queste devono far riflettere.

Innanzitutto i fornitori di servizi IT devono capire con chiarezza cosa stanno comprando da un vendor e (soprattutto in caso di attacco) conoscere chiaramente obblighi e responsabilità del fornitore verso di loro e da parte loro verso i propri clienti. Cioè se un fornitore di servizi si affida a un vendor, deve innanzitutto capire quali sono i vincoli o le limitazioni del vendor e riportare negli accordi con il cliente questi limiti, in quanto non può garantire (e pagare) lui per i "difetti" di altri.

Quando si acquista un prodotto (e ancora di più un servizio), si devono leggere i contratti e gli agreement per capire di cosa è responsabile il vendor… perché non succederà pressoché mai che il vendor si assuma la responsabilità ultima in caso di gravi problemi.
Spesso quando si acquistano servizi si è portati a pensare che il banner che pubblicizza la scritta 24×7 BDR significhi garanzia che tutto funzioni sempre e comunque, e che si possa recuperare qualsiasi dato in qualsiasi situazione.

Ciò è impensabile… e un fornitore di servizi IT deve dirlo ai propri clienti, comunicando (anche per tutelarsi) cosa è possibile e incluso, cosa no.

Attenzione: non è che il vendor non si preoccupi di dati, server e applicazioni, anzi: prende tutte le precauzioni possibili. Solo che… l’hardware si rompe, il software ha dei difetti, e se si subisce un attacco informatico mirato ed "esotico" potrebbe non esserci un rimedio o un antidoto.
 
E’ quindi importante per i fornitori di servizi IT inserire nei propri contratti verso i clienti  le limitazioni che i propri vendor mettono nei contratti e negli accordi con loro.
 
Il massimo che un fornitore di servizi IT può fare è vigilare e lavorare secondo i propri skill tecnici, ponendo la cura e la diligenza del buon padre di famiglia.
Non può certo pensare che il vendor dal quale acquista i servizi si accolli la responsabilità di tutto… nè per contro accollarsele lui.
 
Esempi di “limiti” imposti dai vendor sui propri servizi sono ovunque.

  • Prendi delle macchine virtuali su Amazon?
    Bene, ma verifica che ci siano SLA o rimborsi se le macchine vanno giù.
  • Prendi la posta da Gmail?
    Bene, ma verifica quanti messaggi in uscita puoi davvero inviare…
  • Prendi le caselle PEC da Namiral?
    Bene, ma controlla quanto spazio disco puoi occupargli con i messaggi…
  • Prendi un backup in cloud?
    Bene, ma verifica quanto a lungo puoi tenere da lui i dati…

 
Quindi?
Scoprite cosa fa e cosa non fa per voi e fatevi aiutare da un avvocato a scrivere i vostri contratti per riflettere sui clienti le limitazioni che voi stessi avete: saranno soldi bene spesi se dovessero sorgere dei problemi più grandi di voi, sui quali non avete nessun controllo.
 
Come punto di partenza per diventare un po’ più consapevoli di quello che si ottiene (e i rischi che si corrono) quando si acquistano servizi, specialmente cloud,  segnalo il report “IT audit & Cloud”.
E’ in italiano ed è gratuito (occorre solo registrarsi al sito): non è necessario impararlo a memoria, ma scorrendo le pagine vedrai delle frasi che ti faranno alzare l'attenzione quando acquisti il prossimo servizio cloud.

 

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.