Gli imprevisti sull’utilizzo dei servizi in Cloud sono già altamente conosciuti. Tra i tanti si ricorda il problema della rimozione delle informazioni inserite all’interno della nuvola, la difficoltà della ricerca dei dati e la conservazione degli stessi, l’autenticità e la validità delle informazioni inserite, giusto per citarne alcuni; tuttavia i tre grandi pericoli che le aziende devono tener presente prima di fruire del servizio in Cloud sono l’interruzione del servizio, la privacy e la sicurezza.
Gli IT Administrator di un'azienda nel scegliere il provider devono tenere in considerazione questi tre elementi principali. Tali elementi verranno affrontati di seguito prendendo in considerazione come gli stessi vengono affrontati concretamente dai due provider più noti, Box e Dropbox, nell’erogazione di servizi di “cloud file sharing“. Come suggerisce anche Adam Gordon, autore della Official (ISC)2 Guide to the CISSP CBK, il primo degli elementi da considerare è quello relativo alla presenza online del servizio. Il responsabile IT aziendale non può, considerando la natura del servizio, controllare direttamente fattori quali la disponibilità e l’accessibilità delle informazioni. Grave sarebbe per l’azienda il ritrovarsi senza la possibilità di accedere alle informazioni inserite sulla nuvola. A tal riguardo, chi scrive suggerisce, prima di tutto, di analizzare la disponibilità del servizio garantita dal provider.
Di solito tale disponibilità si evince direttamente nello SLA (Service Level Agreement). Lo SLA ha l’obiettivo di definire le regole dell´erogazione dei servizi e i parametri di riferimento oggettivi per il monitoraggio del livello di qualità effettivamente erogato dal provider (uptime, downtime, disponibilità di servizio e tempi di risposta), inoltre, definisce le regole di interazione tra il provider e i singoli utilizzatori dei servizi (le Penali).
È evidente il preferire un provider che garantisca il 99,9% di disponibilità del servizio, ma come viene assicurata la garanzia?
A tal proposito andranno sicuramente analizzati gli strumenti e le strutture informatiche e telematiche utilizzate dal provider. Il parere di chi scrive non è sicuramente tecnico, ma è evidente il dovere in capo al cliente-azienda di analizzare, prima di scegliere il provider per un servizio “cloud file sharing”, le infrastrutture e i data center utilizzati dallo stesso.
Dal punto di vista legale, si può comunque affermare che l’assicurazione di una disponibilità del servizio alta è nulla parametrata a una penalità esigua, il provider non è incentivato a rispettare la disponibilità se non è sottoposto a un'idonea “punizione”. Oltre a quanto sopra detto, è inoltre necessario che le singole aziende possiedano un alto livello decisionale in ordine allo SLA e al rapporto con il provider. E’ indispensabile infatti scegliere quel provider che lascia più spazio alla personalizzazione del livello di servizio parametrizzata attraverso lo SLA in base alle esigenze del singolo cliente.
Andando ad analizzare la disponibilità garantita dai due provider anzi detti, Box e Dropbox, da un lato Box garantisce, attraverso il proprio SLA destinato ai rapporti con i clienti aziendali, il 99,9% di disponibilità. La garanzia deriva dall’utilizzo di una singola infrastruttura distribuita su quattro data center, utilizzata per tutti i livelli di servizio proposti. Nel caso di mancato rispetto, il cliente ottiene un rimborso parziale. Dall’altro lato, Dropbox non indica ufficialmente la disponibilità di servizio garantita, in quanto gli SLA sono legati al singolo contratto. La garanzia di servizio è data comunque dalla infrastruttura utilizzata, la stessa infatti si appoggia su Amazon S3, abbinato a un mirroring cifrato in altri data center, tutti stabiliti negli USA.
Vista la necessità di tener ben presente la posizione del provider in ordine alla disponibilità del servizio, occorre ora soffermarsi sul problema dell’accesso ai dati. In azienda, si sa che il controllo sull’accesso ai dati è assoluto, il responsabile IT conosce chi accede ai dati e controlla chi può fare cosa. Nel Cloud la situazione cambia. Il rischio è l’accesso abusivo di un soggetto all’interno del sistema, ma soprattutto il danneggiamento e il furto dei dati. A tal fine è necessario precisare che il provider deve assicurare senz’altro le misure minime di sicurezza di cui all’allegato B del D.lgs. 196 del 2003 (Codice della Privacy). Dovrebbe inoltre assicurare un controllo totale sulle modalità di accesso al servizio, nonché sui soggetti che possono accedere allo stesso. In particolare, in ordine a tale ultimo aspetto, il provider dovrebbe garantire un controllo sugli accessi esercitabile direttamente dall’azienda cliente.
Tornando ad analizzare concretamente i due provider presi in esame si rileva quanto di seguito. Il controllo promosso da Box può essere definito “parziale”, perché permette di aggiungere in un account aziendale a contratto utenti registrati singolarmente con il servizio gratuito, come possono essere i collaboratori esterni di un'azienda. Questo permesso fa sì che gli account sui quali è possibile esercitare un controllo parziale (quale è quello gratuito) possano accedere ai documenti presenti nell’account aziendale, estendendo allo stesso tutti i rischi del primo.
Box, in ogni caso, considerato il problema finora descritto, per assicurare al responsabile IT aziendale un maggiore controllo, ha provveduto a rafforzare gli strumenti di amministrazione, permettendo agli IT Administrator di esercitare un pieno controllo non solo sugli utenti, ma anche sull’accesso ai singoli file.
Dall’altro lato Dropbox, invece, ha “risolto” il problema del controllo agli accessi combinando autenticazione a due livelli, ovvero dando la possibilità di integrare gli strumenti per il controllo degli accessi del proprio sistema, con quelli Identity e Access Management utilizzati internamente dalla società che usufruisce del servizio.
Ultimo, ma non meno importante elemento da considerare prima di sottoscrivere un contratto di Cloud è la sicurezza, sotto ogni punto suo di vista. Prima di tutto occorre considerare la sicurezza nella fase di trasferimento delle informazioni. In generale, come anche rilevato dal Garante per la protezione dei dati personali attraverso il vademecum sul Cloud Computing, dovrebbero essere privilegiati i fornitori che utilizzano tecniche di trasmissione sicure, tramite connessioni cifrate, coadiuvate da meccanismi di identificazione dei soggetti autorizzati all´accesso, la cui complessità sia commisurata alla criticità dei dati stessi. Nell’ipotesi in cui il trattamento riguardi particolari tipologie di dati – quali quelli sanitari, genetici, reddituali e biometrici o, più in generale, dati la cui riservatezza possa considerarsi “critica” – viene raccomandato, oltre all´utilizzo di protocolli sicuri nella fase di trasmissione, anche la conservazione in forma cifrata sui sistemi del provider.
Rilevata la necessità di una trasmissione sicura, concretamente Box utilizza la codifica SSL con una cifratura AES a 256 bit e, a dimostrazione di essere conforme a standard a livello aziendale, è certificato ISO 27001.*
Dropbox, invece, assicura la protezione della fase di trasferimento attraverso il supporto TLS dalla versione 1.0 fino alla 1.2 e SSL v3. A livello concreto, lo stesso fornisce un “tunnel protetto” con cifratura 256 bit AES e inoltre spezza i file in elementi resi anonimi con l´uso di sistemi hash. Ogni blocco è cifrato in modo autonomo e le chiavi di cifratura sono gestite separatamente dai blocchi stessi.
L’analisi sulla sicurezza però deve focalizzarsi non solo sulla trasmissione delle informazioni in entrata, ma anche sui movimenti interni e in uscita. È possibile infatti che oggetti indesiderati possano entrare nello spazio virtuale ed essere scaricati da un utente all´interno del sistema aziendale. Spesso, infatti, la volontà di condividere attraverso l’account aziendale, soprattutto in ambito marketing, alcuni documenti porta a condividere qualsiasi tipologia di file che possono rivelarsi estremamente rischiosi. Sembrerebbe opportuno quindi poter porre delle restrizioni sul tipo di file da inserire in maniera tale che possa essere diminuito il rischio di intrusioni pericolose nel sistema.
A tal proposito si evince, concretamente, come il problema sia stato ugualmente affrontato sia da Box che da Dropbox. Entrambi utilizzano sistemi di controllo (per esempio blocco degli script e dei file eseguibili, antivirus, etc.) atti a evitare la presenza di oggetti indesiderati senza però porre alcun limite alla tipologia di file da poter inserire nell’account aziendale.
Data la suddetta analisi, non è indicabile alle aziende quale sia, tra i due, l’esempio di provider più opportuno e idoneo a garantire un servizio di Cloud che risponda alle criticità della nuvola. Tuttavia, lo scrivente ricorda che il fornitore del servizio di cloud assume, dal punto di vista privacy, il ruolo di Responsabile del trattamento e lo stesso deve essere designato direttamente dal Titolare del trattamento dei dati, ovvero l’azienda che utilizza il servizio.
Questo significa che l’azienda "cliente dovrà sempre prestare molta attenzione a come saranno utilizzati e conservati i dati personali caricati sulla nuvola: in caso di violazioni commesse dal fornitore, anche il titolare sarà chiamato a rispondere dell’eventuale illecito".
Si suggerisce, per concludere, di rivolgersi a fornitori che offrono garanzie idonee in ordine al corretto trattamento dei dati immessi dalla società nel Cloud, e qualora non affrontato si suggerisce di regolamentare ogni singolo punto critico, come quelli in questa sede analizzati, attraverso gli SLA stipulati con il singolo provider.
*Lo Standard UNI CEI ISO/IEC 27001 è una norma internazionale che definisce i requisiti per impostare e gestire un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS dall´inglese Information Security Management System), e include aspetti relativi alla sicurezza logica, fisica e organizzativa. È stata pubblicata una nuova versione della Norma: la ISO/IEC 27001:2013 che dovrà gradualmente sostituire la versione 2005.
(Tratto da Consulente Legale Informatico)
