06/07/2011 di Redazione

Chi controlla i dati nella nuvola pubblica?

La "denuncia" arriva da un’inchiesta di ZdNet e riporta al centro la questione della sicurezza: le autorità USA possono ispezionare i server dei data center europei dei provider statunitensi. Una brutta sorpresa per le aziende che si affidano ad Amazon, G

immagine.jpg

Di cloud si parla tanto e, come abbiamo già scritto più volte su questo sito, spesso se ne parla anche a sproposito. Il cloud è però il paradigma tecnologico del momento, l’oggetto degli annunci di tutte o quasi le firme del panorama tecnologico mondiale, che si tratti di Sony quando annuncia i suoi tablet da cui si potrà accedere ai servizi di entertainment residente nel cloud, oppure di Oracle, che nella nuvola può far funzionare la sua piattaforma di middleware Fusion.

L’argomento più caldo in tema di cloud, al di là delle questione della scelta del modello più consono alle esigenze aziendali (privato, pubblico o ibrido), è come immaginabile quello relativo alla sicurezza e all’integrità dei dati che vengono gestiti da operatori terzi nella nuvola. Di oggi è notizia che Aruba ha dovuto subire un nuovo “down”, dopo quello clamoroso del 29 aprile scorso, che ha messo in ginocchio, si presume, migliaia e migliaia di siti Web e di caselle di posta elettronica.

 



Quanto è rischioso, è la domanda che molti Cio si sono probabilmente fatti in questi mesi, portare all’esterno dell’azienda risorse e affidarle a un provider esterno se questo non può assicurare al 100% la sicurezza di informazioni e applicazioni che per l’azienda sono considerate critiche e sensibili? E se, come è successo ad Amazon con la sua piattaforma EC2 (Amazon Elastic Compute Cloud) c’è un baco nel sistema e alcuni dei dati ospitati nella nuvola vanno irrimediabilmente perduti?

Un’indagine in proposito, anzi una vera e propria inchiesta, condotta dalla testata tecnologica ZdNet (e riportata giorni fa su Tom’s Hardware Guide) mette in evidenza un aspetto non certo secondario dell’affidabilità dei servizi cloud di tipo pubblico. E cioè il fatto che i documenti conservati “in the cloud” presso data center europei di società americane potrebbero essere sottoposti a un controllo da parte delle autorità statunitensi.

Amazon, Google, Microsoft ed Apple, tanto per fare dei nomi noti, sono chiamate a rispettare le leggi vigenti negli Usa in materia di accesso ai dati –il ben noto “Patrioct Act”, la norma anti terrorismo nata dopo gli attentati dell’11 settembre 2001 – e questo comporta il fatto che chi di dovere è di fatto autorizzato a setacciare i server contenenti i dati di migliaia e migliaia di aziende e utenti. Pensiamo a Microsoft: sulla piattaforma cloud Azure si appoggiano a vari livelli un miliardo di utenti e 20 milioni di aziende nel mondo. Dal numero uno della società in Gran Bretagna, stando a quanto scrive ZdNet, è arrivata di recente (nel giorno della presentazione di Office 365) questa presa di posizione, in merito a una domanda di un cronista che chiedeva conferma del fatto che i dati memorizzati nei server europei possano o meno essere trasferiti oltre oceano: “Microsoft è una società statunitense e con sede negli Stati Uniti, deve conformarsi alle leggi locali e non può fornire tali garanzie. Né può farlo qualsiasi altra società statunitense”.

Non che l’ammissione sia sconvolgente in sé, ma è di fatto la conferma che le informazioni residenti nei data center di un provider di servizi cloud americano sono passibili di intercettazione e di ispezione da parte delle autorità statunitensi. Con buona pace della privacy e dell’integrità dei dati sensibili.



Meglio quindi tornare all’antico e dotarsi di aggiuntive risorse di storage e di server per rispondere all’esplosione di dati prodotti in formato digitale in azienda e ai nuovi paradigmi del business in mobilità e obiquo? Che si torni indietro è pressoché impossibile ma dare una ripassata a cosa dice l’Autorità Garante per la protezione dei dati personali potrebbe non essere una cattiva idea. Perché intanto si scoprirebbe che “per stabilire la giurisdizione e la legge applicabile nel caso di controversie tra l’utente e il fornitore del servizio cloud è determinate sapere in quale Stato risiedono fisicamente i server sui quali vengono allocati i dati…” che “la presenza fisica dei server in uno Stato comporta per l’autorità giudiziaria nazionale la possibilità di dare esecuzione ad ordini di esibizione, di accesso o di sequestro, ove sussistano i presupposti giuridici in base al singolo ordinamento nazionale”.

Per un Cio conoscere con esattezza dove sono fisicamente ospitati i dati “in the cloud” della propria azienda è quindi vitale per essere sicuri che l’eventuale trasferimento degli stessi avvenga, come osserva il Garante, “nel rispetto delle cautele previste a livello di Unione Europea in materia di protezione dei dati personali, cautele che esigono particolari garanzie in ordine all’adeguatezza del livello di tutela previsto dagli ordinamenti nazionali per tale tipo di informazioni”.

Più concretamente, se un fornitore di soluzioni “as a service” si avvale di un fornitore terzo per lo stoccaggio dei dati, saranno i sistemi fisici di quest’ultimo operatore che concretamente ospiteranno i dati immessi nella cloud dall’azienda utente. E se questo operatore è un’azienda americana, a quanto pare, c’è il concreto rischio che su e-mail e altri documenti riservati ci mettano gli occhi e le mani in tanti.



ARTICOLI CORRELATI