Il Cloud Computing e i problemi di sicurezza dei dati personali: focus | Ingegneri.info

Il Cloud Computing e i problemi di sicurezza dei dati personali: focus

È un dato di fatto: le imprese e la PA stanno gradualmente convergendo su un modello di servizi, spesso esternalizzati, basati sui vantaggi del Cloud Computing. Ma come ci comportiamo con la sicurezza dei dati personali? La parola all'esperto

image_pdf

Il tema della tutela della privacy alla luce delle possibilità offerte dalle nuove tecnologie è delicatissimo e di grande importanza, sia in termini di rischio che di sviluppo, al punto che anche il tecnico o l’ingegnere (non solo informatico) è chiamato a tenerne conto nella sua attività quotidiana. Con questo articolo sul Cloud Computing, continuiamo il ciclo di approfondimenti curati da Michele Iaselli, avvocato e docente a contratto di informatica giuridica, nonché presidente dell’Associazione Nazionale per la Difesa della Privacy. Per leggere il primo articolo sulle RFID, cliccare questo link.
Iaselli ha pubblicato numerosi manuali sulle varie declinazioni del tema. L’articolo di seguito è tratto da “Privacy e nuove tecnologie”, un eBook pubblicato da Altalex e disponibile nel box di seguito.

Per cloud computing si intende l’insieme di tecnologie che permettono, tipicamente sotto forma di un servizio offerto al cliente, di memorizzare/archiviare e/o elaborare dati grazie all’utilizzo di risorse distribuite e accessibili in rete. Il cloud computing è un insieme di modelli di servizio che più di altri si sta diffondendo con grande rapidità tra imprese, pubbliche amministrazioni e cittadini perché incoraggia un utilizzo flessibile delle proprie risorse (infrastrutture e applicazioni) o di quelle messe a disposizione da un fornitore di servizi specializzato.

L’innovazione e il successo delle cloud (le nuvole informatiche) risiede nel fatto che, grazie alla raggiunta maturità delle tecnologie che ne costituiscono la base, tali risorse sono facilmente configurabili e accessibili via rete, e sono caratterizzate da particolare agilità di fruizione che, da una parte semplifica significativamente il dimensionamento iniziale dei sistemi e delle applicazioni mentre, dall’altra, permette di sostenere gradualmente lo sforzo di investimento richiesto per gli opportuni adeguamenti tecno-logici e l’erogazione di nuovi servizi.

Nell’ambito del cloud computing è ormai prassi consolidata distinguere tra private cloud e public cloud. Una private cloud (o nuvola privata) è un’infrastruttura informatica per lo più dedicata alle esigenze di una singola organizzazione, ubicata nei suoi locali o affidata in gestione ad un terzo (nella tradizionale forma dell’hosting dei server) nei confronti del quale il titolare dei dati può spesso esercitare un controllo puntuale.

Le private cloud possono essere paragonate ai tradizionali “data center” nei quali, però, sono usati degli accorgimenti tecnologici che permettono di ottimizzare l’utilizzo delle risorse disponibili e di potenziarle attraverso investimenti contenuti e attuati progressivamente nel tempo.
Nel caso delle public cloud, invece, l’infrastruttura è di proprietà di un fornitore specializzato nell’erogazione di servizi che mette a disposizione di utenti, aziende o amministrazioni – e quindi condivide tra di essi – i propri sistemi attraverso l’erogazione via web di applicazioni informatiche, di capacità elaborativa e di stoccaggio. La fruizione di tali servizi avviene tramite la rete Internet e implica il trasferimento dell’elaborazione o dei soli dati presso i sistemi del fornitore del servizio, il quale assume un ruolo importate in ordine all’efficacia delle misure adottate per garantire la protezione dei dati che gli sono stati affidati.
In questo caso l’utente insieme ai dati, infatti, cede una parte importante del controllo esercitabile su di essi. Ad esempio, la complessità delle infrastrutture, e la loro eventuale dislocazione su siti al di fuori dei confini nazionali potrebbe determinare l’impossibilità sia di conoscere con esattezza l’ubicazione dei propri dati nella nuvola, sia di sapere se e quando i dati vengono spostati da un luogo all’altro per esigenze organizzative, tecniche o economiche difficilmente determinabili e gestibili a priori. Inoltre, la dimensione del fornitore potrebbe condizionare la forza contrattuale dei fruitori del servizio e la loro possibilità di esercitare un controllo diretto, seppur concordato, sui siti e sulle infrastrutture utilizzate per ospitarne i dati.

Acquisire servizi cloud significa acquistare presso un fornitore di servizio risorse (ad esempio server virtuali o spazio disco) oppure applicazioni (ad esempio posta elettronica e strumenti per l’ufficio).
– I dati non risiedono più su server “fisici” dell’utente, ma sono allocati sui sistemi del fornitore (a meno di copie in locale).
– L’infrastruttura del fornitore del servizio è condivisa tra molti utenti per cui sono fondamentali adeguati livelli di sicurezza.
– L’utilizzo del servizio avviene via web tramite la rete Internet che assume dunque un ruolo centrale in merito alla qualità dei servizi fruiti ed erogati.
– I servizi acquisibili presso il fornitore del servizio sono a consumo e in genere è facile far fronte ad eventuali esigenze aggiuntive (ad esempio più spazio disco o più potenza elaborativa).
– Esternalizzare i dati in remoto non equivale ad averli sui propri sistemi: oltre ai vantaggi, ci sono delle controindicazioni che bisogna conoscere.

Accanto alle private e public cloud si annoverano nuvole “intermedie” quali le cloud ibride (o hybrid cloud), caratterizzate da soluzioni che prevedono l’utilizzo di servizi erogati da infrastrutture private accanto a servizi acquisiti da cloud pubbliche, e le community cloud in cui l’infrastruttura è condivisa da diverse organizzazioni a beneficio di una specifica comunità di utenti. I potenziali vantaggi del cloud computing certamente possono promuovere la sistematizzazione delle infrastrutture, la riorganizzazione dei flussi informativi, la razionalizzazione dei costi e quindi in generale favorire nel caso sia del mondo imprenditoriale, sia della pubblica amministrazione servizi più moderni, efficienti e funzionali in linea con le esigenze di crescita di un moderno Sistema Paese. È d’altra parte assodato che il cloud computing non è un fenomeno temporaneo o una moda, ma il passo successivo dell’evoluzione nel modo in cui si utilizza la Rete Internet, che da strumento per la sola condivisione documentale (la pagina web resa disponibile dal sito web remoto) diviene la porta d’accesso alle risorse elaborative di un provider di servizi (l’applicazione resa disponibile in modalità web).

Questa trasformazione sta determinando una “modifica dei costumi” che è già in atto ed è più evidente nell’utenza individuale che più frequentemente, ma non sempre con completa consapevolezza anche dei possibili rischi derivanti dalle nuove tecnologie utilizzate, si avvale di servizi erogati da fornitori terzi (public cloud) per far fronte alle sue esigenze informative: l’utente consumer, infatti, utilizza i social network sui quali trasferisce abitualmente foto, informazioni, idee e opinioni, usa strumenti di elaborazione documentale via web, impiega gli hard-disk remoti per poter sempre disporre dei propri documenti da qualunque dispositivo e in qualunque luogo si trovi, si avvale delle applicazioni per i moderni smartphone sempre connessi ad Internet che tramite l’associazione delle informazioni di geolocalizzazione all’utente hanno aperto la strada a innovative funzionalità, anche in ambito sociale.

Risulta d’altra parte evidente come l’offerta degli operatori economici stia incalzando il mercato delle imprese e della Pubblica Amministrazione con soluzioni che incoraggiano l’acquisizione di servizi esternalizzati, utilizzando come volano verso i nuovi investimenti la prospettiva di risparmi legati alla sostituzione o all’affiancamento degli asset per il trattamento delle informazioni tradizionalmente nel diretto possesso dell’utente, con soluzioni acquisite a consumo presso terzi.
È tuttavia opportuno evidenziare come il ricorso a quelle modalità che intrinsecamente promuovono l’utilizzo di servizi esternalizzati comportino anche la migrazione dei dati dai sistemi locali sotto il diretto controllo dell’utente, impresa o amministrazione ai sistemi remoti del provider di servizi. Come sopra delineato, le public cloud (o nuvole informatiche pubbliche) sono infrastrutture controllate da organizzazioni che le rendono disponibili a terzi attraverso la vendita di servizi a consumo. Lo spazio virtuale e la capacità di elaborazione della “nuvola” sono condivisi tra molti utenti, singoli o appartenenti a imprese o enti diversi che accedono a tali risorse dell’infrastruttura tramite l’utilizzo della rete Internet.

Più precisamente, con il termine cloud computing o semplicemente cloud nell’ambito di questo documento ci si riferisce a un insieme di tecnologie e di modelli di servizio che:
• favoriscono la fruizione e l’erogazione di applicazioni informatiche, di capacità elaborativa e di stoccaggio via web;
• promuovono a seconda dei casi il trasferimento dell’elaborazione o della sola conservazione dei dati dai computer degli utenti ai sistemi del fornitore dei servizi.

La flessibilità e la semplicità con cui è possibile configurare i sistemi in cloud ne rende possibile un dimensionamento “elastico”, attuato cioè secondo logiche di adattabilità alle contestuali esigenze e di fruizione a consumo. Gli utenti non devono curarsi della gestione dei sistemi informatici che, essendo utilizzati secondo la logica dell’esternalizzazione (outsourcing), sono completamente gestiti dai soggetti terzi nella cui nuvola sono conservati i dati.

Generalmente, nel caso frequente di fornitori di grosse dimensioni dotati di infrastrutture complesse, la nuvola può estendersi geograficamente su siti distinti e l’utente potrebbe ignorare dove vengono effettivamente conservati i propri dati. I servizi offerti dai fornitori di soluzioni di cloud computing sono molto diversificati, in costante e significativo aumento e spaziano da sistemi elaborativi virtuali, che sostituiscono o si affiancano ai tradizionali elaboratori ubicati nei locali propri dell’organizzazione, a servizi di supporto allo sviluppo e per l’hosting evoluto delle applicazioni, sino a soluzioni software rese disponibili in modalità web che sono sostitutive delle tradizionali applicazioni installate sui computer di utenti, imprese e di amministrazioni, quali ad esempio applicazioni per l’elaborazione dei testi, per la gestione di agende e calendari, eventualmente condivisi, cartelle per l’archiviazione dei documenti on-line, e persino soluzioni esternalizzate di posta elettronica.
I dati trasferiti e archiviati per mezzo di questi servizi web presso il service provider possono essere trattati dagli utenti in remoto attraverso la rete Internet spesso senza la necessità di installare specifici programmi sui propri sistemi e senza l’esigenza di dover effettuare gli aggiornamenti software e tutte le altre attività correlate alla manutenzione e alla gestione delle infrastrutture informatiche. Sul mercato, a seconda delle esigenze dell’utente, sono disponibili varie soluzioni di cloud computing erogate secondo modalità che ricadono in linea di massima in tre categorie, dette “modelli di servizio”.

Comunemente tali modelli di servizio sono riferiti sia a soluzioni di private cloud che di public cloud, ma vengono qui illustrati in un’ottica maggiormente aderente a quest’ultima tipologia di servizi, che prevede l’utilizzo condiviso da parte di utenti, imprese e soggetti pubblici dei sistemi di provider di servizi terzi.
• Nel caso di servizi IaaS (Cloud Infrastructure as a Service – infrastruttura cloud resa disponibile come servizio), il fornitore noleggia un’infrastruttura tecnologica, cioè server virtuali remoti che l’utente finale può utilizzare con tecniche e modalità che ne rendono semplice, efficace e produttiva la sostituzione o l’affiancamento ai sistemi già presenti nei locali dell’azienda. Tali fornitori sono in genere operatori di mercato specializzati che realmente dispongono di un’infrastruttura fisica, complessa e spesso distribuita in aree geografiche diverse.
• Negli SaaS (Cloud Software as a Service – software erogato come servizio della cloud ), il fornitore eroga via web una serie di servizi applicativi ponendoli a disposizione degli utenti finali. Tali servizi sono spesso offerti in sostituzione delle tradizionali applicazioni installate localmente dall’utente sui propri sistemi, che è quindi spinto ad “esternalizzare” i suoi dati affidandoli al fornitore. Si pensi, ad esempio, ad applicazioni tipiche per l’ufficio erogate in modalità web quali fogli di calcolo, elaborazione dei testi, applicazioni per il protocollo informatico, la rubrica dei contatti e i calendari condivisi, ma anche alle moderne offerte di posta elettronica cloud.
• Infine, nei PaaS (Cloud platform as a service – piattaforme software fornite via web come servizio), il fornitore offre soluzioni per lo sviluppo e l’hosting evoluto di applicazioni. In genere questo tipo di servizi è rivolto a operatori di mercato che li utilizzano per sviluppare e ospitare soluzioni applicative proprie, allo scopo di assolvere a esigenze interne oppure per fornire a loro volta servizi a terzi. Anche nel caso dei PaaS il servizio erogato dal fornitore elimina la necessità per il fruitore di doversi dotare internamente di strumenti hardware o software specifici o aggiuntivi.

L’utilizzo di servizi di cloud computing è un fenomeno in forte ascesa e determina un cambio di mentalità nelle modalità di utilizzo della rete Internet che, da strumento di condivisione documentale, diviene la porta di accesso alle risorse elaborative e di stoccaggio di fornitori di servizi remoti. Tale tipologia di servizi comporta la migrazione di dati dai sistemi locali sotto il diretto controllo dell’utente ai sistemi remoti del fornitore, che assume un ruolo centrale in ordine alla sicurezza dei dati e, quindi, all’adozione delle misure necessarie a garantirla. Tuttavia, è bene evidenziare come l’adozione di servizi esternalizzati non esime le imprese e le amministrazioni pubbliche che se ne avvalgono per la gestione del proprio patrimonio informativo dalle responsabilità che vengono loro attribuite, in particolare, dalla disciplina in materia di protezione dei dati personali. I trattamenti di dati personali richiedono, infatti, sempre un’attenta ponderazione dei rischi legati alla sicurezza e alla fruibilità delle informazioni, indipendentemente dalle modalità di trattamento.

Pertanto, vanno tenute in debito conto le particolari caratteristiche delle nuove tecnologie, allo scopo di governare i potenziali pericoli che possono derivare da utilizzi scarsamente consapevoli e da modelli innovativi adottati con metodi, prassi e processi non ancora sufficientemente consolidati e in grado di mitigare le eventuali criticità. È quindi opportuno, anche nel caso del cloud computing, razionalizzarne le peculiarità al fine di individuare i potenziali rischi insiti in tali servizi e quindi poter adottare efficaci e specifiche misure di prevenzione.

Nel caso del cloud computing, il trasferimento dei dati dai computer locali, nella fisica disponibilità e nel diretto controllo esercitabile dal titolare, verso sistemi remoti di proprietà di un terzo fornitore del servizio, presenta, accanto a potenziali utilità, anche i seguenti aspetti che necessitano di specifica attenzione:
• l’utente, affidando i dati ai sistemi di un fornitore remoto, ne perde il controllo diretto ed esclusivo; la riservatezza e la disponibilità delle informazioni allocate sulla nuvola certamente dipendono anche dai meccanismi di sicurezza adottati dal service provider;
• il servizio prescelto potrebbe essere il risultato finale di una catena di trasformazione di servizi acquisiti presso altri service provider, diversi dal fornitore con cui l’utente stipula il contratto di servizio; l’utente a fronte di filiere di responsabilità complesse potrebbe non sempre essere messo in grado di sapere chi, dei vari gestori dei servizi intermedi, può accedere a determinati dati;
• il servizio virtuale, in assenza di adeguate garanzie in merito alla qualità della connettività di rete, potrebbe occasionalmente risultare degradato in presenza di elevati picchi di traffico o addirittura indisponibile laddove si verifichino eventi anomali quali, ad esempio, guasti, impedendo l’accessibilità temporanea ai dati in esso conservati;
• le cloud sono sistemi e infrastrutture condivise basate sul concetto di risorse noleggiate a un’utenza multipla e mutevole; i fornitori, infatti, custodiscono dati di singoli e di organizzazioni diverse che potrebbero avere interessi ed esigenze differenti o persino obiettivi contrastanti e in concorrenza;
• la conservazione dei dati in luoghi geografici differenti ha riflessi immediati sia sulla normativa applicabile in caso di contenzioso tra l’utente e il fornitore, sia in relazione alle disposizioni nazionali che disciplinano il trattamento, l’archiviazione e la sicurezza dei dati;
• l’adozione da parte del fornitore del servizio di tecnologie proprie può, in taluni casi, rendere complessa per l’utente la transizione di dati e documenti da un sistema cloud ad un altro o lo scambio di informazioni con soggetti che utilizzino servizi cloud di fornitori differenti, ponendone quindi a rischio la portabilità o l’interoperabilità dei dati.

Il fornitore, in base alla tipologia dei servizi offerti, assume la responsabilità di preservare la riservatezza, l’integrità o la disponibilità dei dati; pertanto, l’utente al momento della stipula dei contratti di servizio dovrà tenere in debito conto gli accorgimenti previsti per garantire il corretto trattamento dei dati immessi nella cloud. Prima di adottare un sistema basato nel cloud computing è necessario, quindi, valutare attentamente il rapporto tra rischi e benefici derivante dall’utilizzo del predetto servizio virtuale, minimizzando i primi attraverso una attenta verifica dell’affidabilità del fornitore di servizi al quale ci si intende affidare.
Tale aspetto è stato particolarmente evidenziato dal recente Regolamento Europeo n. 2016/679 sulla protezione dei dati personali che diventerà obbligatorio nei paesi dell’UE a decorrere dal 25 maggio 2018. Il Regolamento, difatti, nasce proprio per affrontare fenomeni come il cloud dove l’incalzare
di sviluppi tecnologici hanno allontanato le frontiere della protezione dei dati personali e la portata della condivisione e della raccolta di dati è aumentata in modo vertiginoso.
È diventato, quindi, necessario instaurare un quadro giuridico più solido e coerente in materia di protezione dei dati nell’Unione che, affiancato da efficaci misure di attuazione, consentirà lo sviluppo dell’economia digitale nel mercato interno, garantirà alle persone fisiche il controllo dei loro dati personali e rafforzerà la certezza giuridica e operativa per i soggetti economici e le autorità pubbliche.

Leggi anche: Il cloud per l’ingegneria: cinque strumenti per progettare

Copyright © - Riproduzione riservata
L'autore
Il Cloud Computing e i problemi di sicurezza dei dati personali: focus Ingegneri.info