Cloud computing, riservatezza e consapevolezza
(-)
Loading ...
La consapevolezza è essenziale nel porsi di fronte al mondo cloud. Neppure istituzioni delicatissime sono obbligate a rinunciarvi, tutto sta nel ragionare bene sul proprio scenario. Senza scendere nell’assolutismo acuto
Articoli correlati:
Da qualche tempo a questa parte, anche in virtù del sempre crescente strombazzamento delle grandi multinazionali del bit su temi come Office 365 – tra l’altro appena passato in fase esecutiva – il Cloud Computing occupa spesso le colonne delle fonti specializzate. Ma le principali attenzioni, a differenza di quanto si potrebbe pensare sulle prime, non sono rivolte tanto all’aspetto tecnologico quanto a quello della riservatezza.
La perplessità, in sostanza, è questa: di fatto, adottando un sistema basato sul Cloud Computing, io affido un intero complesso operativo e soprattutto i dati che in esso circolano e di cui il complesso vive nelle mani di “estranei”. Per quanto questi possano offrirmi delle garanzie sulla tutela dell’integrità, quanto rischio sotto il profilo della riservatezza?
Sicurezza e riservatezza nel cloud: le si può avere, senza rinunciare del tutto ai vantaggi
Volendo definire – come si addice a un editoriale che si rispetti - un punto di vista, forse è bene evitare di far tracimare ogni considerazione nel campo minato della filosofia dell’etica informatica. Posizioni radicali e assolutiste come quelle di Richard M. Stallman, che da tempo ha bollato (e continua a farlo) il Cloud Computing come un’idiozia, sono eccellenti spunti di approfondimento e riflessione ma, nella pratica, è bene sfruttarle innanzi tutto per riflettere sulla consistenza della realtà della quale ci si accinge a servirsi.
Bene, benissimo fa Pino Bruno a evidenziare un paio di post su ZDNet, dove Zack Whittacker ha ripreso il tema proprio in occasione del lancio di Office 365, sottolineando quanto peraltro aveva già delineato in “tempi non sospetti”. Pino esordisce chiamandola “clamorosa rivelazione” e ha ragione a farlo: di fatto, lo è. Il punto, invece, è che bisognerebbe avesse torto: non ci dovrebbe essere proprio nulla di clamoroso se in chi legge vi fosse la consapevolezza del meccanismo.
Alla domanda “Microsoft può garantire che i dati memorizzati nei server europei non lascino mai l’Europa, anche in base a una richiesta formulata in forza del Patriot Act?” Gordon Trazer, AD Microsoft UK, ha risposto “poiché Microsoft è una società statunitense, con sede negli Stati Uniti, deve conformarsi alle leggi locali USA. Microsoft non può fornire tali garanzie. Né può farlo qualsiasi altra società statunitense”. Una “rivelazione” alla quale, informandosi e comprendendo bene il meccanismo, si sarebbe potuto (e dovuto) arrivare da soli.
Dunque, non c’è “salvezza” alcuna se i propri dati si trovano in un Cloud Storage esercito da un’azienda statunitense o a partecipazione maggioritaria statunitense (cosa probabilissima, vista l’offerta sui mercati internazionali): le Autorità degli Stati Uniti possono accedervi, e senza troppe formalità. Ecco l’utilità di non ignorare in maniera sterile quanto afferma Stallman: il celebre hacker aveva prefigurato tale rischio lo scorso ottobre, quando si è espresso sui Chromebook, i notebook concepiti per sfruttare il Cloud Computing di Google. E fa bene, a questo punto, a definire l’impiego cieco del Cloud Computing con un’espressione deliziosa: careless computing.
Careless significa senza cura, inconsapevole. Se questa è la linea dominante del proprio approccio al Cloud Computing, la cosa migliore è lasciar perdere, subito, senza alcuna incertezza: i rischi sono troppi e fuori del dominio del proprio controllo.
Nessuno vuole svilire i grandi vantaggi del Cloud Computing e, in particolare, del Cloud Storage. Non doversi preoccupare dell’integrità e del backup sono già motivi molto forti per provare un desiderio irrefrenabile di accedere a questa tecnologia e servirsene. Come pure è fortissimo l’impulso all’impiego di potenza di calcolo “in affitto” a tutti gli effetti: prescindendo da impieghi poco rassicuranti della medesima, poterne disporre rende possibile svolgere attività che prima, semplicemente, erano del tutto precluse.
Vi sono, però, scenari dove la tutela della riservatezza ha un peso molto maggiore. Lo sforzo da compiere è proprio questo: fare una valutazione attenta, ragionata e approfondita sul peso da attribuire a tale parametro in quanto esso è fondamentale per decidere in relazione alla struttura in cui si opera.
Provo a spiegarmi con un estremo. Immaginate per un attimo di trovarvi al vertice della struttura IT di un’istituzione come l’AISI, l’AISE o il DIS che è quella che coordina i primi due. Non è difficile determinare che, in tutti e tre i casi, tanto l’integrità quanto la riservatezza sono fattori la cui importanza è semplicemente massima. Cosa si fa, allora? Si scarta del tutto l’ipotesi di impiego di Cloud Storage e Cloud Computing?
La mia risposta è no, io non la scarterei. Quel che mi servirebbe in quegli scenari sono i vantaggi dell’impiego di tali tecnologie, ma non potendo correre alcun rischio, né di perdita di dati, né di fughe degli stessi, nei miei piani mai e poi mai potrebbero presenziare fattori per via dei quali non so dove stanno i dati e chi vi ha accesso. La soluzione, dunque, non è chiudere gli occhi su quelle tecnologie, ma impiegarle con una visione diversa. Nulla vieta, per esempio – essendo tali strutture dotate di proprie reti di telecomunicazioni abbondantemente protette e cifrate che collegano tra loro le varie sedi – di realizzare una struttura cloud “in proprio”, sfruttando la dislocazione sparsa di sedi diverse e creando “in proprio” la medesima architettura.
Nel mio piccolo, come ho già spiegato, personalmente faccio proprio così (ovviamente molto, molto “in piccolo”, ma il criterio non cambia) e posso assicurare – se vi leggete l’altro editoriale in cui ne ho parlato – di aver già goduto abbondantemente dei vantaggi di tale scelta. Alla base di tutto, dunque, c’è una “lezione” importantissima: Cloud Computing (e, di conseguenza, Cloud Storage) non sono concetti legati a Internet ma legati, molto più genericamente, a una rete di telecomunicazioni, che non è affatto necessario si traduca nell’impiego di Internet.
Ecco cosa intendo per non chiudere gli occhi in maniera sterile. Pratica? Una tipografia moderna: tutti i propri lavori, prima di essere stampati, debbono essere memorizzati da qualche parte e conservati. Esigenza di riservatezza: poca, praticamente nulla. Ricorso al Cloud Storage e, in caso di elaborati molto complessi, al Cloud Computing: indicatissimo. Niente backup, niente memorizzazione locale. Unico neo, almeno in Italia: non esistono linee Internet che siano al contempo sufficientemente veloci, abbordabili e affidabili da poterne fare uso in tempo reale. Dunque, si userà il Cloud Storage come “unità di backup”, con il vantaggio di non doverla gestire, di non preoccuparsi della sua integrità, di aggiornamenti, sostituzioni di supporti, nulla. Perché, in questo caso, non servirsene?
Spero, con questo, di aver dato il LA, con cui iniziare a colmare quel vuoto a causa del quale tanti, troppi operatori IT chiudono gli occhi davvero senza ragione. Le vacanze estive si avvicinano e sarà, magari, una buona occasione per confrontarsi e approfondire addivenendo così a una visione ragionata, consapevole e cosciente di una tecnologia che, esattamente come il fuoco, va impiegata sapendo di cosa si parla e un buon punto di partenza potrebbe essere questo documento (PDF) della Cloud Security Alliance.
Marco Valerio Principato
