Settimana scorsa è successo qualcosa di incredibile, la chiusura di MegaUpload e MegaVideo, due tra i più importanti servizi di File-sharing al mondo.
Quanto successo mi ha fatto molto riflettere, non tanto sui motivi o sulla validità dell’operazione ma sugli effetti che questa ha portato.
E’ vero che l’utilizzo predominante dei servizi era illegale ma esisteva una fetta altrettanto importante che li utilizzava per condividere contenuti leciti e che di colpo si è ritrovata a non poter accedere ai propri dati, ed altrettanto velocemente ha probabilmente messo i suoi dati a disposizione di agenzie statali che ora potranno guardare all’interno di contenuti assolutamente privati e senza alcuna autorizzazione.
Tutto questo potrebbe accadere da un momento all’altro con decine di servizi “Cloud” da Dropbox a Skydrive ad Icloud e tutti gli altri presenti, nessuno vieta azioni di questo tipo anche con servizi di diffusione pubblica oggi usati “prevalentemente” per motivi leciti.
In fondo MegaVideo NON metteva a disposizione video protetti da diritti d’autore, ma lo facevano gli utenti, per quanto io sappia loro su richiesta eliminavano il contenuto illecito quindi formalmente non facevano altro che offrire risorse di storage on-line, esattamente come tanti altri.
Si fa davvero poca attenzione al rischio che può creare l’esposizione di determinate informazioni al mondo Internet, di quanto l’utilizzo di risorse on-line disponibili in gran forma gratuita possono diventare un serio danno per la nostra azienda.
Non più di qualche mese fa OVH ha avuto un crash sui propri servizi Exchange da loro offerti bloccando decine di aziende, e solo successivamente si è scoperto che erano privi di Backup. Perdendo immediatamente dati vitali con danni ingenti, ma immagino quante altre aziende abbiamo vissuto la stessa sorte.
Da qui ovviamente non pretendo che si torni all’era della pietra, la strada ormai è tracciata e sempre più le risorse devono essere on-line, ma è necessario che dall’effetto giungla oggi presente si passi presto a regole certe e sicure per aziende e privati.
C’è purtroppo una certa ignoranza di fondo e quindi la maggior parte si fida di quanto gli viene proposto senza davvero informarsi seriamente di aspetti vitali che riguardano la conservazione dei propri dati. Devo dire che gli Italiani, più di altri sono tendenzialmente dubbiosi sull’utilizzo di questi servizi per motivi professionali, preferiscono vivere di chiavette o di soluzioni aziendali che quantomeno gli permettono di avere un maggior controllo, ma la conoscenza dei rischi è assolutamente fondamentale, NON solo per i professionisti del settore ma per tutti.
Si dovrebbero creare enti pubblici o di associazioni primarie “super partes” che CERTIFICANO quantomeno determinati parametri di sicurezza, così da garantire anche a chi non ha la conoscenza di capire se quanto offerto è adeguato, così come avviene in altri ambiti dell’industria.
Poi ovviamente ci si chiederà “chi certifica chi” lo stiamo vedendo nel mondo della finanza e dei punteggi dati dalle varie agenzie di rating, ma da qualche parte è opportuno partire.
Oggi chiunque offra un servizio di Storage on-line, lo fa gratuitamente, garantendo il niente e noi ad essi consegniamo dati assolutamente personali e spesso riservati senza renderci conto del rischio che corriamo.
Io dal canto mio alcune domande me le farei sempre:
  • Chi offre il servizio ?
    Informiamoci sull’azienda che lo offre, da quanto tempo esiste e chi c’è dietro alla stessa, leggete opinioni su internet, magari visitatela, potete immaginare quanto queste informazioni potrebbero essere allettanti per società di Marketing o peggio per azienda che fanno il Vostro stesso lavoro? Tutelatevi contrattualmente da questi rischi.
  • Ogni quante volte viene effettuato i backup dei miei dati on-line?
    Pretendiamo dati certi e magari anche un monitoraggio di questi dati, magari anche conoscendo DOVE viene fatto il backup, fondamentale è che siano fatti in luoghi geograficamente separati dallo Storage principale, o quantomeno che sia possibile “scaricare” una copia dello stesso backup, e poi che tipo di backup? Il ripristino che fermo mi può portare ?
  • Chi ha accesso ai miei dati ?
    Anche qui credo sia fondamentale conoscere chi e quanti possono accedere ai miei dati magari potendo vedere quando chi è autorizzato ha effettuato l’accesso o quantomeno vincolarlo a chi è strettamente autorizzato contrattualmente.
  • Dove sono custoditi i miei dati ?
    Oggi viviamo nella globalizzazione e chi sa dove sono le nostre informazioni, chissà se il paese dove sono conservati ha una legislazione che ci tutela o meno, chissà qual è la situazione socio-politica di quel paese, chissà se il luogo dove sono conservati è “fisicamente” sicuro, l’hardware su cui sono custoditi è di proprietà o leasing? Se ci fossero problemi economici della società che ci fornisce il servizio che fine farebbero i nostri dati ? Il Data-Center è sicuro ? protetto ? qual è l’affidabilità che ci viene garantita in termini di % ?
Nessuna di queste domande deve essere sottovalutata, cerchiamo di creare una situazione di “Disaster Recovery” interna dal momento che i dati non siano più accessibili, valutiamo alternative e rischi di queste soluzioni, affidiamoci a partner dove esiste un dialogo aperto e dove è possibile svincolarsi facilmente, sono aspetti che ovviamente vanno incrociati con l’importanza che quei dati hanno, ma sono valutazioni da fare sempre.
Dal mio canto il suggerimento che mi sento di dare è quello di garantirsi una vicinanza fisica ai dati, magari servendosi di Storage che sia in Italia dove la normativa sulla privacy è piuttosto rigida rispetto agli altri paesi.
Vincolarsi, dove possibile e nelle realtà che se lo possono permettere ad avere proprio Hardware in ambito di Storage condiviso in modo da ridurre il rischio in caso di default del fornitore di servizi, garantire protocolli rigidi per la conservazione dei propri dati.
Sono aspetti che solitamente richiedono competenze per essere valutati, il rischio non è possibile eliminarlo ma quantomeno ridurlo o almeno averne la consapevolezza, non è detto poi che la strada debba necessariamente essere questa, il “Cloud” può essere una soluzione tampone oppure un’estensione delle proprie risorse e quindi non essere vitale per l’attività quotidiana. Di certo vivere queste soluzioni come “l’unica strada” sono un grande pericolo, è giusto seguire l’evoluzione ma non saltiamo sopra il primo cavallo che grida alla novità.
Buon Cloud a tutti.
Roberto Esposito
r.esposito (@) atik.it