Lo “tsunami” del GDPR – anche se forse sarebbe meglio parlare di opportunità, piuttosto che paragonarlo a un evento distruttivo – ha avuto il merito di alzare ancora di più l’attenzione sul tema della sicurezza informatica, soprattutto per quelle aziende che fino ad oggi si sono sentite al sicuro o quantomeno non toccate dal problema.
La realtà dei fatti, purtroppo è un’altra.
Otto mesi: questo è il tempo medio che – secondo la relazione presentata dall’A.P.I. al convegno “PMI e Cyber Risk, che cosa fare” – passa prima che un’azienda si renda conto di aver subito un attacco informatico.
Ancora peggio, la ricerca dell’A.P.I. (Associazione Piccole e medie Industrie) mostra che il trend nazionale sia di correre ai ripari solo DOPO un’emergenza di sicurezza informatica. Tra i fortunati che non hanno ancora subito alcuna violazione, solo il 40% è consapevole della necessità di dover proteggere i dati adeguatamente.
Perché il tema della sicurezza informatica ha assunto tutta questa importanza negli ultimi anni? La risposta è quasi banale: a cambiare è stato tutto il mondo dei servizi informatici.
Il cloud non è più qualcosa di cui l’azienda 4.0 voglia fare a meno, ma è necessario fare i conti con la realtà: connettersi con qualsiasi tipo di dispositivo da ogni parte del mondo, disporre di enormi quantità di dati che permettono di prevedere e modellizzare i comportamenti dei clienti, avere la possibilità di sviluppare applicazioni velocemente e di farle evolvere con agilità, eliminare infrastrutture obsolete e sostituirle con soluzioni più agili e meno costose sono vantaggi che hanno – alla fine – un costo: generano un valore che fa gola ai malintenzionati. Al pari di una villa ricca di preziosi, la superficie attaccabile di un’infrastruttura cloud è maggiore e va difesa con attenzione.
Il rischio di cadere in una falsa correlazione causa-effetto è alto: con l’aumentare della disponibilità del cloud è aumentata anche l’incidenza di cybercrimine e verrebbe da pensare che l’uno è conseguenza dell’altro.
Le cose non stanno esattamente così.
Il punto è che nella sicurezza informatica non sono le dimensioni dell’azienda a contare, quanto l’estensione della sua infrastruttura. La rivoluzione del cloud ha messo le PMI sullo stesso piano delle grandi imprese, in un processo di democratizzazione informatica. Questo implica che entrambe le parti devono curare la sicurezza allo stesso modo. Fortunatamente, i mezzi per proteggersi, al pari dell’infrastruttura cloud, possono essere acquisiti da tutti con costi proporzionali alle proprie necessità.
In termini generali, l’architettura del cloud è efficace solo se ci sono le corrette difese e la responsabilità di adottare le giuste misure è condivisa: la sicurezza informatica ai tempi del cloud deve affrontare due ordini di problemi: la sicurezza lato provider e la sicurezza lato client, dove per client intendiamo tutta l’azienda.
A livello di service provider, la sicurezza viene implementata con la massima cura, in quanto rappresenta anche una leva commerciale in grado di differenziare la qualità del servizio offerto. L’hardware viene protetto attraverso soluzioni tecnologiche e protocolli specifici che impediscono intrusioni, accessi non autorizzati e interruzioni di servizio di qualsiasi natura: l'efficacia di questi protocolli di sicurezza ha permesso di ottenere la conformità allo standard ANSI/TIA-942, per cui i data center di Aruba hanno raggiunto i massimi rating. Il personale stesso viene scelto e formato con l’ottica di eliminare qualsiasi vulnerabilità che possa derivare da comportamenti incauti o fraudolenti, come testimoniato dalle numerose certificazioni ISO verificate ed emesse da Bureau Veritas.
Infine il tema della privacy: il service provider deve garantire che tutti i dati critici siano sicuri, crittografati e che solo le persone strettamente autorizzate – anche e soprattutto secondo le leggi vigenti (GDPR) – abbiano accesso ai questi dati. Spesso nel cloud più clienti risiedono fisicamente sulla stessa macchina (o sullo stesso array di macchine) e il rischio di riuscire a sfruttare qualche vulnerabilità mette in pericolo la privacy degli utenti. (tema trattato in questo articolo)
Per evitare questa situazione, i fornitori di servizi investono moltissime energie per garantire il corretto isolamento dei dati e la separazione logica dell’archiviazione: per questo la protezione dell’hypervisor è uno dei punti su cui si concentrano i protocolli di sicurezza. C’è un’aggiunta da fare: il provider stesso non può (e non deve, dal momento che è anche una questione di deontologia professionale) utilizzare i dati dei clienti, anche quelli meno sensibili, per utilizzo interno, vendita a terze parti o qualsiasi uso non esplicitamente autorizzato. La riservatezza del dato, il controllo degli accessi e l’integrità sono quindi i 3 principali livelli su cui deve agire il service provider per offrire un servizio sicuro.
Come abbiamo già detto, però, lo scenario è di responsabilità condivisa.
La forza di un sistema è pari al suo punto più vulnerabile: la sicurezza migliore del mondo non sarà mai sufficiente a sopperire alle falle lato client: è possibile proteggere efficacemente tutto ciò che è di diretta competenza, ma il giusto approccio alla sicurezza deve essere condiviso a partire dalle aziende stesse.
Il problema è culturale: sono molti gli imprenditori che sottovalutano il tema della sicurezza e che addirittura reputano gli investimenti (in termini di tempo, denaro e applicazione) come un inibitore di business, in totale contrapposizione alla natura abilitante all’industria 4.0 del cloud. Per le aziende, quindi, è indispensabile attrezzarsi per essere certi di eliminare vulnerabilità derivanti da sottrazione password e credenziali, povera gestione della sicurezza delle reti, gestione del rischio di minacce interne e avere, in ultimo, la certezza di potersi rialzare a seguito di un incidente (disaster recovery).
Quindi, partendo dal presupposto che ogni service provider serio abbia il dovere di dotarsi di ogni mezzo possibile per rendere i propri servizi sicuri attraverso l’utilizzo e l’integrazione continua di nuove tecniche di sicurezza e controllo, il tema della cultura aziendale, dello sviluppo delle competenze necessarie per proteggere i dati e dell’importanza di disporre adeguati protocolli è di sicuro uno degli aspetti più centrali per far fronte alla propria parte di responsabilità condivisa.
La possibilità di fare azienda 4.0, sfruttare le potenzialità offerte da big-data, cloud, automation e machine learning, passa da una cultura informatica a 360°, capace di permeare l’intera operatività di un’azienda. Non vuol dire che senza sicurezza non sia possibile ottenere tutto il valore aggiunto e la ricchezza che il cloud porta alle imprese: significa solo rendere questa ricchezza un facile bersaglio per la criminalità informatica, che non aspetta altro di trovare una falla da sfruttare e che spesso viene individuata proprio nel lato aziendale dell’infrastruttura.