L’incendio divampato nella notte tra il 9 e 10 marzo nel campus del cloud provider OVH a Strasburgo, sui cui server numerose realtà economiche e pubbliche amministrazioni, anche nazionali, hanno salvato i propri dati, ha riacceso i riflettori sul cosiddetto cloud computing (in italiano nuvola informatica) e sui requisiti di sicurezza che i provider sono obbligati a fornire.
La maggior parte delle aziende, sia pubbliche che private, oramai, fanno uso del sistema cloud, certamente comodo e utile (i costi sono di gran lunga minori rispetto al dover mantenere un proprio sistema informatico sicuro e perfettamente funzionante), ma dotato anche di importanti profili di criticità e rischi nell’ambito della protezione dei dati.
E’ quindi molto importante scegliere accuratamente il proprio Cloud Provider, avendo cura di verificare che le garanzie e le misure di sicurezza dallo stesso offerte siano idonee alla protezione dei dati, e cautelarsi, per quanto possibile, nella fase di stipula del contratto.
Secondo il Regolamento GDPR, infatti, l’ente pubblico o l’azienda privata che si rivolgono ad un fornitore esterno di servizi cloud e trattano dati di persone fisiche (loro clienti o utenti) sono qualificati come “titolari del trattamento” e devono procedere a designare il fornitore di tali servizi quale “responsabile esterno del trattamento”.
Questo significa che, se il fornitore del sistema cloud commette una violazione, ne risponde anche il titolare del trattamento.
Nel caso citato del rogo nel data center di OVH, infatti, le sanzioni potrebbero riguardare sia OVH che le aziende clienti, siano esse pubbliche e private, qualora si riscontrassero violazioni delle misure di sicurezza oppure un’incapacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati personali.
Vediamo quindi cosa può fare il titolare del trattamento per cautelarsi.
Innanzitutto, nella scelta del cloud provider, conviene optare per quello che disponga di misure di sicurezza più adeguate, sia dal punto di vista informatico (sistemi di protezione attacchi hacker o antivirus) che, come ci ha insegnato il caso OVH, fisico dei luoghi.
Quanto al luogo di ubicazione dei server del fornitore di cloud, è importante ricordare che il Regolamento GDPR consente il trasferimento dei dati nei Paesi Extra UE solo a condizione che l’adeguatezza del Paese Extra UE o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea, oppure ove il titolare o il responsabile del trattamento forniscano un adeguato livello di protezione.
Assume poi particolare importanza il fatto che il cloud provider abbia effettuato una valutazione dei rischi ed abbia messo a punto un piano di recupero che risulti idoneo a tutelare i dati in suo possesso da attacchi informatici o calamità naturali.
Si tratta del cosiddetto Disaster Recovery, che opera all’interno del piano di continuità operativa e serve proprio a far sì che, in caso di problemi o incidenti, l’azienda/ente possa continuare a erogare i propri servizi e a svolgere le proprie attività normalmente o, quanto meno, con una riduzione minima e controllata. Consiste, in estrema sintesi, in un piano di ripristino del sistema hardware e software finalizzato a limitare il più possibile la perdita dei dati in caso di emergenza.
Una scelta ponderata del Cloud Provider cui affidarsi, quindi, è assolutamente fondamentale e necessaria e ancor meglio sarebbe se il contratto prevedesse un risarcimento del danno in capo al fornitore oppure il pagamento di una penale in caso di incidenti o perdite di dati.
Una volta scelto con cura il proprio cloud provider, poi, il titolare del trattamento deve porre l’attenzione sulla propria organizzazione ed effettuare a sua volta una valutazione circa l’impatto che una eventuale perdita di dati o l’impossibilità temporanea di accedere agli stessi avrebbero sulla propria attività e sui tempi di recupero del sistema, realizzando, a sua volta un idoneo piano di emergenza e di recupero.
L’importanza del backup
Di particolare importanza è, ad esempio, adottare un adeguato sistema di backup che sia separato sia fisicamente che informaticamente dal cloud, così’ da mantenere l’accessibilità ai propri dati nonostante l’inutilizzabilità del sistema principale.
Anche in questo ci è di aiuto l’esperienza di molti clienti di OVH i quali, affidandosi unicamente al servizio di backup fornito dal provider, si sono trovati a non aver più alcun accesso ai propri dati sensibili, con tutti i problemi che ne sono conseguiti.