Cloud nella PA, come coniugare risparmi e sicurezza

Nel 1969 nacque ARPAnet, il cui obiettivo ufficiale era garantire la sicurezza dei dati in caso di guerra nucleare, ma, molto più realisticamente, si prefiggeva di ottimizzare l’investimento fatto, nel campo della ricerca, in costosi elaboratori elettronici. Dai quattro elaboratori messi in comunicazione inizialmente, ARPAnet passò nel 1971 a 15 nodi, 23 host e un centinaio di utenti. L’aumentare delle potenzialità offerte da ARPAnet fece emergere il problema della velocità di trasmissione dei dati, poi risolto dalla NSF, che realizzò la prima dorsale che metteva in comunicazione i nodi con una velocità di “ben 56k”. Con la nascita della NSFnet, che offriva l’accesso alla rete con costi contenuti, gli host “online” passarono a circa diecimila. Tra il 1988 e il 1989 gli host passarono da diecimila a centomila e la NSFnet mandò in “pensione” la ARPAnet. Nello stesso anno apparve il primo WORM della storia, Morris, che compromise circa sessantamila computer connessi. Per tutta risposta, due anni dopo, le politiche di accesso a NSFnet permisero l’accesso alla rete anche ad enti con fini commerciali e la crescita del numero di host diventò incontrollabile. Stava nascendo internet e contestualmente tutte le problematiche legate alla sicurezza.

Nuove forme comunicative, offerta di servizi, disponibilità del web e divulgazione dell’ambito digitale, hanno determinato un incremento esponenziale delle minacce informatiche, nonché un conseguente aumento di possibili contromisure da mettere in campo. La spinta innovatrice, mossa da fini più o meno nobili, seppur sempre regolamentata da esigenze di mercato, non si è però mai arrestata, creando una realtà digitale che oggi, volenti o nolenti, condiziona le nostre vite e quelle di altri tre miliardi di utenti attivi.

Le attuali possibilità fornite dalla tecnologia “cloud computing” ricordano, in un certo senso, la vecchia ARPAnet; qualcosa di ancora disomogeneo o collegato a “forza”, ma che si evolve in modo forsennato, tanto che già i “visionari” prospettano un “intercloud” (Interconnected Networks si trasforma in Interconnected Clouds).

Naturalmente il cloud comporta dei rischi, espone a nuove minacce e apre nuove prospettive di fraudolenze informatiche, rendendo obsoleti tutti i modelli tradizionali di sicurezza, che fino a poco tempo fa ci davano l’illusione di essere sicuri o, quantomeno, ci fornivano la sicurezza di aver realizzato tutto il possibile per mitigare l’esposizione a un rischio specifico.

Proprio per questi motivi chi lavora nel contesto IT Security cerca di evitare l’argomento cloud esorcizzandolo con mantra a base di Firewall, IPS, DLP, Anti-Malware e qualche altra tecnologia più o meno esoterica che nessuno è mai riuscito a far funzionare efficacemente in un contesto realmente operativo, mentre chi lavora nell’ambito dell’Information Security invoca Privacy, dati personali, dati sensibili, dati mission critical e qualche migliaio di pagine di policy, linee guida, procedure, processi che inevitabilmente, dopo un primo momento di ottimistica euforia, subiscono nel tempo un inevitabile processo di semplificazione che li traduce in una sorta di gioco della palla avvelenata dove alla palla si sostituisce una mail che sposta di volta in volta la responsabilità, operativa o decisionale, sul malcapitato di turno.

Le soluzioni architetturali, le linee guida, le best practices, le politiche, gli standard e i “dogmi”, che creano il consolidato scenario della sicurezza IT, nel tempo sono migliorati nell’efficacia e, nel tempo, la loro funzione di razionalizzazione dell’effort, ottimizzazione dei tempi, conseguimento degli scopi, uniformità dei processi e semplificazione, si è trasformata in ritualismo, creando un fenomeno simile all’anomia di accezione “mertoniana”: la cieca fedeltà ai mezzi consueti (vecchi modelli di sicurezza) fa perdere di vista lo scopo iniziale (la sicurezza stessa) rendendo tali mezzi e strumenti autoreferenziali.

Per adottare il cloud bisogna innanzi tutto accettare il fatto che gli antichi archetipi della sicurezza non si possono applicare efficacemente; perfino in un Infrastructure as a Service, su cui possiamo fare molti parallelismi con un virtual datacenter, le peculiarità intrinseche del cloud computing (come l’astrazione dal contesto fisico e l’illusione di gestire direttamente un livello di trasporto tradizionale) rendono i vecchi modelli di segregazione e protezione delle applicazioni un placebo.

Se veramente si vuole affrontare la sfida che rappresenta la trasformazione da infrastruttura a servizio nella “nuvola”, allora dobbiamo essere pronti a travalicare le infrastrutture, compresi i fattori costituenti la sicurezza, poiché il perimetro delle reti su cui insistono le nostre applicazioni e che ora proteggiamo con i nostri firewall dalla “pericolosa” internet, diventa internet stessa e i contorni del suo perimetro sono evanescenti come quelli di una nuvola.

La sicurezza quindi si carica dell’onere di dover allargare la propria visibilità e controllo anche a componenti non solo avulse al contesto on-premise ma più radicalmente al contesto aziendale come ad esempio i tenant di gestione del proprio cloud che essenzialmente sono dei Cloud Service Provider ma che non per questo chi ne usufruisce può sentirsi al sicuro dagli eventuali rischi derivanti dal loro utilizzo o esonerato dal mantenere l’aderenza al proprio cogente (gli amministratori del tenant cloud sono a tutti gli effetti degli amministratori di sistema).

Il mercato ha iniziato a indirizzare molte di queste problematiche ad esempio attraverso le soluzioni Cloud Access Security Broker che si occupano di mediare l’accesso verso il proprio Cloud Service Provider e verso le proprie cloud application consentendo di applicare le proprie policy di sicurezza inerenti l’autenticazione, il single sign-on, la gestione dei profili autorizzativi, la cifratura e la “tokenizzazione” dei dati, il tracciamento e così via.

Ciò nonostante non è sufficiente pensare di adottare una soluzione di sicurezza ideata per il cloud per correre ai ripari poiché la soluzione stessa rappresenta un nuovo rischio da gestire: prendendo per esempio le soluzioni Cloud Access Security Broker, esse stesse sono un punto debole per l’accesso ai propri servizi in quanto l’indisponibilità del Broker significa l’indisponibilità di tutti i servizi protetti, pertanto le stesse soluzioni di Cloud Security sono soggette a valutazioni dei rischi connessi alla loro caratteristiche di affidabilità e resilienza intrinseche e della sicurezza dei dati che vi transitano.

In maniera analoga anche tutto il lavoro fatto in tema di linee guida e standard di sicurezza va riconsiderato alla luce dei recenti aggiornamenti degli standard consolidati come ad esempio la ISO 27018 che integra punti di attenzione derivanti dagli aspetti peculiari del Cloud agli standard ISO 27001-2 oppure il modello di Risk Assessment proposto da ENISA e lo sforzo del Cloud Security Alliance nel fornire delle linee guida di sicurezza sui paradigmi Cloud.

Com’è logico aspettarsi il tema centrale concerne la sicurezza dei dati che nel caso del cloud tiene conto di aspetti il più delle volte scontati in un contesto on premise come ad esempio: le locazioni geografiche dove si trovano o possono trovarsi i dati, l’utilizzo che ne viene fatto (ad esempio se vengono utilizzati dal provider anche solo per fini statistici), i processi che il Cloud Service Provider ha adottato per garantirne la tutela, il recupero e la riservatezza dei dati, le condizioni di servizio e la visibilità che il Cloud Service Provider permette ai propri clienti in caso di problemi e la garanzia di essere avvertiti qualora le autorità competenti richiedano l’accesso ai dati.

In parole povere, in assenza di una base normativa che regolamenti opportunamente il cloud computing tutto ruota sulla reputazione del Cloud Service Provider e sulla fiducia che è disposto a riporre il cliente nei suoi confronti.

Bisogna inoltre tenere ben presente che quando si parla del grado di sicurezza che il Cloud Service Provider può garantire ci si riferisce alla struttura del cloud non alla sovrastruttura che intendiamo creare ergo il Cloud Service Provider non ci esonera in alcun modo dal continuare a gestire la sicurezza delle infrastrutture, applicazioni e servizi indipendentemente che esse siano on premise o in cloud.

Inoltre è bene evitare di seguire la chimera del Cloud Service Provider “invincibile” poiché dietro l’astrazione del cloud computing ci sono datacenter fatti di hardware, software e persone che gestiscono l’IT. Poco importa se le dimensioni sono cento o mille volte più grandi rispetto quelle a cui tutti noi siamo abituati; i Cloud Service Provider sono gestiti allo stesso modo con cui ogni giorno vengono gestiti i datacenter “privati” delle singole organizzazioni ed affrontano le stesse problematiche fatte di misconfiguration, bug, fault hardware, errori umani e vulnerabilità. Ce ne possiamo rendere conto anche semplicemente dando una lettura sommaria al documento Cloud Computing Vulnerability Incidents prodotto dal Cloud Security Alliance che riporta in forma statistica il numero di incidenti di sicurezza occorsi nei maggiori Cloud Service Provider. Proprio per questo è di grande importanza contrattualizzare con il Cloud Service Provider scelto anche la possibilità di avere accesso a report riguardanti lo stato della sicurezza o i tentativi di attacco occorsi in un dato arco temporale. Un grande passo in avanti verrebbe fatto qualora a livello europeo si stabilisse l’obbligo per i Cloud Service Provider di condividere con le Pubbliche Amministrazioni o gli Enti Governativi le loro vulnerabilità ed i corrispondenti piani di rientro implementati.

Un IT manager deve pertanto pensare, quando si parla di cloud, che tutta l’analisi specifica del servizio che intende adottare corrisponde all’analisi di quel disclaimer che nel mondo consumer tutti noi, con estrema superficialità, accettiamo senza leggere e che quando vengono spostati i dati nel cloud il rapporto di fiducia che si crea tra cloud user e Cloud Service Provider è simile alla fiducia che ripone un paziente verso il chirurgo che lo opererà (fiducia direttamente proporzionale alla reputazione e all’esperienza del chirurgo).

La metafora del paziente e del chirurgo, per quanto inquietante, porta l’attenzione al fatto che, anche nella più semplice delle operazioni, esiste sempre un rischio e nel caso specifico il rischio risiede almeno nel danno di immagine.

Pur tuttavia, per quanto siamo abituati da tempo a pensare a conseguenze disastrose al solo nominare il termine “dati”, tanto che una delle maggiori difficoltà in un’azienda è quella di riuscire a fare una classificazione coerente dei propri dati (e per questo, spesso tutto diventa “critico”), la Pubblica Amministrazione può concretamente sfruttare il cloud computing nel raggiungimento degli obiettivi di riduzione dei costi. Basti pensare a tutte le piattaforme di carattere informativo rivolte ai cittadini che contengono dati di natura pubblica o quelle applicazioni che hanno un carico computazionale importante solo in specifici momenti dell’anno circoscritti in un arco temporale limitato.

In definitiva nel contesto cloud la sicurezza riveste un ruolo strategico che la porta sempre più vicino al business poiché la prima cosa che va valutata e definita è l’approccio verso tale paradigma, gli obiettivi che si vogliono raggiungere e le motivazioni che muovono tali obiettivi.

Un approccio al cloud compulsivo e senza una visione d’insieme concreta è fallimentare sia dal punto di vista della riduzione dei costi che da un punto di vista di sicurezza a causa della perdita di controllo derivante da uno scenario caotico e dalla crescente complessità.

Al contrario è possibile gestire un approccio alla “nuvola” cum grano salis soprattutto se la base di partenza, tecnologica e organizzativa, è predisposta all’adozione del nuovo paradigma.

Conoscere le proprie applicazioni e i dati che trattano, mantenere visibilità e controllo di quanto viene portato sulla “nuvola”, scegliere il provider di servizi cloud in base alla sua affidabilità, le sue referenze e alla visibilità che permette ai propri clienti, analizzare nel dettaglio tutti gli aspetti legati alla contrattualistica e all’aderenza al cogente sono aspetti strategici nel processo di adozione del paradigma cloud da cui nessuna Pubblica Amministrazione può esimersi.

Le difficoltà che ne derivano non sono insormontabili se l’approccio alla sicurezza si trasforma da negativo a positivo, non limitandosi quindi a evidenziare problemi e criticità ponendo veti ma partecipando attivamente e proattivamente alla ricerca di nuove soluzioni abilitanti per gli obiettivi di business che nel caso della Pubblica Amministrazione si traducono nel contenimento della spesa pubblica e nella diminuzione del digital divide.

La riduzione dei costi è possibile ottimizzando l’investimento e spostando l’effort economico dal Capex all’ Opex, un passo obbligatorio se si considera lo scenario futuro contraddistinto da un ciclo di vita dei beni tecnologici sempre meno coerente con i piani di ammortamento della Pubblica Amministrazione. Allo stesso tempo, proprio per questa velocità e corsa all’innovazione, l’offerta del mondo tecnologico è rivolta sempre più ai servizi che consentono di ritagliare la spesa sull’uso effettivo del “bene”. L’investimento sulla sicurezza deve quindi essere concentrato su infrastrutture strategiche in grado di proteggere dalle nuove tipologie di attacco, sui servizi che consentono di proteggere le nuove forme tecnologiche slegate dal contesto fisico e statico e soprattutto sulle persone che devono realizzare tutto questo, tendendo alla semplificazione e alla reale efficacia, persone capaci di fare sicurezza informatica per fronteggiare minacce non più rappresentate da brillanti studenti universitari o script kiddies ma da una criminalità organizzata e globalizzata.

Oggi il cloud è una realtà come lo era ARPAnet negli anni ’80, l’esistenza di rischi vecchi e nuovi non fermerà il suo sviluppo, come Morris non fermò lo sviluppo di NSFnet alla fine degli anni ’80.

Procrastinarne l’adozione attendendo che nasca un “cloud a prova di cloud” significherebbe per la pubblica Pubblica Amministrazione un ulteriore aumento del digital divide che l’affligge e rimanere legata a vecchie dinamiche di mercato senza almeno tentare di ottimizzare i costi attraverso l’uso responsabile delle nuove tecnologie che in questo periodo storico più che un obiettivo è un dovere morale nei confronti dei cittadini.

Per supportare la Pubblica Amministrazione verso questo percorso la sicurezza informatica deve avere il coraggio di mettere in discussione i vecchi modelli, abbandonare il proprio sistema di credenze e ritrovare il gusto della sfida intellettuale rappresentata dal porsi dei problemi che nessuno si è ancora posto e trovarvi la soluzione.