Un cloud tutto italiano per la Pubblica Amministrazione: non è utopia - FPA

Un cloud tutto italiano per la Pubblica Amministrazione: non è utopia

Home PA Digitale Sicurezza Digitale Un cloud tutto italiano per la Pubblica Amministrazione: non è utopia

Usare il Cloud per i dati sensibili, soggetti alle norme di tutela della privacy, apre un problema non tecnologico, ma economico.
La normativa europea in materia di
privacy fornisce molte garanzie ai cittadini, però molti fornitori di servizi Cloud non sono europei

15 Marzo 2016

B

Bruno Crispo, Università degli studi di Trento

Con la digitalizzazione della pubblica amministrazione e di importanti infrastrutture critiche sia pubbliche sia private la quantità di atti e informazioni digitali da gestire e memorizzare è in continua crescita. La necessità di usare un’infrastruttura Cloud per la loro memorizzazione, a volte anche permanente, è chiara. Il Cloud permette sia di abbattere i costi rispetto ad una gestione in-house sia di avere soluzioni ad alta affidabilità, sempre aggiornate dal punto di vista tecnologico. Fortunatamente, il mercato offre molte soluzioni Cloud per le diverse esigenze per cui non ci dovrebbero essere problemi.

Non tutte le pubbliche amministrazioni sono però uguali e soprattutto non tutte le informazioni lo sono. Tra tutti queste informazioni ce ne sono alcune particolarmente sensibili e importanti a tal punto da diventare un asset strategico di interesse nazionale e quindi da proteggere per evitare che possano essere rubate o vendute a chi potrebbe usarle a proprio vantaggio. Da qui il dibattito sulla necessità di un Cloud “italiano”; cosa purtroppo molto più facile a dirsi che a farsi.

Rendere italiana la gestione e l’amministrazione di un Cloud è possibile, anche se ha dei costi aggiuntivi. Gestione e amministrazione da sole non possono garantire la protezione dei dati se non si ha anche il controllo della tecnologia, software e hardware, che sta alla base della fornitura dei servizi di Cloud. Qui la cosa si fa complicata e in particolare per l’hardware le cose sono davvero difficili. Oggi l’harwdare è spesso costruito e assemblato in paesi che potrebbero essere quelli da cui vogliamo difenderci. Dico probabilmente, perché come scrisse in un suo libro qualche anno fa Thomas Friedman , il mondo è piatto e fluido, per cui diventa difficile addirittura identificare da dove arrivano tutti i componenti utilizzati e quindi chi potenzialmente potrebbe avere accesso o distruggere i nostri dati. Il problema di rilevare la presenza di possibili cavalli di troia o componenti malevoli nell’ hardware è un problema tutt’ora non risolto.

Il problema dell’accesso non autorizzato ai dati, invece è teoricamente più semplice e risolvibile crittografando i dati. La cifratura end-to-end permetterebbe di proteggersi anche da hardware malevolo. Esistono diverse tecniche crittografiche di ultima generazione (non solo crittografia omomorfa) che consentono di processare i dati in forma cifrata per cui i dati non sono mai esposti in chiaro al fornitore dei servizi Cloud. Sfortunatamente ad oggi nessuno di questi servizi sul mercato implementa queste tecniche. Tutti i fornitori di Cloud forniscono cifratura a livello di trasmissione dei dati, in modo da garantirne la protezione contro attacchi quando i dati sono in transito sulla rete. Ma una volta arrivati sul Cloud, i dati sono processati in chiaro (ad esempio quando si fa una ricerca) dal fornitore del Cloud.

Il problema della persistenza dei dati contro possibili cancellazioni malevole si mitiga invece mediante un principio antico ma sempre valido: ridondanza, quindi dati replicati su più fornitori di Cloud indipendenti.

E’ evidente che gestire con questi livelli di sicurezza le informazioni aumenta i costi. La soluzione è eseguire dettagliate analisi dei rischi per valutare tra tutti i dati della pubblica amministrazione quali sono quelli per cui ha economicamente senso applicare questi elevati livelli di sicurezza. Le informazioni che rappresentano un asset strategico non sono probabilmente molti e per questi si può pagare un prezzo maggiore.

Resta, però il grande problema di usare il Cloud per tutti quei dati sensibili, e sono molti, a cui si devono applicare le norme di tutela della privacy. Qui il problema non è tecnologico ma puramente economico per cui forse ancor più difficile da risolvere. Questi sono dati non strategicamente importanti per lo Stato, ma che possono essere di enorme importanza per ciascuno di noi.

La normativa europea in materia di privacy fornisce molte garanzie ai cittadini, però molti fornitori di servizi Cloud non sono europei, e anche quelli che si professano tali non è detto che usino tecnologie europee o che vengano gestiti in Europa. Fortunatamente il vuoto normativo lasciato dalla decadenza dell’accordo Safe Harbour è stato colmato di recente con il nuovo accordo, Private Shield, siglato tra EU e Stati Uniti, per regolamentare la gestione dei dati sensibili dei cittadini europei. Private Shield rispetto a Safe Harbor include esplicitamente sanzioni per le aziende che non lo adottano pur trattando dati sensibili di cittadini europei. Purtroppo non è ancora implementato anche se l’Unione Europea e i singoli stati membri possono fare pressioni affinché lo sia in breve tempo.

Resta fuori da un’adeguate normativa sulla privacy quasi tutto il resto del mondo, che non è poca cosa. Un recente studio fatto nel mio gruppo di ricerca ha rilevato che analizzando le 1200 applicazioni mobili più popolari usate dai cittadini europei, solo il 23% dei server contattati da queste applicazioni risiede in Europa, mentre il 67% è negli Stati Uniti, ma solo una piccola percentuale dichiarava di implementare Safe Harbour. Il 2% dei server contattati risiede in Cina e ci sono anche un buon numero di server ad Hong Kong, in Russia e in Canada.

Il Cloud rimane una tecnologia incredibilmente utile e conveniente, di cui difficile fare a meno. Occorre solo usarlo in modo appropriato, quindi valutando che tipi di servizi Cloud sono necessari per il tipo di informazioni che occorre memorizzarci sopra e informandosi su quali normative e in che giurisdizioni questi operano.