Il cloud computing ad oggi è un argomento ampiamente discusso, che abbraccia molti settori, dalla ricerca, al mondo accademico, a quello industriale. Il paradigma del cloud ruota attorno a enormi quantità di dati elaborati e archiviati su server remoti e alla comodità e accessibilità di un vasto insieme di risorse informatiche condivise. Per le aziende, il rapido sviluppo del cloud ha portato una maggiore flessibilità, riduzione dei costi e scalabilità delle risorse IT, ma anche nuovi problemi e sfide dal punto di vista della privacy e della sicurezza.
Nel corso di questo articolo saranno delineate le caratteristiche principali dei concetti di cloud e di privacy, verranno illustrate quali sono le sfide e le problematiche principali e infine verranno dati dei consigli su come proteggere la privacy dei propri dati sul cloud.
Indice degli argomenti:
I concetti di cloud e privacy
Il cloud computing consiste nella distribuzione on-demand di risorse IT tramite Internet, con tariffe flessibili basate sul consumo effettivo di tali risorse. I tre tipi principali di cloud computing sono l’Infrastructure as a Service (IaaS), il Platform as a Service (PaaS) e il Software as a Service (SaaS). L’IaaS generalmente fornisce accesso a funzionalità di rete, computer (virtuali o su hardware dedicati) e spazi di archiviazione dati. Il PaaS invece risolve il problema della gestione dell’infrastruttura (in genere hardware e sistemi operativi). Il SaaS, infine, offre un prodotto completo che viene eseguito e gestito direttamente dal fornitore di servizi cloud (Cloud Service Provider – CSP). Nella maggior parte dei casi, si tratta di applicazioni per utenti finali (ad esempio Gmail). In questo modo le aziende (o i privati) devono solo pensare a come utilizzare il software specifico e non alla sua gestione. Il concetto di Privacy è un concetto complesso, che trova le sue origini nell’Antica Grecia e che si è andato via via sviluppando fino ad oggi, dove, nell’era digitale, rappresenta un concetto chiave e imprescindibile. In italiano si può tradurre con riservatezza o privatezza. La privacy indica, nella sua accezione più generica, la vita personale, privata, dell’individuo o della famiglia. Costituisce un diritto e va perciò rispettata e tutelata. Con le tecnologie cloud, come abbiamo visto, le aziende e i privati delegano al CSP la gestione delle risorse e dei dati, che raggiungono, in forma aggregata, quantità enormi. È chiaro che sorge il problema della tutela di questi enormi quantitativi di dati.
Sfide per la privacy
Il cloud computing presenta dunque dei nuovi problemi per la sicurezza e la privacy perché, come illustrato nel paragrafo precedente, i CSP (come AWS, Azure, Google Cloud ecc.) possono avere accesso ai dati degli utenti e perché, conservando nei propri data center una quantità enorme di dati, rappresentano un target ideale per i malintenzionati.
I principali problemi di privacy riguardano la fiducia (usi non autorizzati dei dati), l’incertezza e conformità alle regolamentazioni nazionali.
Di seguito sono riportati alcuni aspetti che illustrano al meglio le problematiche di privacy legate al mondo del cloud:
- Mancanza di controllo da parte dell’utente – Quando viene utilizzato un prodotto SaaS, il CSP diventa responsabile dell’archiviazione dei dati, imponendo di fatto un limite alla visibilità e al controllo dei dati da parte degli utenti.
- Mancanza di formazione ed esperienza – Le persone potrebbero non comprendere fino in fondo l’impatto sulla privacy di alcune decisioni che prendono. È importante attuare procedure di formazione e di gestione adeguate, per effettuare una migrazione sui servizi cloud che sia consapevole e sicura.
- Utilizzo non autorizzato – Esiste il rischio che i dati archiviati o elaborati nel cloud possano essere utilizzati senza autorizzazione. Il modello di business di alcuni fornitori di servizi cloud prevede infatti di ottenere una rendita dall’utilizzo dei dati degli utenti, principalmente attraverso marketing e annunci pubblicitari.
- Complessità della conformità normativa – A causa della natura globale del cloud computing e delle numerose legislazioni in vigore in tutto il mondo, può essere complesso e difficile garantire la conformità a tutta la legislazione applicabile in un determinato caso.
- Trasferimento dei dati fuori dall’Unione Europea. Il General Data Protection Regulation (GDPR) definisce regoleprecise per il trasferimento dei dati personali fuori dall’Unione europeo. Nel 2022, è stato concordato, fra UE e US, un nuovo framework per il trasferimento dei dati denominato: “Trans-Atlantic Data Privacy Framework”, in sostituzione del “Privacy Shield”.
Come proteggere la nostra privacy sul cloud?
Di seguito alcune linee guida per effettuare una migrazione consapevole al cloud:
- Scegliere il CSP giusto. Gli utenti dovrebbero accertarsi dell’affidabilità e delle policy del CSP prima di trasferire su di esso i propri dati più preziosi. Sarebbe buona norma documentarsi e leggere i “Service Terms”.
- Assicurarsi che i dati siano disponibili in caso di necessità. È opportuno accertarsi che il CSP offra adeguate garanzie di riservatezza e di continuità operativa. Per quanto riguarda le aziende di servizi o della pubblica amministrazione che intendano effettuare una migrazione sul cloud, è importante che possano avere la possibilità di conservare una copia dei dati allocati sul cloud, in particolare di quelli la cui perdita o indisponibilità potrebbe causare danni, non solo economici o di immagine: si pensi a dati particolarmente delicati come quelli di tipo sanitario o giudiziario.
- Scegliere con cura i dati da trasferire sul cloud. Alcune informazioni, come quelle coperte da segreto industriale e tutti i dati sensibili (ad esempio quelli relativi alla salute) richiedono, per loro intrinseca natura, particolari misure di sicurezza.
- Informarsi su dove risiederanno i dati, una volta sul cloud. È importante sapere dove si trovano i server sui quali verranno elaborati i dati. Tale informazione può essere determinante per stabilire la giurisdizione e la legge applicabile nel caso di controversie ma soprattutto per verificare il livello di protezione, in termini di privacy, assicurato ai dati.
- Verificare le misure di sicurezza. Accertarsi che i CSP utilizzino modalità di archiviazione e trasmissione sicure, mediante tecniche crittografiche, accompagnate da robusti meccanismi di controllo degli accessi.
Conclusioni
Il cloud computing presenta innumerevoli vantaggi ma anche delle sfide, soprattutto per le aziende che devono soddisfare diverse normative globali in materia di privacy e conformità.
Le problematiche maggiori che presenta il cloud in materia di privacy sono quelle legate al flusso dei dati, alla responsabilità e alla difficoltà nel conoscere i confini geografici entro i quali vengono processati i dati e quali server o dispositivi di archiviazione specifici verranno utilizzati. Inoltre, vi è l’importante questione della perdita di controllo dei propri dati personali.
È sempre importante quindi, anche per le singole “persone fisiche” oltre che per le aziende, effettuare delle scelte consapevoli, conservare con cura i propri dispositivi e le informazioni contenute in essi e adottare tutte le misure di sicurezza necessarie ad impedire gli accessi non autorizzati.