Sicurezza delle infrastrutture critiche: cosa abbiamo da imparare dall’incendio OVH - Cyber Security 360

LA RIFLESSIONE

Sicurezza delle infrastrutture critiche: cosa abbiamo da imparare dall’incendio OVH

Parlando di sicurezza delle infrastrutture critiche abbiamo molto da imparare dall’incidente al datacenter OVH, soprattutto in questo momento storico di profonda evoluzione degli asset IT e alla luce delle nostre abitudini cambiate da un anno a questa parte con la massiccia migrazione verso il cloud. Il punto

07 Apr 2021
L
Andrea Lorenzoni

Expert Cybersecurity Analyst, Forensics, Automotive & Training presso CyberFVG.it

Anche se la notizia dell’incendio di Strasburgo che ha distrutto un datacenter OVH ha certo avuto un risalto mediatico notevole, tuttavia ancora non ho letto le giuste riflessioni sull’accaduto e in particolare sulla sicurezza delle infrastrutture critiche. E ciò che è apparso sulla stampa internazionale è stato tanto dovuto quanto scontato.

Ed io non voglio essere inutilmente prolisso poiché non sono uno di quelli che cavalcano la notizia per esporre al pubblico ludibrio chi o quanti, in tutta questa vicenda, hanno commesso in buona fede degli errori.

Abbiamo da imparare? Ovviamente sì. Insomma, tutti i risvolti che si aprono in seno al trattamento dei dati sono chiari e chi, in materia, è esperto oppure chi si voglia cimentare nello studio del GDPR per trarne un caso di studio è bene accetto.

Ma la lezione che bisogna trarne è profonda e va letta soprattutto in questo momento storico di profonda evoluzione degli asset IT di tutto il mondo e anche alla luce delle nostre abitudini che sono venute a cambiare da un anno a questa parte.

Una nuova realtà IT, compromesso tra cloud e on premise

Poco tempo fa avevo dedicato alcune riflessioni sul mondo del cloud che ritengo, alla luce di questo ultimo incidente, più che attuali. Tengo a precisare che progettare una realtà IT che sia il risultato ponderato di un compromesso tra il cloud e l’on premise rappresenta, secondo me, il futuro delle infrastrutture di gestione dati.

Come avevo accennato, tale progettazione deve essere effettuata contestualizzando la propria realtà attuale proiettata nel tempo per comprendere come i dati possano essere trattati garantendo la piena sostenibilità politica, economica e ambientale. Traspare che tale progettazione deve essere affidata a professionisti che, tra i primi step, devono relazionarsi con i possibili fornitori ed esaminare le garanzie che essi promettono.

Utili riflessioni sulle infrastrutture cloud

Qui, a mio avviso, gioca una delle riflessioni. Perché è vero che il cloud è un modello ormai di riferimento per lo sviluppo di infrastrutture però, nel concetto semplicistico di “utilizzo lo storage di qualcun altro” si nascondono alcune insidie:

  1. Questo “qualcun altro” garantisce il backup dei miei dati?
  2. Sono veramente ridondanti geograficamente oppure, in realtà, il server di backup è nel rack adiacente a quello core?
  3. Ma come faccio a controllare?

Per prima cosa, queste strutture devono essere compliance con una normativa di costruzione ben specifica che indica, già di per sé, di fronte a cosa ci troviamo. In più, il modello contrattuale dell’offerta deve prevedere l’accettazione di audit di parte. Mi spiego.

Ci sono aziende, in tutto il mondo come in Italia, che nel loro processo di qualificazione per gli aspiranti fornitori devono accettare la possibilità che vengano inviati in sede professionisti incaricati di svolgere audit per la verifica della sussistenza dei requisiti economici, tecnici nonché etici.

Ormai tale pratica dovrebbe considerarsi la normalità dove il fornitore ha tutto l’interesse a sottoporsi all’audit anche per una verifica di “terza parte” del lavoro dei proprio professionisti.

Sembra troppo? Anche no. Perché se io sono intenzionato a pagare un servizio con determinate garanzie, voglio essere sicuro che tali siano reali e non attendere un possibile incidente per accorgermi che sto pagando qualcosa che non ho. Ma anche se non così in malafede, sto pagando per un servizio che è allineato alle mie reali esigenze? L’offerta è sufficientemente trasparente? Quindi, tutti i clienti coinvolti nell’incendio di Strasburgo quali servizi hanno sottoscritto?

Serve trasparenza nelle indicazioni dei servizi offerti

Diciamo che trasparente e immediata dovrebbe essere l’indicazione del servizio che vado a sottoscrivere, senza il bisogno di dover leggere pagine e pagine di clausole di limitazione di responsabilità. Che per l’inciso vengono lette spesso quando ormai è troppo tardi.

Insomma, io non giudico il fatto che un’azienda vuole ottenere il massimo profitto da un investimento importante, ma posso opinare la mancanza di informazione. Per il principio secondo il quale chi compra l’ultimo modello della Ferrari è ben cosciente che non pagherà l’importo di un’utilitaria, è obbligatorio che chi sfoglia i servizi che io propongo abbia subito l’indicazione di ciò che sta comprando e delle garanzie annesse e connesse, tra le quali anche la porzione di infrastruttura in uso per quel servizio.

Vista l’enorme quantità di offerta sul mercato, ritengo sia prima dovere di chi vende avere la massima trasparenza sui propri prodotti e servizi ed in un secondo tempo sia dovere di chi compra approfondire ulteriormente in base alle proprie necessità. Ma ciò anche per una garanzia di buona fede di chi compra e di limitazione di responsabilità di chi vende. Hai avuto tutte le informazioni necessarie? Bene allora non puoi lamentarti.

Sicurezza delle infrastrutture critiche: se fosse accaduto in Italia?

In più, non posso non contestualizzare questo problema se fosse accaduto nel nostro Paese, dove la legge che tutela i confini cibernetici ha delineato alcune infrastrutture critiche. Perché critiche non sono solamente quelle strutture che sono state individuate e secretate, bensì anche tutta la supply chain di quella determinata infrastruttura critica che si vedrebbe, di fatto, insistere quella “vulnerabilità” (che può essere anche una potenziale indisponibilità di dati) dalla quale ci si vuole proteggere.

Forse, e la pongo quasi come un piccolo stimolo alla riflessione, il concetto di cloud si è evoluto parzialmente e prevalentemente dal punto di vista del termine che esso vuole rappresentare. Insomma, forse più una necessità di mercato che nella priorità di profitto stenta a percepire che si è arrivati ad un livello soglia.

Livello oltre il quale ci deve essere anche una evoluzione tecnologica che, oggi, l’intelligenza artificiale ci consentirebbe di raggiungere. I modelli ci sono, anche se si contano su due dita.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5