Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Come incrementare la sicurezza nel Cloud, e i servizi Cloud fuori dall’Unione Europea

Ricardo Nardini : 14 Agosto 2023 08:00

Confrontandomi con alcuni amici di RHC il mese scorso, mi sono accorto che questo articolo poteva nascere vecchio, saltando completamente la firma del trattato internazionale di decisione di adeguatezza secondo art. 45 GDPR per esportazione di dati personali verso gli Stati Uniti d’America. Cerchiamo assieme di toccare le parti che impattano l’argomento.

Con il trattato internazionale del trattamento dei dati tra Europa e USA si è apre una nuova fase storica per il GDPR, la quale essendo storica e non conoscendo il futuro (!) non si sa ancora qualificare se sarà migliorativa o peggiorativa, ma a prescindere esso sia, andiamo avanti sulla parte tecnica del tema.

Un evoluzione inarrestabile, necessaria e conveniente

Negli ultimi anni, l’adozione di soluzioni software nel Cloud da parte delle aziende è aumentata in modo significativo. Sempre più aziende infatti, stanno investendo nella trasformazione digitale e sono migrate verso il Cloud. La transizione di un azienda verso il Cloud è un processo il quale secondo come programmato può richiedere settimane, mesi o anni in base a quanto c’è da migrare e in che modo.

La NIS2 è complessa da capire?
Non perdere tempo, segui l'anteprima gratuita del corso che stiamo preparando.Accedi quindi alla nostra Academy e segui l'anteprima del corso della durata di 30 minuti per comprendere i contenuti esclusivi che tratteremo nel corso.per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

Il Cloud è diventato uno strumento essenziale per lo sviluppo del lavoro intelligente, smartworking o ibrido, ha portato le aziende a realizzare rapidamente progetti e infrastrutture in Cloud non certo perfetti, e che si distribuiscono su più piattaforme, con ovvie conseguenze in termini di sicurezza. Serve sottolineare che molte vulnerabilità attuali su Cloud sono responsabilità di pessime migrazioni (si diceva “rapidamente”), la responsabilità delle aziende di gestione Cloud arrivano fino ad un certo punto mentre le responsabilità di chi migra iniziano proprio da quel punto in poi.

Per l’appunto la sicurezza dei dati nel Cloud è diventata uno strumento necessario e aleatorio su certi aspetti per le aziende, di cui molti non possono fare a meno. Secondo i dati Eurostat, nel 2021 il 42% delle aziende dell’UE ha utilizzato il Cloud Computing. Inoltre l’istituto statistico specifica che il 79% delle aziende utilizza il Cloud per la posta elettronica e il 68% per l’archiviazione dei dati aziendali. Il varco di sicurezza è sempre maggiore in quanto molte aziende migrano verso il Cloud inconsapevoli di creare problemi di Cybersecurity. Questo si deve per la maggior parte a migrazioni eseguite da personale IT poco qualificato per tali operazioni. La migrazione verso il Cloud prevede una preparazione e certificazione del personale cui attua la migrazione stessa. Non si può pensare per esempio che la sicurezza di una sottorete Cloud sia responsabilità di chi offre il servizio Cloud.

Tuttavia, molte aziende hanno ancora paura di questo sistema, non sanno come funziona, quanto è sicuro che i loro dati siano conservati lì, e se possono essere recuperati in caso di smarrimento. Ciò che è vero è che, nel Cloud i dati sono più sicuri che su qualsiasi altra piattaforma o sistema se correttamente migrati.

Sicurezza dei dati nel Cloud

Nonostante la falsa convinzione che i dati nel Cloud siano più esposti, lavorare con i servizi Cloud è il modello più affidabile. I servizi di Cloud Storage dispongono di un’ampia varietà di sistemi di protezione che garantiscono l’integrità e la sicurezza dei dati archiviati. Tra le principali misure di sicurezza di questi servizi Cloud possiamo evidenziare la possibilità di backup multipli su server diversi e aree diverse e regioni diverse, l’utilizzo di protocolli di accesso specializzati, metodi di doppia autenticazione per l’accesso, ruoli e permessi articolati tra i vari utenti di gestione, e che i data center in cui sono archiviate le informazioni sono conformi a moltissimi standard di sicurezza.

Tuttavia come si anticipava prima, è importante seguire una serie di suggerimenti e buone pratiche per garantire la sicurezza dei dati nel Cloud come per esempio usare la crittografia dei file sia nel Cloud che nel browser, che è essenziale per garantire che i malintenzionati o terze parti non possano accedere e utilizzare i dati archiviati, impostare bene le impostazioni sulla privacy, quindi dopo essersi registrato con un provider di servizi Cloud, cercare le impostazioni sulla privacy che consentono di specificare come condividere e accedere ai propri dati, utilizzare password sicure e complesse e autenticazione a due fattori, lo quale fornisce un enorme aumento della sicurezza nel Cloud. Ciò garantisce che anche se un malintenzionato ottiene le credenziali di accesso, non sarà in grado di completare l’accesso senza accedere al dispositivo del token.

Per di più sembra ridondante parlare sempre delle medesime prassi come non condividere informazioni personali con terze parti, utilizzare antimalware e antivirus cercando soluzioni che offrano funzionalità complete, come la cancellazione remota e il rilevamento delle minacce AI. Inoltre elevare l’attenzione come sempre di un WiFi affidabile, evitando di connettersi mai a un hotspot se non si è completamente sicuro che sia legittimo. I criminali informatici utilizzano spesso intercettori WiFi portatili e punti di accesso non autorizzati per ottenere l’accesso ai dispositivi personali, soprattutto in luoghi come bar, stazioni di treni e aeroporti. L’utilizzo di una VPN o sistema simile può aiutare a proteggersi da alcuni di questi pericoli.

Per questo motivo la sicurezza informatica che ha un ruolo fondamentale diventa fattore chiave anche nella scelta di un provider Cloud affidabile e solido. Questa scelta è alle basi per garantire la sicurezza di un’azienda. Ricordarsi sempre che un servizio di Cloud Storage è sicuro, se il suo provider lo è.

Vantaggi dell’archiviazione dei dati nel Cloud

Facciamo un sunto del vasto insieme di vantaggi, vediamo quindi i più rilevanti come l’accesso ai  dati da qualsiasi luogo che con il Cloud Storage, non è necessario essere in ufficio per accedere alle proprie informazioni, essendo possibile accedervi da qualsiasi luogo, granello fondamentale che da valore aggiunto allo smartworking o lavoro agile. Non ci sono orari di accesso tranne quando per politiche di Cybersecurity si limita gli utenti ad accedere a risorse per sicurezza aziendale. Archiviare i dati nel Cloud significa che sono sempre disponibili, senza dover rispettare l’orario d’ufficio consueto per fare query, aggiornare i dati, ecc. Quando si lavora nel Cloud, esistono misure di sicurezza adeguate per rispettare le normative e le leggi vigenti, come per esempio il GDPR e i nuovi accordi internazionali per esportazione di dati personali citati prima. Per quanto riguarda il risparmio sui costi, i servizi Cloud presuppongono talvolta solo il pagamento di un canone mensile fisso pagando solo quello che si utilizza e quando lo si utilizza, si elimineranno quindi anche le spese in infrastrutture On-Premise, manutenzione e successivi aggiornamenti. I dati risiedono completamente crittografati se correttamente protetti in fase di migrazione, inoltre le applicazioni e gli aggiornamenti di sicurezza vengono costantemente applicati, talvolta anche prima che questi aggiornamenti vengano rilasciati al pubblico, sempre in una fase di pretesting. Se correttamente adeguati, viene applicato anche il “versioning”, quindi i dati e file sono sottoposti a “ultra backup”; cioè, se vengono cancellati o persi, possono essere recuperati.

In conclusione, l’archiviazione dei dati nel Cloud comporta diversi rischi che possono essere compensati con protocolli di prevenzione e un buona prassi di migrazione. I vantaggi di questo tipo di archiviazione virtuale sono allettanti per la stragrande maggioranza delle aziende, motivo per cui il suo utilizzo è cresciuto in modo esponenziale negli ultimi anni.

I pericoli delle piattaforme Cloud fuori dagli USA o dall’Unione Europea

L’uso delle piattaforme Cloud è diventato sempre più diffuso ivi consentono alle aziende di archiviare, elaborare e condividere dati in modo efficiente, offrendo una maggiore flessibilità e scalabilità. Tuttavia, quando si tratta di affidare i propri dati sensibili a piattaforme Cloud, è fondamentale considerare attentamente la posizione geografica di queste infrastrutture e i sistemi di tutela per la privacy che vi sono adottati.

In particolare, l’utilizzo di piattaforme Cloud residenti in paesi extraeuropei o al di fuori degli Stati Uniti può comportare rischi significativi per la privacy dei dati. Molti paesi non adottano misure di protezione dei dati al pari del General Data Protection Regulation (GDPR) europeo, che offre un quadro legale e regolamentare per la gestione e la protezione dei dati personali. Senza tali regolamentazioni, i dati degli utenti potrebbero essere esposti e soggetti a utilizzi impropri.

Un aspetto critico da considerare è la possibilità che i dati archiviati su piattaforme Cloud in paesi dove lo stato può interferire nei contenuti, possano essere visionati o addirittura confiscati da potenze straniere per scopi di spionaggio industriale. In paesi con regimi autoritari o scarsa tutela dei diritti umani, le autorità governative possono richiedere l’accesso ai dati archiviati e utilizzarli per estorsione, a proprio vantaggio o per interessi nazionali, mettendo a rischio sia le aziende produttrici che i loro clienti.

L’intercettazione dei dati sensibili può avere conseguenze gravi per le imprese, tra cui il furto di informazioni proprietarie, segreti commerciali o strategie di business, che potrebbero essere utilizzate da concorrenti o da potenze straniere per ottenere vantaggi competitivi. Ciò potrebbe danneggiare la reputazione dell’azienda, causare perdite finanziarie e compromettere la fiducia dei loro partner.

Per mitigare questi rischi, è fondamentale effettuare una valutazione accurata delle piattaforme Cloud prima di utilizzarle. Gli utenti devono verificare attentamente la posizione geografica dei data center e le politiche di protezione dei dati adottate dall’azienda fornitrice del servizio Cloud. È consigliabile optare per piattaforme Cloud situate in paesi che adottano standard di protezione dei dati elevati, come l’UE o gli Stati Uniti, o paesi che hanno adottato normative equivalenti al GDPR allineati da trattati internazionali.

Inoltre, è consigliabile implementare misure di sicurezza aggiuntive per proteggere i dati sensibili. L’utilizzo di cifratura dei dati e l’adozione di soluzioni di tunneling possono aumentare la sicurezza delle informazioni archiviate nel Cloud, riducendo il rischio di accessi non autorizzati.

Come sempre la sicurezza inizia dai collaboratori stessi

Infine, è fondamentale sensibilizzare i dipendenti e collaboratori sull’importanza della sicurezza dei dati e fornire formazione regolare sulla gestione dei dati sensibili e sulle pratiche di sicurezza informatica. Gli utenti devono essere consapevoli dei rischi associati all’utilizzo delle piattaforme Cloud e devono essere formati e addestrati a riconoscere e prevenire le minacce alla sicurezza.

In conclusione, fidarsi di piattaforme Cloud situate in paesi extraeuropei o senza un sistema di tutela per la privacy come il GDPR comporta rischi significativi per la sicurezza dei dati. Il pericolo di accessi indesiderati, spionaggio industriale e violazioni della privacy è reale. Pertanto, è fondamentale valutare attentamente la scelta delle piattaforme Cloud e implementare le misure di sicurezza adeguate per proteggere i dati sensibili delle aziende e dei loro clienti.

Ricardo Nardini
Specialista elettronico in telecomunicazioni, si dedicò all'informatica dal 1987. Prestò servizio per Ericsson, Harris e Nokia. Negli anni novanta ha lavorato per clienti come Agusta, Siai Marchetti, e per Euratom (JRC) Ispra. Negli anni 2000 era IT di secondo livello presso Vodafone. Lavorò per otto anni su sistemi AS400 presso Intesasanpaolo. Attualmente è un IT System Specialist, e si occupa anche esternamente di problematiche inerenti il perimetro della sicurezza informatica e la cybersecurity.