Digital Trends

I dati della PA (quindi anche nostri) sono sempre al sicuro sul Cloud?

Parafrasando un conosciuto politico italiano “L’informazione lede chi non ce l’ha” in quanto oggi il vero potere è dato dall’informazione che viene convertita, a seconda delle esigenze, in denaro e/o controllo sulle persone.

Ogni singolo individuo è responsabile per le proprie azioni e se vuole esporre la propria vita privata su Facebook o altri social network è liberissimo di farlo sapendo che tutto quello che viene messo su Internet un giorno potrebbe essere usato contro di lui.

Ma se l’intero apparato politico fosse spiato, a sua insaputa, da agenzie segrete nazionali ed internazionali?  Che impatto potrebbe avere sull’intera nazione? Secondo un articolo pubblicato di recente su Computer Weekly, scritto dal famoso giornalista investigativo Duncan Campbell e da Bill Goodwin,  intitolato “MPs’ private emails are routinely accessed by GCHQ”, sembrerebbe che in Inghilterra questo sia possibile grazie a Office365 e MessageLabs. L’articolo descrive come l’agenzia inglese di intelligence GCHQ e la NSA americana avrebbero avuto facilmente accesso a tutte le comunicazioni email dei membri del Parlamento inglese. E sembrerebbe che questa cosa stia succedendo in altre PA di altri Paesi europei, Italia non esclusa.

La scelta di implementare Office365 per il Parlamento inglese è stata fatta meno di un mese prima che Edward Snowden rivelasse quanto le aziende informatiche fossero collegate con i servizi segreti statunitensi (Microsoft è stata la prima ad essere collegata con la piattaforma di intercettazione della NSA chiamata PRISM). Malgrado il fatto che i documenti provassero che l’utilizzo della piattaforma Microsoft avrebbe potenzialmente esposto i parlamentari all’intercettazione da parte di servizi spionaggio stranieri il progetto non è stato fermato.

Sia i parlamentari che parte della comunità di professionisti di sicurezza IT avevano espresso la loro preoccupazione per una scelta “poco adatta” ad un’ambiente dove di discutono le sorti di un Paese ma Brad Smith, presidente e chief legal officer di Microsoft, si era recato personalmente in Parlamento per rassicurare tutti che i loro dati erano al sicuro. Oggi l’articolo smentirebbe queste rassicurazioni visto che nel caso in cui Microsoft riceva una NSL (National Security Letter) sarebbe costretta a fornire accesso ai dati che detiene senza opporsi.

Per aggravare ulteriormente le cose sembra sia stato scoperto che il servizio di filtering della posta elettronica del Parlamento gestito da MessageLabs, di proprietà di Symantec, avrebbe un collegamento diretto con GCHQ (rete chiamata Haruspex) dove le email possono essere filtrate in base a keywords. I servizi segreti, dal canto loro, dicono di aver accesso a tutte le email in transito per motivi di “sicurezza nazionale”.

I responsabili ICT del parlamento hanno descritto l’articolo “inaccurato, ingannevole ed irresponsabile”, affermando che le comunicazioni tra gli utenti e i servizi di Office365 sono crittografate e sicure (ignorando forse il fatto che Microsoft aveva già collaborato con la FBI per dare accesso a servizi in teoria protetti dal protocollo SSL).

Già nel 2001 un report del Parlamento Europeo (A5-0264/2001) dimostrava che i servizi segreti, come NSA e CIA, utilizzavano i loro mezzi per lo spionaggio industriale ed elencava alcuni casi in cui sarebbe stato avvantaggiato il comparto industriale americano a danno di quello europeo.

Nello stesso documento il Parlamento Europeo già si chiedeva se la sicurezza dei dati in transito verso altre nazioni fossero sufficientemente sicure, se la privacy dei cittadini europei fosse rispettata e se non fosse il caso di promuovere la comunicazione tramite email e canali crittografati per evitare le intercettazioni. Ma per qualche strano motivo nulla è stato fatto.

Anche le raccomandazioni del Working Party 29, Commissione europea che ha valutato la sicurezza dell’accordo di trasferimento dati verso altre nazioni chiamato , sono state totalmente ignorate.  Già nel documento creato nel 2012 (WP196) si diceva di valutare attentamente i rischi che il cloud pone per la Pubblica Amministrazione.

Lo spionaggio industriale è un rischio per ogni azienda, dalla multinazionale alla start-up, e può portare al fallimento di un progetto importante o alla mancata creazione di un’azienda tecnologica in Italia. Ma può succedere anche di peggio.

È di pubblico domino il fatto che alcuni Parlamentari utilizzino gli strumenti informatici in modo approssimativo visitando siti non idonei anche in aula, o scrivendo email ai/alle loro amanti, e così via.

Quando queste informazioni diventano pubbliche seguono il loro corso e possono avere conseguenze.

Ma quando queste informazioni vengono intercettate da terze parti?

Il fatto che le comunicazioni tra esponenti politici possano venire intercettate può significare fornire ad altre nazioni informazioni utili su leggi o anche idee per leggi che potrebbero essere non allineate con i loro interessi e quindi fornire un vantaggio per eventuali contromisure. Se poi le informazioni intercettate sono compromettenti per una serie di politici allora, come la stampa ogni tanto ricorda, potrebbero essere utilizzate per controllare le scelte di voto di quei politici danneggiando così gli interessi collettivi.

Purtroppo non si può fare molto contro agenzie di spionaggio con budget pari al PIL di alcune nazioni ma si potrebbe almeno evitare di rendere loro la vita così facile.

Un primo passo è stato fatto grazie all’invalidazione di Safe Harbor, l’accordo internazionale che permetteva il trasferimento di dati dei cittadini europei verso gli Stati Uniti ed altre nazioni, in quanto è stato riconosciuto dalla Corte di Giustizia Europea che lo spionaggio indiscriminato da parte degli Stati Uniti ledeva il diritto alla privacy sancito dalla Carta dei Diritti Fondamentali dell’Unione Europea.

C’è da notare che questo non è successo grazie all’interessamento dei politici, che erano ben al corrente del problema, ma c’è voluto l’impegno di uno studente di legge Austriaco di nome Max Schrems che ha portato in giudizio Facebook con una causa che riguarda tutto il comparto dei cloud providers ed il trasferimento dei dati al di fuori dell’EU.

Nella sentenza, il giudice, ha scritto chiaramente che fino a quando gli Stati Uniti non smetteranno di voler intercettare le comunicazioni in transito dall’Europa, ignorando le leggi europee e i nostri diritti alla privacy, il trasferimento dei dati verso gli Stati Uniti è da ritenersi illegale.

Purtroppo la sentenza è troppo spesso ignorata con la motivazione che rispettandola si andrebbe a danneggiare il fiorente mercato del cloud e il commercio internazionale. Rassicurazioni dovrebbero arrivare da clausole di contratti con i fornitori e dal fatto che un giorno verrà approvato il noto accordo chiamato Privacy Shield (che è stato annunciato ma già demolito per gli stessi problemi).

Peccato che le uniche cose concordate tra US e EU siano state il nome, Privacy Shield, ed il logo; nel frattempo sono passati però quattro mesi e i dati continuano a circolare senza rispettare gli accordi presi e Privacy Shield è lontano dall’essere un accordo accettabile secondo le leggi europee ed il diritto fondamentale alla privacy.

Alcuni potrebbero pensare che le esigenze di Corporation Americane, che puntano a portarci sul loro cloud per aggregare i nostri dati e che fanno del loro meglio per trasferire i profitti in paradisi fiscali, abbiano la precedenza sui diritti dei cittadini europei.

Sicuramente non aiuta il fatto che i trend creati ad arte dai media, sponsorizzati da note Corporations, sul termine fittizio “Cloud”, che viene presentato come uno strumento sicuro ed economico, e la creazione di un minimo comune denominatore come la figura del “CIO”, spesso con nessuna o poca esperienza in IT e sicurezza, hanno portato molte organizzazioni a spostare porzioni importanti delle loro infrastrutture IT su servizi che non fanno altro che creare un nuovo vendor lock-in che spesso crea costi e complessità superiori rispetto a tecnologie molto più efficienti che oggi sono disponibili.

Malgrado le campagne mediatiche e le intense operazioni di “lobbying” i cloud providers si stanno rendendo conto che gli europei non sono molto soddisfatti di dover pagare fornitori che vengono pagati anche dalle agenzie di spionaggio per i servizi forniti e stanno finalmente iniziando a costruire dei data center in Europa. Tanto che la stessa Microsoft sta costruendo un data center in Germania che darà in gestione a T-Systems di Deutsche Telecom così, anche qualora dovessero ricevere richieste di accesso alla piattaforma Azure da parte dei servizi segreti, non potranno soddisfare la richiesta in quanto non avranno accesso loro stessi. Nonostante sia giunta notizia che NSA e GCHQ siano già riusciti a penetrare nelle reti di DT.

Quali le salvaguardie che potrebbero farci fidare del cloud per dati sensibili e informazioni di interesse nazionale? 

L’Europa si sta organizzando per creare un Cloud Europeo per fornire un’infrastruttura sicura e disponibile, inizialmente per le ricerche scientifiche per poi essere aperto alla Pubblica Amministrazione.

I ridotti costi di connettività, server e software, specialmente quello Open Source e basato su Linux su cui anche il Cloud si basa, permettono oggi di creare infrastrutture IT efficienti e sicure per ogni azienda. Alcuni costi iniziali possono sembrare superiori ad una semplice sottoscrizione di un abbonamento “Cloud” ma già nell’arco di 2 anni un’infrastruttura IT ben pianificata arriva al pareggio e dal terzo anno in poi costa meno della serie di servizi cloud che possono servire.

Rimuovendo il controllo dei nostri dati dai pochi cloud provider internazionali ed iniziando a ridistribuire su migliaia di piccole infrastrutture IT basate su Open Source avremo come vantaggio il fatto che per le agenzie di spionaggio sarà più complicato ledere la nostra privacy, ma in più svilupperemo competenze con posti di lavoro locali e potremo dare un’impulso alla creazione di aziende nazionali che potranno competere a pari livello con colossi internazionali creando ulteriori vantaggi economici.

Nota: in questo articolo Microsoft Office365 e MessageLabs sono stati menzionati in quanto l’articolo originale in inglese presenta prove specifiche relative a quei prodotti/produttori. Le problematiche riportate sulla sicurezza dei dati ed il problema legale nel trasferirli al di fuori dell’Europa si applicano però anche ad altri providers.

Paolo Vecchi

Paolo Vecchi

E’ il CEO di Omnis Systems Ltd (UK) e Srl (IT) aziende specializzate nella distribuzione a valore aggiunto di soluzioni basate su Linux ed Open Source che scalano da PMI fino a coprire le esigenze della Pubblica Amministrazione.

Ha quasi 30 anni di esperienza nel settore informatico, metà dei quali trascorsi in Inghilterra, ed ha sempre cercato di promuovere innovazione più che semplici prodotti. Negli ultimi 10 anni si è dedicato a promuovere soluzioni basate sull’Open Source e Linux in quanto convinto che siano il fulcro di una nuova era non solo nel campo informatico ma anche sociale poichè elementi abilitanti di una sharing economy e di una “decentralizzazione” di Internet. Esperto di sicurezza dati e Privacy, è stato anche menzionato da testate quali The Guardian e La Stampa quando è iniziato lo scandalo Snowden/NSA, ed è sostenitore dell’utilizzo di piattaforme Open Source nelle azienda per gestire in modo più sicuro ed economico, rispetto al Cloud, la propria infrastruttura IT.

E’ anche membro e/o sostenitore di: UK Cyber Security Forum, Open Source Initiative, Open Source Consortium UK, OpenStack Community, LibreItalia.

Twitter LinkedIn 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

Inizio
Share This