In occasione della Giornata Mondiale per la Sicurezza in Rete, il “Safer Internet Day”, parliamo di sicurezza informatica e Cloud provider insieme all’Ing. Nicola Amoroso, Cyber Security Professional, e all’Ing. Stefano Antonelli, Project Manager Professional.
5′ di lettura
A chi spetta garantire la sicurezza informatica se il servizio è erogato utilizzando un Cloud provider?
Al titolare del servizio? Al Cloud Provider?
Fintanto che il servizio era erogato su una infrastruttura in casa del titolare del servizio, non c’erano dubbi. Ormai sempre più aziende hanno spostato le infrastrutture in cloud, acquistando un servizio da un Cloud Provider (Amazon, Google e Microsoft solo per fare i nomi dei principali player).
Ma a chi spetta garantire la sicurezza informatica? La risposta è… Dipende!
Lo scenario di riferimento
Chiariamo lo scenario a cui si sta facendo riferimento. Un’azienda offre un servizio ai suoi clienti e per erogarlo utilizza una piattaforma informatica, o semplicemente acquisisce delle informazioni, che gestisce su tale piattaforma (cioè non è necessario che il servizio sia digitale, basta che per la gestione dei clienti si debba manutenere un database con i dati degli stessi).
La piattaforma informatica dell’azienda è sul cloud, usufruendo di uno degli innumerevoli provider.
Il servizio in cloud potrebbe essere di semplice “noleggio” della componente fisica (cioè si adoperano uno o più server messi a disposizione dal provider, mentre la gestione di tutta la componente SW rimane in carico al titolare del servizio). In questo caso si parla di Infrastructure as a Service (IaaS).
Potrebbe invece essere di “noleggio” del HW e del substrato SW necessario a costruire un’applicazione (quindi il sistema operativo e i middleware utilizzati dall’applicazione), mentre lo sviluppo e la manutenzione dell’applicazione rimane in carico al titolare del servizio. In questo caso si parla di Platform as a Service (PaaS).
Infine, il “noleggio” in cloud potrebbe configurarsi come l’utilizzo dell’intera applicazione offerta dal cloud provider. Esempio tipico è Microsoft Office.365, ma anche Sales Force o SAP. La gestione, dall’applicazione all’hardware, è in carico al Cloud Provider, mentre i dati ce li mette il titolare del servizio. In questo caso si parla di Service as a Service (SaaS).
La normativa di riferimento
Prima di poter rispondere alla domanda iniziale, occorre capire qual è la normativa di riferimento: dal 2018 è operativo il GDPR (General Data Protection Regulation) che impone di analizzare la sicurezza partendo dal dato.
Il regolamento chiarisce che il titolare del servizio a cui il proprietario del dato concede il trattamento è il responsabile nei confronti della legge. In altre parole, anche se il titolare del servizio delega la gestione ad un Cloud provider, perché acquista un’applicazione in cloud totalmente governata dal provider, il responsabile unico e garante della protezione del trattamento rimane il titolare del servizio.
Allora, a chi compete garantire la sicurezza informatica?
Per rispondere alla domanda occorre considerare che la sicurezza informatica opera in diversi campi: la protezione fisica degli ambienti informatici (ad esempio i data center), le policy e le procedure per garantire la classificazione e la protezione dei dati, per la continuità e il backup dei servizi, per la sicurezza dei software e delle applicazioni, il monitoraggio e la gestione di eventi ed incidenti di sicurezza.
L’acquisto di un servizio da un Cloud provider, di fatto, delega o scarica alcuni di questi aspetti di sicurezza al Cloud Provider, ma non tutti o totalmente: essendo il titolare del servizio il responsabile per la sicurezza del dato, occorre che questo asseveri a degli obblighi.
La differenza nell’approccio alla sicurezza rispetto a quanto gestito in realizzazioni on-premises (nella sede del titolare) sta nella condivisione e ripartizione delle responsabilità per la gestione della sicurezza informatica tra l’acquirente (customer) dei servizi in cloud e l’operatore che offre tali servizi (il cloud service provider – CSP). Quindi è importante comprendere, nei vari modelli di servizi in cloud, quali sono le responsabilità degli attori in gioco per definire la strategia della sicurezza da adottare e verificare le clausole contrattuali stipulate tra le parti. Nel prosieguo si focalizzeranno tali responsabilità.
Aree di applicazione di sicurezza informatica
Nella figura che segue sono sintetizzate le aree di applicazione della sicurezza. Il modello IaaS è quello che lascia al customer il maggior controllo e responsabilità; quello SaaS, viceversa, è il modello che “scarica” la maggiore responsabilità al Cloud Service Provider (CSP).
Responsabilità della sicurezza informatica nei modelli Cloud Computing (fonte CSA)
Quindi in funzione del modello cloud adottato, effettivamente è possibile demandare al Cloud Provider la gestione e la responsabilità della sicurezza di alcune aree; ma essendo la sicurezza del dato sempre in capo al titolare del servizio, quest’ultimo avrà l’obbligo di verificare a chi affida l’elaborazione. In altre parole, il titolare del servizio deve sempre monitorare e verificare la sicurezza applicata dal provider, a partire dalle clausole contrattuali; passando dalle certificazioni ottenute dallo stesso, arriva quindi alla raccolta di log applicativi e infrastrutturali che permettano l’identificazione tempestiva di eventi ed incidenti.
Il titolare, infine, dovrà sempre garantire la sicurezza di tutto il personale, gli strumenti ed infrastrutture adottate per gestire il servizio in cloud.
E le responsabilità per i servizi di Instant Messaging (Whatsapp, Messenger, Signal, ecc.)?
I servizi di IM sono un altro esempio di Service as a Service in quanto, la responsabilità per la Data Security, spetta prevalentemente all’erogatore del servizio e, in parte all’utente finale. In questo caso particolare, il SaaS è di tipo peer-to-peer, cioè un servizio di collaborazione paritetica tra tutti i partecipanti ad un gruppo o, come si suole dire, ad una chat.
Sebbene la questione sia ancora poco dibattuta, il Service Provider, che sia Whatsapp, Messenger o Signal, è il titolare del servizio ed è responsabile per la protezione delle identità degli utenti e dei dati scambiati (vedi GDPR); d’altra parte, gli utenti devono essere consapevoli del fatto che stanno mettendo in condivisione, ognuno all’interno delle proprie chat, dati che possono essere riservati, ovvero sensibili, come ad esempio, informazioni personali, dati aziendali, immagini, video, musica e dialoghi di terze parti, e molto altro ancora.
Crittografia e cifratura
Le piattaforme citate assicurano che tutti i messaggi sono crittografati, e tutte assicurano anche che neanche loro, come erogatori del servizio, sono in grado di leggere i messaggi, ma nessuno spiega come ciò avvenga.
Per essere più chiari, nessun erogatore di questi servizi di IM ci informa se le chiavi di cifratura (le chiavi di criptazione dei dati in transito sulla rete), indipendentemente dal protocollo e dalla tecnologia utilizzata, sono presenti solo sul dispositivo dell’utente o anche sui server del fornitore del servizio: tra le due opzioni c’è molta differenza. Infatti, se le chiavi sono presenti solo sui dispositivi dell’utente, anzi, se le chiavi sono generate dal dispositivo dell’utente (smartphone, pc o tablet), allora la protezione è garantita e la responsabilità del dato è in capo solo all’utente. All’opposto, se le chiavi di cifratura sono presenti anche sui server del Service Provider, o addirittura generate dal Service Provider, le responsabilità sono in capo anche a quest’ultimo.
I Service Provider di questi servizi dovrebbero informarci anche del meccanismo di scambio delle chiavi di cifratura all’interno della chat, particolare tutt’altro che trascurabile dal momento che l’intercettazione della chiave attraverso sistemi di sniffing, largamente usati dal cyber crimine, consentirebbe ad estranei di decriptare ogni messaggio scambiato.
I nostri messaggi di WhatsApp sono nostri?
La situazione è complessa e molto fumosa e, in tutto questo c’è poi anche un vulnus esplicitamente dichiarato nel
nuovo documento di policy di riservatezza di WhatsApp, che entrerà in vigore il 15 maggio 2021 (la data dell’8 febbraio 2021 è stata posticipata perché l’European Data Protection Board sta valutando le modifiche delle policy di WhatsApp).
Infatti, WhatsApp, ma dovremmo dire Facebook, ci informa che l’utente, per usare il suo servizio di IM, deve accettare di rendere disponibili una serie di informazioni riservate come immagini, posizione geografica dell’utente, fotografie e altre informazioni, anche se l’utente non consentirà all’applicazione client di accedere alla fotocamera, alla posizione GPS o all’archivio interno al dispositivo (la posizione geografica è comunque individuabile tramite le celle di accesso al servizio di telefonia mobile). Tutto questo perché, in ogni caso, tali informazioni transiteranno e resteranno permanentemente sui server di Facebook a proprio uso esclusivo per il geo-social-marketing, e forse anche per altro.
Ma allora, la crittografia end-to-end a cosa serve? C’è un’altra considerazione che merita di essere analizzata e valutata.
Anche ammesso che WhatsApp non conosca le chiavi di criptazione dei messaggi e dei dati scambiati nelle chat e memorizzati sui server, l’erogatore del servizio sarà sempre in grado di decriptare messaggi e dati scambiati. Infatti ha a disposizione tutto il tempo che vuole e tutta la potenza di calcolo largamente disponibile da questo gigante mondiale dei Social Networks. E allora, WhatsApp si è allineato alle policy di Facebook? Assolutamente sì!
I servizi di IM sono molto simili al servizio di telefonia voce, mobile o fissa ha poca importanza. Anch’essi rientrano nella categoria SaaS, non fosse altro che per la convergenza tecnologica sui sistemi digitali (Voice over Internet Protocol o VoIP). Se la telefonia voce funzionasse secondo le policy del servizio IM di WhatsApp, dovremmo accettare che le nostre conversazioni siano registrate e memorizzate permanentemente sui server del Service Provider telefonico. Questo lo accetteremmo? Certamente no. E allora perché accettiamo tutto il resto? Meditiamo!
Bibliografia
- Cloud security alliance – https://cloudsecurityalliance.org/
- European Data Protection Board – 03/02/2021 European Data Protection Board – 45th Plenary session
- WhatsApp Ireland Ltd – 04/02/2021 Privacy Policy – Feb 2021 (whatsapp.com)
–
Nicola Amoroso, Consigliere IICBIM
Stefano Antonelli, Presidente IICBIM
