Cloud e sicurezza. Scenario e prospettive Gabriele Faggioli Presidente Clusit (Associazione Italiana per la Sicurezza Informatica) Adjunct Professor MIP-Politecnico di Milano Membro del Group of Expert in cloud computing contracts (Commissione Europea) 8 luglio 2015
Cloud scenario e prospettive COMMISSIONE EUROPEA - COMUNICATO STAMPA Bruxelles, 27 settembre 2012 Agenda digitale: una nuova strategia per stimolare la produttività delle imprese e della pubblica amministrazione europee attraverso la nuvola informatica (cloud computing) La nuova strategia della Commissione europea che si propone di sfruttare al meglio il potenziale della nuvola informatica in Europa prevede iniziative intese a realizzare entro il 2020 un guadagno netto pari a 2,5 milioni di nuovi posti di lavoro in Europa e un aumento annuo del PIL dell UE corrispondente a 160 miliardi di euro (circa l 1%). Per nuvola informatica si intende la memorizzazione di dati (come file di testo, immagini e video) e di software su elementi remoti ai quali gli utenti accedono via internet utilizzando il dispositivo che preferiscono. Si tratta di una modalità più rapida, economica, flessibile e potenzialmente più sicura rispetto al ricorso a soluzioni informatiche locali.
EU Commission Cloud Computing Strategy Implementation The Commission aims at enabling and facilitating faster adoption of cloud computing throughout all sectors of the economy which can cut ICT costs, and when combined with new digital business practices, can boost productivity, growth and jobs
Cloud scenario e prospettive Alcuni spunti di interesse da analizzare Gruppo di Lavoro Articolo 29 Parere 05/2012 - Cloud Computing La mini guida del Garante del giugno 2012 Proteggere i dati per non cadere dalle nuvole La normativa italiana e comunitaria in materia di trasferimento di dati personali all estero La nuova certificazione ISO 27018 I lavori del Gruppo di esperti della Commissione Europea sul cloud computing e la Survey 2014 condotta dall Osservatorio Cloud & ICT as a Service
Cloud scenario e prospettive Alcuni elementi di riflessione: Al momento non sembra in agenda un intervento normativo specifico Resta fermo l obbligo di dare pieno adempimento alla normativa vigente: occorre di volta in volta affrontare i temi legali e contrattuali sottesi al cloud La gestione della filiera è estremamente complessa soprattutto per i provider di respiro internazionale È necessario effettuare una due diligence preventiva e in corso di rapporto I fornitori devono maturare nello sforzo di creare «trust» con i clienti. I contratti di cloud computing appaiono spesso «unfair» e disincentivanti Come affermato dall On. Soro, il cloud pone problemi di sicurezza molto rilevanti: come per esempio nella Circolare 263/06 aggiornamento luglio 2013 il cloud sembra ancora «fare paura»
Cloud scenario e prospettive I consigli operativi del Garante Il Garante consiglia di fare una valutazione dei rischi, costi e benefici preventiva rispetto all utilizzo di servizi cloud. Ricordando che quasi tutte le altre società che offrono servizi e infrastrutture cloud si avvalgono di aziende leader mondiali, il Garante sottolinea la potenziale riduzione della capacità negoziale di una singola impresa o di una piccola amministrazione pubblica. In questi casi, il Garante consiglia di adottare misure alternative come per esempio il consorziarsi con altri soggetti pubblici o imprese che hanno le medesime esigenze (ad esempio tramite le associazioni di categoria) al fine di ottenere capacità contrattuale maggiore. Secondo il Garante, comunque, anche i fornitori cloud potrebbero trarre nuove opportunità dalla definizione di clausole pro-privacy o da una eventuale preventiva certificazione indipendente sul rispetto della normativa europea sulla protezione dei dati personali per i servizi da loro offerti.
Cloud scenario e prospettive I consigli operativi del Garante Quali sono le misure di sicurezza adottate dal fornitore per proteggere i dati? Chi è il reale fornitore del servizio che si sta acquisendo? Si tratta di una singola società o di un consorzio di imprese? In caso di problemi al collegamento Internet, è comunque possibile continuare a usufruire dei servizi senza l accesso al cloud? In quanto tempo può essere ripristinato il sistema? Esistono piani di emergenza per i servizi essenziali? È possibile che i dati sul cloud possano essere persi o distrutti? Esistono garanzie di riservatezza per i nostri dati nel caso in cui un concorrente condivida gli stessi servizi cloud? In quale Stato sono conservati i dati caricati sulla nuvola? È possibile scegliere di usufruire di server collocati solo in territorio nazionale o in Paesi dell Unione europea? La tecnologia utilizzata dal fornitore di cloud è di tipo proprietario? I dati possono essere esportati facilmente? Nel caso in cui si accerti una violazione o la perdita dei dati, il fornitore garantisce un pronto risarcimento del danno?
Cloud scenario e prospettive Il decalogo del Garante Effettuare una verifica sull affidabilità del fornitore Gli utenti dovrebbero accertare e valutare: l esperienza, la capacità e l affidabilità del fornitore; - la struttura societaria del fornitore, le referenze, le garanzie di legge offerte in ordine alla confidenzialità dei dati e alle misure adottate per assicurare la continuità operativa a fronte di eventuali e imprevisti malfunzionamenti; - Gli utenti dovrebbero valutare, inoltre, le caratteristiche qualitative dei servizi di connettività di cui si avvale il fornitore in termini di capacità e affidabilità; - Il cliente deve valutare l impiego da parte del fornitore di personale qualificato, l adeguatezza delle sue infrastrutture informatiche e di comunicazione, la disponibilità ad assumersi una responsabilità risarcitoria in caso di eventuali falle nel sistema di sicurezza o di interruzioni del servizio Importanza delle certificazioni indipendenti (es. ISO)
Cloud scenario e prospettive Il decalogo del Garante (e dell Opinion 5/2012 Article 29 Data Protection Working Party) Porre attenzione alla clausole contrattuali È importante valutare l idoneità delle condizioni contrattuali per l erogazione del servizio di cloud con particolare riferimento: agli obblighi e alle responsabilità in caso di perdita, distruzione o illecita diffusione dei dati custoditi nella nuvola; alle modalità di esercizio del diritto di recesso; alla possibilità di migrare ad altro fornitore; alla previsione di livelli di servizio e relative penali per l ipotesi di violazione; al trattamento dei dati, e specificamente: accesso ai dati e clausola di riservatezza; Logging ed auditing del trattamento; Misure tecniche ed organizzative volte a garantire la disponibilità, l integrità e la riservatezza dei dati; al subappalto, e in particolare: previo consenso al subappalto da parte del titolare del trattamento; obbligo di informare il titolare dell eventuale modifica dei subappaltatori, a fronte del diritto del titolare di opporsi o risolvere il contratto; responsabilità del fornitore per le violazioni poste in essere dai propri subappaltatori.
L influenza dei contratti Cloud Sono stati analizzati e non vi è stata alcuna criticità 44% 51% Sono stati analizzati e, poiché contenevano previsioni non soddisfacenti, abbiamo provato a negoziarli o non abbiamo stipulato il contratto Sono stati analizzati e, seppur contenenti previsioni non soddisfacenti, il contratto è stato comunque stipulato 4% 1% No, non sono stati analizzati Dalla survey erogata alle PMI: «I contenuti contrattuali hanno influenzato la scelta della sua organizzazione di stipulare o meno un contratto con un fornitore di servizi di Public Cloud?»
La complessità dei contratti Cloud 3% 5% Molto chiari e trasparenti Abbastanza chiari anche se troppo lunghi e complessi 31% In gran parte difficilmente comprensibili 61% Non chiari: troppo lunghi e complessi Dalla survey erogata alle PMI: «La sua organizzazione come giudica i contratti proposti dai fornitori di servizi di Cloud Computing, in merito a trasparenza e chiarezza dei contratti?»
Le clausole contrattuali unfair 5% 4%3% Limitazione di responsabilità in caso di perdita dei dati 22% 37% Diritto alla sospensione del servizio Assenza di obblighi in merito ai termini di intervento in caso di problematiche Assenza o insufficienza dei meccanismi di penalizzazione Tassi di interesse in caso di ritardo dei pagamenti 29% Diritto alla modifica unilaterale del contratto Dalla survey erogata alle PMI: «Nei contratti proposti dai fornitori di Cloud Computing quali sono le clausole che tipicamente la sua organizzazione trova non corrette, in quanto troppo favorevoli al fornitore?»»
Diritto di modifica unilaterale dei termini contrattuali 13% Clausole che attribuiscono al fornitore un diritto di modifica unilaterale delle condizioni generali di contratto e/o delle specifiche tecniche del servizio Assenza di clausole relative alle modificazioni unilaterali 52% Clausole che attribuiscono al fornitore un diritto di modifica unilaterale dei canoni di servizio 35%
La limitazione/esclusione di responsabilità 5% 5%3%3% 5% 8% 14% 27% 30% Clausole di generica esclusione di responsabilità Clausole che limitano il danno risarcibile ai canoni corrisposti nei 12 mesi precedenti Clausole che limitano il danno risarcibile alla minor somma tra un importo predeterminato e i canoni corrisposti per il servizio Clausole che limitano il danno risarcibile all'importo complessivo dei canoni già corrisposti Clausole che limitano il danno risarcibile ai canoni corrisposti nei 6 mesi precedenti Clausole che limitano il danno risarcibile ad un importo predeterminato Assenza di clausole di esclusione o limitazione di responsabilità Clausole che limitano il danno risarcibile ai canoni corrisposti nei 3 mesi precedenti Clausole che limitano il danno risarcibile ai canoni corrisposti nell'ultimo mese di servizio
Il diritto alla sospensione del contratto 18% Clausole che attribuiscono al fornitore il diritto di sospendere il servizio al ricorrere di una o più circostanze contrattualmente determinate Assenza di clausole che prevedano un diritto di sospensione del servizio 27% 55% Clausole che attribuiscono al fornitore il diritto di sospendere il servizio a propria esclusiva discrezione, anche in assenza di una giusta causa
La trasparenza dei siti dei Cloud provider 27% 2% Molto accessibile, è stato sempre trovato tutto quanto di interesse con Sono accessibili, ma sono spesso troppo poche o troppo confuse 6% 65% Sono abbastanza accessibili anche se spesso si è avuto difficoltà a trovare le informazioni necessarie per scegliere Non sono facilmente reperibili, sono troppo tecniche Dalla survey erogata alle PMI: «La sua organizzazione come giudica le informazioni inerenti le tematiche contrattuali che è possibile reperire sui siti dei fornitori dei servizi di Cloud Computing, in merito a trasparenza?»
La reperibilità dei dati Informazione Informazioni sul fornitore Utilizzo di subfornitori (con indicazione di Utilizzo di subfornitori elementi identificativi e di localizzazione Trattamento e e riservatezza dei dati personali Esclusione Esclusioni o limitazione o limitazione di responsabilità di responsabilità del fornitore del fornitore Diritto di recesso a favore del fornitore di Diritto di recesso a favore del fornitore di servizi Cloud servizi cloud Possibilità Possibilità di switching di switching alla cessazione alla cessazione del contratto del contratto e portabilità e portabilità dei dati dei dati Durata del del contratto e e rinnovo tacito Costi del servizio e principali condizioni Costi del servizio e principali condizioni economiche economiche (modalità di pagamento, cadenza Penali SLA Localizzazione geografica dei di data Data center Center 0% 20% 40% 60% 80% 100% Dato non trovato Per nulla reperibile Abbastanza reperibile Molto reperibile Campione 60 servizi Cloud internazionali
La semplicità di comprensione Informazione Informazioni sul fornitore Utilizzo di subfornitori (con indicazione di Costi del servizio e principali condizioni economiche elementi identificativi e di localizzazione Trattamento Localizzazione e riservatezza geografica dei dei dati Data personali Center Esclusioni o limitazione Utilizzo di responsabilità di subfornitori del fornitore Diritto di recesso a favore del fornitore di servizi cloud SLA Possibilità di switching alla cessazione del Durata del contratto e rinnovo tacito contratto e portabilità dei dati Trattamento Durata e del riservatezza contratto dei e rinnovo dati personali tacito Costi del servizio e principali condizioni Esclusione o limitazione di responsabilità del fornitore economiche (modalità di pagamento, cadenza Diritto di recesso a favore del fornitore di servizi Penali Cloud Penali SLA Possibilità di switching alla cessazione del contratto Localizzazione geografica di data center e portabilità dei dati 0% 20% 40% 60% 80% 100% Per nulla reperibile Abbastanza reperibile Molto reperibile Campione 60 servizi Cloud internazionali
La completezza dell informazione Esclusione o limitazione di Informazione responsabilità sul del fornitore Utilizzo di subfornitori (con indicazione di Trattamento e riservatezza dei dati personali elementi identificativi e di localizzazione Trattamento e riservatezza Informazioni dei dati sul personali fornitore Esclusioni o limitazione di responsabilità del SLA fornitore Diritto di recesso a favore del fornitore di Localizzazione servizi geografica cloud dei Data Center Possibilità di switching alla cessazione del Penali contratto e portabilità dei dati Diritto di recesso Durata a del favore contratto del fornitore e rinnovo di servizi tacito Cloud Costi del servizio e principali condizioni Costi del servizio e principali condizioni economiche economiche (modalità di pagamento, cadenza Possibilità di switching alla cessazione del contratto Penali e portabilità dei dati Utilizzo di subfornitori SLA Localizzazione Durata del geografica contratto e di rinnovo data center tacito 0% 20% 40% 60% 80% 100% Per nulla reperibile Abbastanza reperibile Molto reperibile Campione 60 servizi Cloud internazionali
La trasparenza dei siti Informazione Informazioni sul fornitore Utilizzo di subfornitori (con indicazione di Utilizzo di subfornitori elementi identificativi e di localizzazione Trattamento e e riservatezza dei dati personali Esclusione Esclusioni o limitazione o limitazione di responsabilità di responsabilità del fornitore del fornitore Diritto di recesso a favore del fornitore di Diritto di recesso a favore del fornitore di servizi Cloud servizi cloud Possibilità Possibilità di switching di switching alla cessazione alla cessazione del contratto del contratto e portabilità e portabilità dei dati dei dati Durata del del contratto e e rinnovo tacito Costi del servizio e principali condizioni Costi del servizio e principali condizioni economiche economiche (modalità di pagamento, cadenza Penali SLA Localizzazione geografica dei di data Data center Center 0% 20% 40% 60% 80% 100% Dato non trovato Per nulla reperibile Abbastanza reperibile Molto reperibile Campione 60 servizi Cloud internazionali