Cloud computing – privacy e sicurezza nei social network

Bruce Schneier, uno dei maggiori esperti di sicurezza nell’IT, ha pubblicato sul suo blog alcune riflessioni riguardo la sicurezza nel “cloud computing“.

Schneier mette in luce come la sicurezza, assolti i criteri minimi essenziali, si riduca ad un concetto di fiducia.

I dati conservati nei nostri computer sono sensibili alla fiducia che riponiamo nell’affidabilità dei vari strati logici che li interessano:

1. l’hardware usato
2. il sistema operativo
3. il software
4. la rete locale
5. Internet Service Provider.

E’ interessante notare che, proprio come una casa si regge sulle fondamenta, che a loro volta poggiano sul terreno, ad ogni scalino di questa struttura ci si allontana dalla nostra capacità di intervenire sulla sicurezza dei dati ereditando i dogmi di fiducia degli scalini precedenti fino ad arrivare all’Internet Service Provider, dove la sicurezza diventa per noi esclusivamente fiducia. Non c’è più nulla che possiamo fare, dobbiamo fidarci, non dipende da noi, non abbiamo altre possibilità.

Il cloud computing, portando in outsourcing non solo i dati, ma anche le applicazioni, implica l’aggiunta di ulteriori elementi di cui fidarsi:

1. l’hardware usato
2. il sistema operativo
3. il software
4. la rete locale
5. Internet Service Provider
6. il cloud network
7. l’applicazione cloud
8. il sistema operativo del server cloud
9. l’hardware del server cloud.

Nulla di nuovo, solo altri livelli di fiducia, con una cruciale differenza: tutti fuori dal nostro controllo e responsabilità.
Che succede se improvvisamente la società di cloud computing a cui ci affidiamo dovesse fallire, chiudere o semplicemente subire un disservizio ?

Esistono due tipi di cloud-clienti:

1. quelli che usano applicazioni gratuite o quasi (Gmail, Google Docs, Facebook) e che non hanno nessuna tutela sull’improvvisa scomparsa dei loro dati
2. quelli che pagano contratti considerevoli per i loro servizi (Salesforce, Megalabs, ecc) sono più tutelati, ma nulla è dato per garantito nemmeno in questi casi.

Il fenomeno Facebook rappresenta un primo esempio di mancata sicurezza del cloud computing.
Tutte le applicazioni allacciabili al nostro profilo Facebook (vedi i calendari dei compleanni o i giochi) sono chiari esempi di cloud computing. Sono programmi che attingono ai nostri dati, su cui esercitiamo una forma di controllo decisamente minimale, ci fidiamo (e, se posso aggiungere una nota personale, facciamo male: basti vedere le politiche di Facebook secondo le quali non possiamo cancellare i dati caricati nei nostri account, ma semplicemente congelarli).

Alla Computer Freedom and Privacy Conference Bob Gellman ha detto che le 9 parole chiave del cloud computing sono:
“termini di servizio”   “location location location”    “provider provider provider”.

Questo a sottolineare l’importanza delle condizioni contrattuali della legislatura statale a cui è soggetto il servizio e l’importanza che la società con cui si sottoscrive il servizio sia qualcuno con cui si voglia avere una partnership: in fin dei conti bisognerà fidarsi se gli si vuole consegnare i nostri dati.

Per chiudere, segnalo questo link: il garante Italiano della privacy mette in guardia gli utenti dei social network, sottolineando tra le altre cose proprio questi aspetti.

E voi, quanto vi fidate della privacy dei social network?