"CLOUD COMPUTING E DATI: RESPONSABILITÀ, TITOLARITÀ E RISCHI”

Chi siamo

www.mmlex.it

Il dipartimento IT dello studio assiste da diversi anni società leader nel campo del cloud computing, inparticolare cloud vendors ed ha maturato unasignificativa esperienza in materia di contratti cloud.

Di cosa parliamo

• Cosa si intende per cloud computing?

Le sfide del cloud computing

Sicurezza Data Privacy

Cosa si intende per cloud computing?

• "Il cloud computing è un insieme di servizi ICT accessibili a richiesta e in modalità self-service tramite tecnologie Internet, basati su risorse condivise, caratterizzati da rapida scalabilità delle risorse e dalla misurabilità puntuale dei livelli di performance, in modo da essere consumabili in modalità pay-per-use." [Definizione del National Institute for Standards and Technology (NIST) degli Stati Uniti]

• "Il cloud computing si ha (…) quando si utilizzano servizi, o archiviazione, non presso il proprio computer ma altrove in Internet, e non in un unico centro dati ma diffusamente su tutta la rete Internet. L'utente non sa dove si trovino i propri dati o dove siano i servizi che sta utilizzando. Pertanto il cloud computing è la posta elettronica basata su web, è l'archiviazione on line ed è l'esecuzione di software non sul proprio computer ma su Internet." [Definizione fornita da un’organizzazione di consumatori nel corso dello studio sul cloud computing del Parlamento europeo]

Macrodistinzioni nel cloud computing

PUBBLICO

SaaSSoftware as a Service

PRIVATO

PaaSPlatform as a Service

IaaSInfrastructur

e as a Service

Alcuni brand familiari di Cloud Providers

Il CC al centro dell’attenzione UE

“Il cloud computing non ha solo la straordinaria capacità di diventare un potente acceleratore per il completamento del Mercato Unico digitale, ma è anche un importante strumento per la crescita e l’occupazione.”(Pilar del Castillo, relatrice della Commissione ITRE, in sede di approvazione del progetto di Relazione “Sfruttare il potenziale del cloud computing in Europa”)

E negli ultimissimi anni, tra gli altri provvedimenti…•Proposta di Regolamento concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (25.1.2012)•Comunicazione della Commissione “Sfruttare il potenziale del cloud computing in Europa”(27.9.2012)•Proposta di Risoluzione del Parlamento europeo sullo sfruttamento del potenziale del cloud computing in Europa (24.10.2013)•Istituzione di un gruppo di esperti incaricato di individuare clausole contrattuali sicure ed eque per i servizi di cloud computing (28.10.2013)• Avvio di uno studio comparato sui contratti di cloud computing (14.06.2013)

Ma anche in Italia…

Sicurezza nel cloud

• Preoccupazione principale per chi acquista servizi cloud

• Cloud Computing (CC) VS On Premise Computing (OPC)

• Il CC offre un livello di sicurezza inferiore a quello che si può ottenere con l’OPC?

Sicurezza nel cloud

POTENZIALI RISCHI (1/2)«Astrazione» come caratteristica del cloud computing: l’uso delle

risorse IT è separato dalla gestione delle risorse IT.

• RISERVATEZZA/DATA PRIVACY

- Intercettazione dei dati in transito

- Abuso di privilegi

- Insider infedele

- Security breaches

• CANCELLAZIONE DEI DATI NON SICURA E NON COMPLETA

• INTREGRITÀ

• DISPONIBILITÀ

- Distributed Denial of Service

- Economic Denial of Service

- Disastri naturali

Sicurezza nel cloud

POTENZIALI RISCHI (2/2)

• LOCK-IN - Portabilità dei dati/delle applicazioni/interoperabilità

• BUSINESS CONTINUITY

• RISCHI DI GIURISDIZIONE LEGATI ALLA LOCALIZZAZIONE DEI DATA CENTER

• RISCHI DI PROPRIETÀ INTELLETTUALE

Verifica della sicurezza nel cloud

Cos’è un Penetration Test

– Servizio volto a raggiungere uno specifico goal (e.g., furto dati database)

– Rivolto alle aziende che dispongono della postura di sicurezza desiderata

– Approccio black box con verifica di percorribilità per specifici scenari d’attacco

• Secure Network è pioniera nella ricerca della virtualization security

• Nel 2010 abbiamo presentato VASTO (Virtualized ASsessment TOolkit) durante il Black Hat USA (Las Vegas, Nevada)– VASTO è il primo toolkit per il pentesting di infrastrutture

virtualizzate– Focus su soluzioni VMware e Citrix

• Disponiamo di una metodologia unica grazie a 5+ anni di ricerca

Virtual Infrastructure Penetration Testing

Attacco alle VM dell’infrastruttur

a

Attacco all’infrastruttura di management (e.g.,

vCenter)

Attacco client-side

agli amministrato

ri

Attacco agli hypervisor

(e.g., ESX/ESXi)

Chi controlla cosa nel cloud?

Fonte: Cloud Security Alliance

Sicurezza nel cloud

BENEFICI PER LA SICUREZZA

• Il CC può migliorare la sicurezza e la resilienza dei sistemi [ENISA Report 2012]

• La sicurezza trae beneficio dalle economie di scala:- PLURALITÀ DI LOCALIZZAZIONE/REDUNANCY- MIGLIORI TEMPI DI RISPOSTA AGLI INCIDENTI- GESTIONE DELLE MINACCE

• Sicurezza come differenziatore di mercato• Aggiornamenti più tempestivi ed efficaci• Rapida scalabilità delle risorse• Audit e SLA’s favoriscono una migliore gestione del rischio• Concentrazione delle risorse

Sicurezza nel cloud

QUALI LE RISPOSTE LEGALI?• Non esistono «misure minime» imposte dalla legge (eccetto

la Data Privacy e la Direttiva «NIS»)

• Regolamentazione di natura puramente contrattuale ma: «you can outsource responsability not accountability»

PRIMA DEL CONTRATTO• Know your vendor

• Verifica incrociata con security check-list interna

Sicurezza nel cloud

IL CONTRATTO DI SERVIZI NEL CLOUD

• Check-list clausole contratto:– Definire i Dati del Cliente e la titolarità dei medesimi;– Trasparenza su localizzazione Data Centers ed eventuali subfornitori;– Regolamentazione dei diritti di proprietà intellettuale;– Trasparenza su misure di sicurezza adottate dal cloud provider:

• controlli di sicurezza; • procedure di sicurezza e loging; • rilevazione delle interruzioni; • gestione incidenti; • Notifica dei data security breaches;• autenticazioni degli utenti; • security logs; • sicurezza fisica; • backup.

Sicurezza nel cloud

IL CONTRATTO DI SERVIZI NEL CLOUD

• Check-list clausole contratto (cont.):− Certificazioni sulle procedure di controllo:

• ISO 27001 certification; • SSAE 16 SOC reports; • Safe Harbour certifications; • Trustee Privacy seal; • PCI.

– Clausola di conformità agli industry standards/best practices (?);– SLA’S– Diritti di audit da parte del cliente– Disaster Recovery/Business Continuity Plan– Restituzione di dati del cliente – Post Termination assistance

Protezione dei dati (1)

VERSO UN MODELLO DI PRIVACY BY DESIGN

• Cosa si intende?

- un modello che opera " by default "

• Opinion dell’Article 29 Working Party- La necessità di un audit ex ante da parte dei cloud

customers

• Proposta di Regolamento sul trattamento dei dati personali- Extraterritorialità del diritto UE

Protezione dei dati (2)

TRASFERIMENTO DEI DATI

• se il vendor è all’interno dell’Unione europea?

- n.b. extraterritorialità del diritto UE secondo la citata proposta di Regolamento • …e se è fuori?

• Interazione con le regole nazionali- Un esempio pratico: la figura dell’Amministratore di

Sistema

Grazie per l’attenzione!

massimo.maggiore@mmlex.it

laura.zoboli@mmlex.it

a.biffi@securenetwork.it