Dopo le ultime rivelazioni sulle intercettazioni e lo spionaggio non solo della NSA ma anche dei servizi segreti di mezza Europa, si moltiplicano le iniziative per cloud “nazionali”, caratterizzati dalla localizzazione dei dati. Un problema non facile in un mondo globalizzato. Come si muovono i grandi provider italiani
La cosa più probabile è che debbano essere riscritte le pagine della sicurezza ai tempi del cloud. Il “come” resta un tema aperto. Dopo l’estate, il tema ha registrato un’accelerazione impressionante. L’informazione che non solo il cellulare di Angela Merkel era sottoposto a intercettazioni, ma che i controlli delle autorità per la sicurezza americane erano estesi anche a decine di leader politici, così come le notizie circa le azioni simili da parte di tutti i maggiori paesi europei, con qualche sconto per l’Italia – hanno segnato una nuova fase in questa escalation. Il caso Telecom, con Governo e partiti pronti a mettersi di traverso alle ambizioni di Telefonica in nome della “sicurezza nazionale”, ha fatto il resto. Tanto da portare l’amministratore delegato di Telecom, Marco Patuano, a chiosare: «L’idea che la sicurezza nazionale dipenda dal controllo dell’ultimo pezzettino della rete, quello dell’accesso, è incomprensibile per chi conosce qualcosa dell’argomento. Se poi pensiamo che più della metà delle comunicazioni vocali passa per le reti mobili e che in Italia queste sono controllate da tre operatori su quattro – che sono uno russo, l’altro cinese e il terzo internazionale/britannico – ponendo il problema solo per l’unico operatore italiano, con un socio spagnolo, allora siamo fuori da ogni logica». Il problema, rispetto al passato, è che una parte sempre più consistente dei dati di persone e aziende si appresta a traghettare verso siti e archivi esterni. Sul cloud appunto. La goccia che ha fatto traboccare il vaso è stata la notizia che non solo la NSA avesse, sulla base del programma PRISM e del Patriot Act, diritto d’accesso ai siti dei provider americani in tutto il mondo, Europa compresa, ma che i collegamenti in fibra ottica che attraversano gli oceani per raggiungere i siti di Google e di Yahoo fossero direttamente intercettati dalla stessa NSA in collaborazione con l’omologo britannico GCQH nell’ambito del programma MUSCOLAR: 181 milioni di records raccolti solo in 30 giorni a fine 2012. A settembre, Google ha fatto sapere che i dati tra i suoi data center saranno criptati. I grandi provider Usa sono i primi a essere preoccupati. I servizi di cloud pubblici sono soprattutto nelle loro mani e l’idea che i loro clienti si affidino a un “colabrodo” non è la miglior pubblicità. Il contraccolpo si sta già facendo sentire. In Svizzera, Swisscom ha deciso di creare un grande cloud privato entro il 2016, sul quale collocare il 70 per cento della propria infrastruttura IT, per una stima di 200-300 petabyte di dati. Il suo CTO, Andreas König, pur negando un legame diretto al caso NSA, ha ammesso che «la protezione dei dati e la privacy sono una tradizione di lunga data in Svizzera. Per chiunque non autorizzato, raccogliere dei dati risulterebbe molto difficile, a meno che, appunto, ci sia un’ordinanza del tribunale». Insomma: dati sicuri nella Confederazione come e più che in banca. Deutsche Telekom ha promesso di far transitare esclusivamente all’interno del paese i dati originati in Germania e ha lanciato l’iniziativa “Email made in Germany”: gli utenti di DT, GMX, T-Online e WEB.DE faranno viaggiare la corrispondenza elettronica solo su server residenti in Germania e in forma criptata. In Francia, i due maggiori operatori, Orange con Thales e Sfr con Bull, hanno lanciato le loro iniziative cloud “sicure”.
Telecom Italia: il cloud con la rete dentro
In Italia, ai primi di novembre, Telecom ha lanciato una proposta di cloud infrastrutturale (IaaS) di storage per le PMI (“Nuvola IT Data Space Easy”), tenendo a precisare che il servizio è erogato attraverso data center «tutti localizzati sul territorio italiano e conformi alle stringenti normative in vigore in termini di privacy». Sin dal lancio del progetto Nuvola Italiana nel 2010, «la nostra offerta – ha spiegato Enzo Bagnacani, responsabile Infrastructure Solutions e Business di Telecom Italia – si è contraddistinta per le garanzie end-to-end di performance, availability, security e compliance. Telecom Italia presidia con i propri laboratori e centri di ricerca lo sviluppo degli standard, l’ideazione di prototipi e la certificazione dei prodotti». Tuttavia, riconosce il manager di Telecom, «la sicurezza nel cloud non è legata solo a un fattore tecnologico. La dematerializzazione delle facilites e la virtualizzazione delle tecnologie, che sono elementi propri del cloud, possono rendere complessa per le aziende la gestione della tematiche di compliance e riservatezza dei dati, propri e dei rispettivi clienti. Il nostro impegno è proprio portare semplificazione a questo livello. I dati e le applicazioni dei clienti, infatti, risiedono su piattaforme tecnologiche rese disponibili attraverso data center localizzati sul territorio nazionale e sono gestiti tramite strumenti, processi e organizzazioni conformi alla normativa italiana e certificati rispetto ai principali standard di riferimento come l’ISO27000 e CSA)». Se per Telecom Italia, la carta in più della Nuvola Italiana è “il cloud con la rete dentro”, ovvero un controllo e una disponibilità dell’accesso sia da rete fissa sia da rete mobile – per l’altro grande provider nazionale di servizi nazionali, ovvero Aruba – privacy e localizzazione geografica nel cloud devono andare insieme con le esigenze di flessibilità. Purché sia il cliente a guidarle.
Aruba: i dati dove vuole il cliente
La localizzazione come valore? «Assolutamente sì, perché garantisce il rispetto delle leggi a tutela della privacy, che in Italia sono molto dettagliate e piuttosto severe» – risponde Stefano Sordi, direttore marketing di Aruba, il numero uno in Italia, nonché anche in Repubblica Ceca e Repubblica Slovacca per quantità di siti hosting e domini registrati, con 6 milioni di caselle di email gestite, 20mila server, oltre 2 milioni di clienti, cinque data center in Italia, altrettanti tra Francia, Cechia, Slovacchia e Ungheria. «In genere, quando si salvano i dati su Internet, non si ha la consapevolezza di dove essi siano localizzati, se in Italia o all’estero» – ha spiegato Sordi, ricordando che quello è un tipo di informazione che molto spesso i provider non offrono. «Noi vogliamo sempre assicurare la massima trasparenza relativamente alla localizzazione dei dati. I nostri clienti cloud hanno la possibilità – tramite il pannello di controllo di Cloud.it – di scegliere dove posizionare i propri dati, se in un nostro data center italiano oppure negli altri attualmente disponibili all’interno del nostro network europeo, che a breve si espanderà anche in Germania e poi in Inghilterra. Ciò permette alle PMI e a tutte le realtà aziendali di avere il massimo controllo sui propri dati e assicura un vantaggio per chi partecipa a bandi pubblici, dove spesso si assiste a una richiesta esplicita di fornitori che garantiscano la localizzazione fisica dei dati su territorio italiano. Inoltre, per chi sviluppa il proprio business all’estero, questo offre una carta in più per svilupparsi in un particolare mercato».
Globali e locali dunque?
E come dovranno comportarsi le aziende? Ancora oggi, non è dato sapere dove siano effettivamente tutti i data center di Google (ma per qualunque provider non è così difficile presentarsi con i nomi di anonime controllate), per motivi spesso di sicurezza e di riservatezza dei dati verso i concorrenti. Sapere dove stanno i dati di una determinata azienda in molti casi appare ancora più improbabile. L’idea di un cloud europeo si sta facendo strada insieme con la richiesta di normative comuni. Chi ci prova è il presidente dell’Estonia, Toomas Hendrik Ilves, che guida il comitato per la European Cloud Partnership. Ilves sottolinea che il 95% dei servizi cloud utilizzati in Europa sono forniti da provider americani e si dice pronto anche a recare qualche dispiacere alle varie Google, Apple, Facebook, Microsoft, ma ha dovuto anche ammettere che – con quanto è emerso – prima di scagliare pietre, anche l’Europa dovrebbe ricordare di non essere proprio senza colpa. La sensibilità degli utenti privati e delle aziende saprà muovere la politica europea?
