SICUREZZA PER IL CLOUD

Sovereign cloud, ciò che le aziende attendono per migrare e innovare

Big tech che monopolizzano il mercato del cloud, cybercrime che impenna e Cloud Act spingono l’Europa a cercare un nuovo modo di gestire i propri dati. La svolta sta nel sovereign cloud, per valorizzare l’enorme patrimonio informativo e sfruttarlo per rendere la ripresa post pandemia più veloce, indipendente e duratura

11 Nov 2021

Negli ultimi due anni non solo si è registrata una imprevista accelerazione della trasformazione digitale ma la crisi legata al Covid-19 ha creato nuove esigenze e la forte consapevolezza dell’importante ruolo che gli strumenti informatici e internet giocano in tutte le sfere della società, non solo all’interno di un sistema di innovazione composto da big player e startup tech. Tra i trend più significativi che emergono in questo mondo digitale sempre più complesso c’è senz’altro il cloud e il sovereign cloud diventa una condizione necessaria per favorirne la reale diffusione potendo concretamente beneficiare dei vantaggi della migrazione.

Per chi opera in settori delicati o di importanza vitale, ma anche per tutte quelle organizzazioni che desiderano trarre il massimo valore dal proprio patrimonio informativo, è di primaria importanza infatti poter contare sulla trasparenza e la sicurezza nel trattamento dei dati. Che si tratti di alimentare algoritmi di Intelligenza Artificiale o di arricchire piattaforme monolitiche, sta diventando una necessità da parte dell’utente la certezza che le informazioni non siano soggette al diritto extraterritoriale e che non siano utilizzate da terzi. Ciò significa, dal punto di vista di un cloud provider, offrire soluzioni in grado di tutelare la libertà di scelta, rafforzare il controllo degli strumenti digitali e proteggere la reversibilità all’interno degli Stati, tutti aspetti più che mai cruciali nelle dinamiche che regolano il new normal.

Cosa significa Sovereign Cloud

Compresa l’importanza del sovereign cloud nell’attuale contesto non solo tecnologico ma anche e soprattutto economico, lo si può definire attraverso alcune sue principali funzioni che ne dimostrano l’utilità immediata.

Un cloud sovrano:

  • Migliora il controllo dei dati attraverso un controllo giurisdizionale completo fornendo sia la residenza che la sovranità dei dati
  • Effettua controlli di sicurezza verificati per garantire la completa protezione dei dati
  • Assicura la totale conformità alle leggi sulla privacy dei dati
  • Supporta e favorisce l’economia digitale nell’utilizzo efficace dei dati
  • Protegge e sblocca per le PA e le aziende il valore dei dati critici (nazionali, aziendali e personali)

Sovereign Cloud: non solo per PA, banche e ospedali

Facendo leva proprio sul sovereign cloud, i governi nazionali mirano a espandere la capacità economica digitale e a ridurre la dipendenza da aziende multinazionali per i loro servizi cloud, sono i soggetti più sensibili a queste problematiche assieme a settori come la finanza e la sanità,  altamente regolamentati e che elaborano e conservano dati altamente sensibili, ma questo scenario potrebbe presto cambiare. Le aziende di tutti i settori infatti si stanno rendendo conto che mantenere i dati “all’interno” non è sempre vincente, soprattutto con l’imporsi di modelli di business sempre più collaborativi, e cominciano a comprendere anch’esse l’importanza cruciale del sovereign cloud per le possibili opportunità di monetizzazione dati che una condivisione sicura aprirebbe.

I 4 driver del sovereign cloud

Definire il sovereign cloud come una semplice risposta alla crescita dell’importanza della privacy dei dati sarebbe riduttivo, questo fenomeno è il risultato di una combinazione di fattori anche politico-economici, se non tecnologici, che vanno presi in considerazione per coglierne la portata rivoluzionaria. Ecco i principali

Il monopolio delle big tech

Amazon Web Service detiene il 24% del mercato, seguito da Microsoft con il 16,6%, Google con il 4,2%, Alibaba con il 3,7% e IBM con il 2,8%. Il Report IDC “Worldwide Semiannual Public Cloud Services Tracker” di fine 2020 mostra chiaramente lo strapotere delle big tech e la conseguente e sempre più scomoda dipendenza di organizzazioni sia pubbliche che private da queste realtà con sede negli Stati Uniti, per avere a disposizione informazioni preziose. Questo monopolio rappresenta un reale pericolo oltre che decretare la preoccupante assenza di concorrenza sul mercato.

Cloud Act 

Questo provvedimento permette alle autorità statunitensi, forze dell’ordine e agenzie di intelligence di acquisire dati informatici dagli operatori di servizi di cloud computing indipendentemente dal fatto che si trovino all’interno o all’esterno degli Stati Uniti. Basta che gli operatori siano sottoposti alla giurisdizione degli Stati Uniti oppure anche solo che, pur essendo europei, abbiano una filiale negli Stati Uniti o operino nel mercato americano. E’ disarmante e soprattutto in forte contrasto con i dettami del GDPR, in particolare con l’art. 48 ed il Considerando 115. Un cloud sovrano non permetterebbe che ciò avvenga, sarebbe una exit strategy valida.

Cyber Crime in crescita

Nel 2021 finora in tutto il mondo gli attacchi informatici verso le aziende sono cresciuti del 40%, a settimana rispetto al 2020, l’Europa registra il più grande aumento del numero di attacchi tra il 2020 e il 2021 con una media di 665 attacchi alla settimana per azienda (incremento del 65%), l’Italia ha visto una crescita del 36% rispetto al 2020 degli attacchi informatici settimanali alle aziende che oggi sono in media 903 per azienda.

Questi dati forniti dal Check Point Research, divisione Threat Intelligence di Check Point, mostrano come il 2020 non sia stato un anno nero isolato per il cyber crime ma che il pessimo trend continua tanto che a settembre 2021 il numero medio di attacchi settimanali registrato da ogni azienda, con un picco di oltre 870, è risultato il doppio rispetto a quello di marzo 2020. La protezione dei dati, se già non lo era, adesso deve diventare la priorità e il sovereign cloud rappresenta un tassello importante in qualsiasi strategia di security efficace si voglia implementare.

Il valore del mercato dal cloud

Quando oggi si parla di dati si parla di business, questo vale in modo trasversale in tutti i settori e non solo nel mondo delle banche o della sanità. Secondo KPMG il mercato del cloud computing è cresciuto in media del 27% annuo tra il 2017 e il 2019, raggiungendo i 53 miliardi di euro nel 2020. Entro il 2027-2030 raggiungerà un valore tra i 300 e i 500 miliardi di euro, creando – fatto molto importante – oltre 500.000 nuovi posti di lavoro sul territorio. Questo impatto così forte sia sociale che economico obbliga gli Stati a guardare al sovereign cloud come via per acquisire quella capacità digitale che impedisca loro di dipendere da organizzazioni e operatori stranieri per l’elaborazione dei propri dati.

I vantaggi del sovereign cloud

L’idea di poter tutelare la libertà di scelta, rafforzare il controllo degli strumenti digitali e proteggere la reversibilità all’interno degli Stati alla base del sovereign cloud, calato nella realtà delle aziende che lo possono adottare, si traduce in vantaggi anche molto pratici e tangibili, e decisamente tecnologici.

Per prima cosa il cloud sovrano porta ad un forte aumento della sicurezza perché permette di implementare i controlli nel cloud in modo più veloce ed efficace e di proteggere dati e workload da vettori di attacco anche in rapida evoluzione. Allo stesso tempo assicura il raggiungimento rapido ed efficiente della compliance e il suo mantenimento, potendola anche dimostrare in modo continuo e non solo ogni pochi mesi. Il sovereign cloud impatta anche sull’aspetto del controllo dei dati assicurando la visibilità e l’auditing di tutta l’amministrazione e le attività del cloud e impedendo l’accesso ai dati da parte di entità straniere, vedi Cloud Act.

Oltre a questi vantaggi “difensivi”, ce ne sono anche di proattivi che guardano il futuro, come la possibilità di sbloccare il valore dei dati abilitandone la condivisione con Stati nazionali, aziende o cloud affidabili e sfruttando servizi avanzati per abilitarne la comprensione e garantirne l’integrità. Oltre ad evitare il vendor lock-in e tutti i “guai” legati a possibili cambiamenti di normative, minacce alla sicurezza informatica e geopolitica, la sovranità del cloud alimenta l’innovazione e la crescita economica abilitando la monetizzazione dei dati e migliorando i processi decisionali, grazie a nuovi insights.

Perché l’Europa è interessata al sovereign cloud

I driver del sovereign cloud riguardano strettamente il contesto europeo che, pur essendo il meglio strutturato sotto il profilo delle regole, è anche quello che ha maturato una forte dipendenza dai servizi degli hyperscaler statunitensi con le loro regole ben differenti da quelle “locali”. Incastrati in questa situazione paradossale, ci si pone la solo in apparenza banale domanda: “di chi sono i dati?”.

Servirebbero esperti sia in ambito tecnologico che normativo per stabilire dove sono localizzati fisicamente i dati che si trovano sul cloud e, di conseguenza, a quali norme specifiche sono soggetti dal punto di vista della gestione e del trattamento. La situazione non è chiara e chi è in possesso di dati critici non può tollerarlo, motivo per cui ancora oggi in Europa in certi ambiti l’adozione del cloud è più lenta e i dati rimangono on-premise. Inevitabile un rallentamento anche dell’economia in tal senso perché non libera di sfruttare al meglio il valore del proprio patrimonio informativo per assicurare produttività, velocità, flessibilità ed efficienza.

Consapevole che si possa conservare su sistemi che non garantiscano un totale controllo alcune informazioni estremamente sensibili, e nemmeno quelle meno critiche ma utili per il futuro dell’economia a livello mondiale, l’Europa si è mossa e ha lanciato alcune iniziative tra cui il CISPE e la più recente e poderosa Gaia X.

Il primo è un acronimo che sta per Cloud Infrastructure Services Providers in Europe (CISPE) ed è una associazione che riunisce diversi provider europei per offrire una struttura e degli standard nel settore del Cloud computing mentre Gaia X, dal greco la Madre Terra, mira a diventare “la Madre delle infrastrutture europee” proponendo un progetto inclusivo, collaborativo e in continuo divenire.

Gaia X, l’impegno europeo per il sovereign cloud

Nato ufficialmente il 15 ottobre 2020  dalla collaborazione tra Commissione europea, i 27 Stati membri e circa 100 aziende e organizzazioni, Gaia X è un progetto europeo che mira a favorire la crescita del mercato digitale europeo costruendo un’infrastruttura europea di cloud e di dati. L’idea è quella di ricondurre letteralmente sotto a un maggior controllo il flusso e l’archiviazione dei dati europei per arrivare a raggiungere un’autonomia digitale a livello Europeo. Un’esigenza sempre più forte data la trasformazione digitale in corso nel nostro sistema socio-economico che richiede nuovi approcci di governance e permetterebbe di sviluppare nuove forme di cooperazione a livello internazionale.

Proprio la governance è uno dei tre pilastri di Gaia X assieme alle procedure e agli standard tecnologici: agendo su questi tre aspetti si può garantire una maggiore interoperabilità e la capacità di scambiare i dati indipendentemente dal cloud utilizzato oltre che di passare tra i vari cloud provider senza complicazioni tecniche o economiche.

Mentre si attende la fine del 2021, termine ultimo per presentare i propri progetti e passare alla realizzazione dell’ecosistema, in Italia è nata l’associazione Gaia-X che si occuperà della creazione dell’hub nazionale attraverso un consiglio strategico, uno steering committee che coordinerà i vari settori tra cui la manifattura 4.0, il turismo, la cultura, la smart mobility e l’economia circolare creando data space dedicati e relativi ecosistemi attorno ad ogni area di interesse.

Misure nazionali sulla Data Sovereignty

Al di là della partecipazione al progetto Gaia X, il nostro Paese sta muovendo passi avanti anche in autonomia dal punto di vista del sovereign cloud come hanno fatto anche Francia, Germania e Gran Bretagna ad esempio. La prima ha creato il sistema di riferimento SecNumcloud per identificare i provider di servizi cloud affidabili, in Germania c’è il C5 (Cloud Computing Compliance Controls Catalog)  che aiuta le organizzazioni a dimostrare la sicurezza a livello operativo contro gli attacchi informatici quando si utilizzano i servizi cloud, e al di là della Manica la Gran Bretagna ha lanciato il UK Government Cloud (G-Cloud) facilitando l’approvvigionamento di servizi cloud grazie ad una serie di accordi quadro con i fornitori, richiedendo di certificare e fornire prove a supporto di 14 definiti principi di sicurezza cloud.

L’Italia, ispirandosi al modello francese in cui i dati della PA sono gestiti esclusivamente da operatori europei e le tecnologie extra-UE sono fornite in licenza agli operatori locali, sta mettendo in atto il piano Strategia Cloud Italia per garantire sicurezza e opportunità di innovazione allo stesso tempo. L’obiettivo è far migrare in questa “casa” per i dati degli italiani almeno il 75% di quelli delle pubbliche amministrazioni entro il 2025 seguendo tre principali direttrici: la classificazione di dati e servizi, la qualificazione dei servizi cloud e la realizzare di un Polo Strategico Nazionale dedicato ai servizi e sotto controllo ed indirizzo pubblico.

Portando avanti questo approccio cloud first, Strategia Cloud Italia mira a favorire l’adozione sicura, controllata e completa delle tecnologie cloud da parte del settore pubblico per rispondere a tutti i principi di tutela della privacy ma anche agli attacchi informatici, garantendo continuità e qualità nella fruizione di dati e servizi.

In questo panorama italiano, e non solo italiano, in cui forte è l’attenzione verso i fornitori di servizi cloud che giocano un ruolo cruciale nel sovereign cloud, è naturale che questi soggetti siano implicitamente ma fortemente chiamati a dimostrarsi dei partner di fiducia. Per un leader del mercato anche a livello internazionale come VMware ciò significa garantire che tutti i soggetti nominati come Cloud Provider Vmware, nell’ambito dell’iniziativa VMware Sovereign Cloud,  progettino e gestiscano soluzioni cloud basate su architetture moderne e software-defined che incarnino le best practices delineate nel framework VMware Sovereign Cloud. Quattro sono i principi chiave –  sovranità dei dati e controllo giurisdizionale, accesso e integrità dei dati, sicurezza e conformità dei dati, indipendenza e mobilità dei dati –  e rappresentando l’unico approccio possibile e sperabile per tutte le realtà che hanno compreso l’urgenza dell’evoluzione che l’Europa sta cercando di compiere per un nuovo modo di concepire la gestione dei dati in grado di accelerare una ripresa post pandemia più solida, efficace e duratura.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5