Sebbene abbia quasi 30 anni, il cloud computing è ancora una “nuova” tecnologia per la maggior parte delle organizzazioni. Il cloud promette di ridurre i costi e aumentare l’efficienza attraverso l’archiviazione e la gestione di grandi archivi di dati e sistemi che sono teoricamente più economici da mantenere e più facili da proteggere.

Data la crescente fretta delle organizzazioni di passare al cloud, non sorprende che alcuni politici a Washington chiedano una regolamentazione per questa tecnologia dirompente. L’anno scorso, i deputati Katie Porter (D-CA) e Nydia Velázquez (D-NY) hanno esortato il Financial Stability Oversight Council (FSOC) a considerare i servizi cloud come elementi essenziali del moderno sistema bancario e a sottoporli a un regime normativo.

Le loro richieste per questo tipo di supervisione sono arrivate a seguito di una grave violazione dei dati di Capital One, in cui un dipendente dell’istituto finanziario è stato in grado di rubare più di 100 milioni di richieste di credito ai clienti sfruttando un firewall configurato in modo errato nelle operazioni ospitate su Amazon Web Services (AWS).

Ecco perché il Carnegie Endowment for International Peace pubblica oggi uno studio che mira a fornire ai legislatori e alle autorità di regolamentazione una comprensione di base di ciò che sta accadendo nell’arena del cloud, con particolare attenzione alla sicurezza di questi enormi serbatoi di informazioni. Cloud Security: A Primer for Policymakers, scritto da Tim Maurer, co-direttore della Cyber Policy Initiative del Carnegie Endowment, e Garrett Hinck, uno studente di dottorato presso la Columbia University ed ex assistente di ricerca del Carnegie Endowment, sostiene che il “dibattito sul cloud la sicurezza rimane vago e le implicazioni per le politiche pubbliche sono poco comprese”.

Rischio sistemico per la sicurezza del cloud

Il documento afferma che il servizio cloud è concentrato nelle mani di pochi fornitori tra cui AWS, Microsoft Azure e Google Cloud, i cosiddetti fornitori di servizi cloud “hyperscale”, con aziende come Alibaba Cloud e Tencent che svolgono un ruolo simile in Cina. L’aumento del costo degli attacchi informatici significa che la maggior parte delle aziende non può difendersi efficacemente, lasciando le organizzazioni con la convinzione che sia meglio affidare la propria sicurezza ai team di sicurezza di queste aziende esterne.

Tuttavia, tale soluzione solleva un nuovo problema che è il rischio sistemico associato a un approccio centralizzato. “C’è pochissima comprensione di cosa sia il cloud”, afferma Maurer. “C’è molto poco là fuori in grado di descrivere cosa sia il cloud e come pensare alla sicurezza informatica”.

Problemi relativi ai criteri di sicurezza del cloud

Sebbene il rapporto di Carnegie Endowment eviti le raccomandazioni di politica pubblica, rileva che ci sono due preoccupazioni politiche chiave che devono essere bilanciate. “Quando pensiamo alla sicurezza e al cloud, ci sono essenzialmente due sfide di policy pubblica a cui dobbiamo pensare”, afferma Maurer.

Remote PC Access

“La prima è l’attuale e noto problema dell’insicurezza informatica. La maggior parte delle organizzazioni lotta ancora per proteggersi efficacemente dagli hacker”. Poche organizzazioni possono competere con il livello di sicurezza in stile Fort Knox fornito da Google, Amazon o Microsoft e quindi finiscono con l’affidare la sicurezza a questi giganti.

“Per queste aziende la migrazione al cloud può effettivamente migliorare la loro sicurezza informatica, perché possono esternalizzare e delegare la protezione ai team di sicurezza molto ben pagati dei principali fornitori di sicurezza”, afferma Maurer. Queste organizzazioni avrebbero comunque bisogno di configurare correttamente le proprie configurazioni cloud per evitare l’esposizione accidentale dei dati, che secondo il rapporto è uno degli eventi più comuni per portare disruption nei servizi cloud.

D’altra parte, consentire l’archiviazione di così tanti dati nelle mani di pochi potrebbe portare a eventi rari ma catastrofici. Il rapporto cita uno studio dei Lloyds di Londra del 2018 che stima come un’interruzione da tre a sei giorni di un importante fornitore di servizi cloud potrebbe causare perdite economiche fino a 15 miliardi di dollari. Inoltre, come Fort Knox, i servizi cloud potrebbero diventare bersagli molto appetitosi per gli aggressori a causa della quantità di ricchezza che contengono. “Se si verifica un incidente grave che colpisce un fornitore di servizi cloud, potrebbe interessare un intero settore e avere un impatto più ampio a livello di settore”, continua Mauer.

Il cloud è più sicuro dell’on-premises

Tuttavia, il rischio sistemico non dovrebbe oscurare i vantaggi per la sicurezza del passaggio al cloud. “In realtà siamo arrivati al punto che le persone si preoccupano troppo del rischio sistemico e perdono di vista il fatto che la migrazione al cloud può effettivamente aiutarci a risolvere l’attuale problema di sicurezza informatica”, afferma Maurer. Un CISO ha recentemente dichiarato a Maurer che “la migrazione al cloud rende l’organizzazione dieci volte più sicura di quanto il suo team di sicurezza potrebbe ottenere da solo”.

Altre preoccupazioni brevemente sollevate nel rapporto riguardano il dominio dei fornitori di cloud americani all’estero. “La sicurezza è solo una delle cose a cui pensano i governi. C’è anche una questione di localizzazione dei dati, una questione di antitrust, una questione che molti di loro vogliono costruire le proprie industrie tecnologiche nazionali e stanno quindi imponendo leggi che cercano di limitare i fornitori di servizi cloud principalmente americani”.

Un approccio collaborativo alla sicurezza del cloud

Guardando al futuro, la sicurezza del cloud trarrebbe vantaggio da un approccio collaborativo tra questi grandi fornitori. “Se guardiamo all’attuale livello di maturità e cultura nel settore tecnologico, è così iper-competitivo che in realtà raramente questi soggetti parlano tra loro e raramente discutono di sicurezza”.

Sebbene alcuni critici di un’iniziativa collaborativa per la sicurezza del cloud possano sollevare preoccupazioni in materia di antitrust, esistono modelli di approcci simili in altri settori, tra cui quello finanziario e quello aeronautico, afferma Maurer. “Se guardate ad altri settori altamente competitivi come il settore finanziario o come quello dell’aviazione, hanno tutti formato consorzi di settore specifici che sono progettati per aiutare ad affrontare la sicurezza, poiché riconoscono i rischi nell’intero settore e non solo nelle singole società”.

“Sarà molto più importante in futuro che i principali fornitori di servizi cloud si uniscano per condividere potenzialmente i dati sugli attori delle minacce che potrebbero prenderli di mira. È probabile che ciò ripaghi di più in futuro di quanto farebbe un quadro normativo”, conclude Mauer.