Da anni gli esperti di sicurezza informatica di società private e organizzazioni pubbliche si trovano di fronte alla spinta innovativa di nuovi servizi, genericamente individuati sotto la categorizzazione di Cloud Services. Servizi che promettono la riduzione dei costi e un maggiore livello di sicurezza.
Come potete ben capire, ogni soluzione che promette il paradiso deve essere valutata attentamente, io direi che in questi casi occorre essere scettici e approfondire. Spesso infatti le vulnerabilità dei nuovi sistemi si presentano a sorpresa, e di solito non immediatamente.
Oggi ho letto un interessante news di AMD che annuncia un accordo con IBM nel campo del Confidential Computing e dell'Intelligenza Artificiale.
Mentre tutti sanno cosa si intenda per Intelligenza Artificiale (o quanto meno ne hanno sentito parlare), probabilmente non sono in tanti a sapere cosa si intenda per Confidential Computing.
Il Confidential Computing è una tecnologia di calcolo in cloud che consente di isolare i dati sensibili durante il loro processamento in cloud. I dati infatti necessitano di essere protetti in diversi momenti: quando sono conservati nei database, quando si muovono lungo le reti e, infine ma non meno importante, quando sono processati.
Per quanto riguarda la protezione nei database e lungo le reti si impiegano generalmente tecniche di cifratura, ma quando i dati vengono processati (in linea di massima) devono essere in chiaro e ciò è un rischio da tener presente. Le tecnologie di Confidential Computing si occupano appunto della sicurezza dei dati in fase di processamento in ambiente cloud.
Qualcuno potrebbe chiedersi se il Confidential Computing è importante (o in altri termini se e quali siano i rischi che si corrono impiegando tecnologie cloud), ebbene la risposta è possibile trovarla nei report delle società che si occupano di analisi dei rischi cyber, tra queste ne cito solo una, la McAfee, che è molto conosciuta in quanto produttrice di un antivirus. Se andiamo a leggere il report "Cloud adoption and Risk Report" è possibile capire meglio quali siano le tendenze in merito ai rischi collegati all'adozione del Cloud e quindi capire quali rischi si corrono nell'impiegare tecnologie cloud.
Non tutti leggeranno il report, ma posso dirvi in due parole che i rischi esistono e se ne deve tener conto. Non lo dico solo io (chi sono io per farlo?) ma lo affermano le stesse società che forniscono servizi in cloud, con il loro comportamento.
Per confermare quanto detto sopra diamo uno sguardo ad un consorzio nato recentemente: il "Confidential Computing Consortium" (CCC), della Linux Foudation. Il CCC ha come scopo quello di approfondire la sicurezza dei sistemi e tecnologie cloud ed è un consorzio cui prendono parte Alibaba, ARM, Baidu, IBM, Intel, Google, Microsoft, Red Hat, Swisscom e Tencent. Chi ha una minima idea di cosa rappresentino queste società può capire quanto sia importante il "problema" del Confidential Computing.
Chiudo questo articolo con una semplice domanda: quando i dati venivano processati da software proprietari su infrastrutture informatiche detenute dal cliente, era il cliente che doveva garantire il mantenimento di un ambiente sicuro per i suoi dati e che rispondeva per ciò che accadeva, anche di fronte alla legge, ma ora? Ora i dati sono del cliente, ma i servizi sono esterni (sul cloud) e l'infrastruttura informatica è il Cloud (almeno nel caso del SaaS), gestito in tutto e per tutto dal fornitore dei servizi... chi risponde per la loro sicurezza?
Sia chiaro, negli ultimi anni organizzazioni e società di tutti i tipi hanno dimostrato, spesso e volentieri, di non essere capaci di proteggere i propri dati e le infrastrutture, complici la complessità, la velocità di cambiamento delle tecnologie e gli scarsi investimenti in formazione e aggiornamento tecnologico.
La responsabilità in caso di incidente informatico in ambiente cloud è, per certi aspetti, condivisa, cliente e fornitore di servizi devono dunque lavorare assieme, e la cosa non è facile.
Credo che la risposta sia comunque da ricercare tra le righe del CCC. Ecco perché le principali società fornitrici di servizi cloud a livello mondiale stiano lavorando assieme per definire nuovi standard di sicurezza in cloud.
Alessandro Rugolo
Per approfondire:
- IBM and AMD Announce Joint Development Agreement;
- What is Confidential Computing? | IBM;
- Vast majority of cyber-attacks on cloud servers aim to mine cryptocurrency | ZDNet;
- SaaS: Software-as-a-Service (SaaS) Definition (investopedia.com)