Certificazioni per il cloud: in arrivo le indicazioni europee

Oggi parliamo di servizi cloud (e non genericamente di cloud, rimandando ai paragrafi successivi il motivo di questa precisazione) perché sono entrati nella vita delle persone e...

Perché i servizi cloud sono così importanti

Oggi parliamo di servizi cloud (e non genericamente di cloud, rimandando ai paragrafi successivi il motivo di questa precisazione) perché sono entrati nella vita delle persone e delle organizzazioni con una forza ed una rapidità senza precedenti nella storia tecnologica recente. Hanno sfondato più rapidamente dei personal computer (anni ‘80), del web e dell’email (anni ‘90) ma, spesso, si è badato solo ai vantaggi senza la dovuta attenzione alle conseguenze che possono derivare dall’uso della nuvola.

Le conseguenze possono essere molto serie sia per gli utenti domestici sia per gli utenti professionali (persone fisiche o organizzazioni complesse). Per i primi esistono rischi di violazione di dati riguardanti l’intimità della vita personale e familiare (foto, video, messaggi, ecc.) anche se tali dati sono esclusi dall’applicazione del Regolamento UE 2016/679 (GDPR) perché di uso “domestico”; per i secondi, invece, le eventuali violazioni ricadono nelle fattispecie previste dagli articoli 33 e 34 del GDPR: si rischia di ledere pesantemente i diritti e le libertà delle persone fisiche di cui si trattano i dati personali. Per esempio, molti medici, approfittando della gratuità, depositano dati riguardanti la salute dei propri pazienti su servizi cloud di memorizzazione; pochi di loro hanno la consapevolezza di essere titolari del trattamento e, quindi, di dover scegliere il responsabile del trattamento (ovvero il Cloud Service Provider, CSP) “che presenti[no] garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento [GDPR n.d.r.] e garantisca la tutela dei diritti dell’interessato”.

Peraltro, da qualche anno, la strategia tecnologica italiana sta cercando di indurre la Pubblica Amministrazione (soprattutto quella locale) a migrare verso servizi cloud. Naturalmente, questa è una scelta condivisibile da molti punti di vista e che farà giustizia delle tante debolezze infrastrutturali che caratterizzano le centinaia di CED locali. In proposito, l’ultima iniziativa legislativa è contenuta nel comma 1‑bis (introdotto dal cosiddetto decreto semplificazioni) dell’articolo 33‑septies del Decreto Legge 179/2012 che dispone quanto segue

Le amministrazioni locali individuate ai sensi dell’ articolo 1, comma 3, della legge 31 dicembre 2009, n.196, nel rispetto dei principi di efficienza, efficacia ed economicità dell’azione amministrativa, migrano i loro Centri per l’elaborazione delle informazioni (CED) e i relativi sistemi informatici, privi dei requisiti fissati dal regolamento di cui al comma 4, verso l’infrastruttura di cui al comma 1 o verso altra infrastruttura già esistente in possesso dei requisiti fissati dallo stesso regolamento di cui al comma 4. Le amministrazioni locali, in alternativa, possono migrare i propri servizi verso soluzioni cloud nel rispetto di quanto previsto dal regolamento di cui al comma 4.

L’ultimo periodo, quindi, induce alla scelta delle soluzioni cloud (sarebbe stato meglio parlare di servizi cloud) come futura configurazione dei servizi digitali verso i clienti esterni (cittadini, imprese, altre PP.AA., ecc.) e verso i clienti interni (uffici, settori, aree, ecc.).

Sui servizi cloud e sulla loro qualità, quindi, si gioca molta parte del futuro dei dati e, quindi, delle persone.

Le indicazioni del Comitato Europeo per la Protezione dei Dati Personali

La scelta dei servizi cloud, come abbiamo già detto, implica una serie di premesse per la salvaguardia dei soggetti di cui si trattano i dati personali; in particolare, occorre scegliere il CSP che in maniera tale che funga da responsabile del trattamento sufficientemente affidabile. E non si tratta solo di avere un CSP che offra misure tecniche adeguate: occorre che sia capace di applicare misure organizzative volte a rispettare i princìpi fissati dall’art. 5 GDPR e che il quadro normativo del paese in cui opera offra le stesse tutele del GDPR.

A questo proposito, occorre richiamare due importanti documenti che di recente sono stati pubblicati dal Comitato Europeo per la Protezione dei Dati Personali:

Entrambi i documenti, sebbene non propriamente focalizzati sui servizi cloud, aiutano ad orientarsi negli aspetti giuridici di tutela degli interessati e, quindi, a regolare le dinamiche contrattuali con i responsabili del trattamento.

Le Guidelines, come emerge dal titolo, sono focalizzate sulle caratteristiche del responsabile del trattamento e, quindi, anche sulle qualità che il cliente deve richiedere al CSP. L’EDPB riconosce che alcuni soggetti che intendono fornire un servizio digitale e, quindi, assumere il ruolo di responsabile del trattamento hanno una forza contrattuale superiore al titolare; perciò, tendono ad imporre le loro condizioni contrattuali che, di solito, corrispondono a soluzioni standard. In questa categoria possiamo certamente annoverare i fornitori dei servizi cloud più diffusi: Google, Microsoft, ecc. Il capoverso 82 delle Guidelines, tuttavia, ribadisce che il titolare rimane colui che deve stabilire se accettare o meno le modalità di trattamento suggerite dal candidato responsabile senza nascondersi dietro la presunta imposizione. Il concetto, peraltro, è ribadito dall’esempio successivo al capoverso citato che riporta proprio il caso di un Comune che vorrebbe affidarsi ad un CSP per l’erogazione dei servizi scolastici ed educativi (lezioni a distanza, messaggistica, calendarizzazione delle lezioni, ecc.): il Comune, in quanto titolare del trattamento, deve assicurarsi che le sue eventuali istruzioni specifiche (periodo di conservazione, cancellazione dei dati, ecc.) siano rispettate dal CSP a prescindere dal contratto standard che, eventualmente, lo stesso CSP è abituato ad offrire.

Le Recommendations, invece, traggono origine dalla sentenza della Corte di Giustizia Europea sul cosiddetto caso “Schrems II” (C-311/18) che, di fatto ha considerato non soddisfacente il Privacy Shield ovvero l’accordo tra UE ed USA per consentire più agevolmente il trasferimento di dati personali da un soggetto europeo ad un soggetto statunitense che avesse, appunto, aderito ai requisiti previsti dal Privacy Shield. Questa sentenza incide notevolmente proprio sulle dinamiche dei più grandi CSP che, in via diretta o indiretta, mantengono i dati personali presso data center con sede negli Stati Uniti. Peraltro, le motivazioni della sentenza sono tutte di natura giuridica ed hanno poco a che vedere con le capacità tecniche dei CSP di proteggere i dati personali. Infatti, la CGUE ha ritenuto che il quadro normativo statunitense non fornisse agli interessati (cioè coloro ai quali i dati si riferiscono) garanzie sufficienti a tutelare i loro diritti e le loro libertà; in particolare, il quadro normativo USA consente alle autorità pubbliche (p.e. alle diverse agenzie che si occupano di prevenzione e repressione dei reati) di accedere a tutti i dati personali trattati da chiunque (quindi anche dai CSP) senza bilanciare questa possibilità con le dovute salvaguardie giuridiche per gli interessati.

Le Reccommendations sollecitano, quindi, a rivedere gli eventuali contratti con responsabili del trattamento (e, quindi, anche con i CSP) con sede nei paesi extra‑UE o che, comunque, trasferiscano dati personali presso infrastrutture con sede fuori dai confini UE.

Il codice di condotta europeo

La matassa, quindi, già abbastanza difficile da sbrogliare, si è ulteriormente complicata per i CSP con la sentenza “Schrems II”. Se ne sono accorti anche i promotori dell’EU Cloud Code of Conduct che, a fine settembre, hanno emesso un comunicato stampa che prendeva atto della necessità di rivedere il Codice di Condotta Europeo per i CSP arrivato, a marzo 2020, alla versione 2.6 ma che:

  • non teneva conto della sentenza “Schrems II” (emessa il 16 luglio 2020);
  • era ancora in corso di esame da parte dell’EDPB ai sensi dell’art. 40 del GDPR e, pertanto, non poteva ancora essere impiegato come “garanzia adeguata” per il trasferimento extra‑UE ai sensi della lettera e, par. 2 dell’art. 46 del GDPR.

Tutto da rifare, dunque? Certamente, tutto questo cambia di parecchio la prospettiva di molti OTT che forniscono servizi cloud.

L’intervento dell’ENISA

Sul fronte squisitamente tecnico, invece, c’è da registrare il recente intervento dell’Agenzia dell’Unione Europea per la Cibersicurezza (ENISA) che, lo scorso 22 dicembre ha pubblicato, per la consultazione pubblica, l’EUCS – Cloud Services Scheme cioè un quadro di prescrizioni che i Cloud Service Provider devono rispettare per ottenere la certificazione che la Commissione ha richiesto ai sensi del par. 2, art. 48 del Regolamento UE 2019/881 (il regolamento che riforma l’ENISA).

Lo schema proposto appare molto impegnativo per i CSP perché allarga di parecchio i controlli in materia di sicurezza delle informazioni già previsti dallo standard ISO/IEC 27001:2018 che, peraltro, costituiva la base di garanzie tecniche previste dall’EU Cloud Code of Conduct.

D’altra parte, lo schema non si limita a disciplinare il cloud come categoria tecnologica indistinta né a suddividerla nei soliti paradigmi SaaS, PaaS, Iaas, ecc.; punta, invece, sul Cloud capabilities type ovvero sulle concrete funzionalità che un servizio cloud fornisce al cliente, basandole sulle risorse utilizzate e calibra l’incisività dei controlli che il CSP deve attuare su tre livelli di garanzia (assurance):

  • base (basic); a questo livello viene certificato un servizio cloud che è realizzato e reso operativo con procedure e meccanismi tali per cui i requisiti di sicurezza assicurano garanzie nei confronti di rischi di attacchi ed incidenti noti;
  • rilevante (substantial); a questo livello viene certificato un servizio cloud che è realizzato e reso operativo con procedure e meccanismi tali per cui i requisiti di sicurezza assicurano garanzie nei confronti di rischi di attacchi ed incidenti noti ma anche per attacchi condotti da soggetti con competenze e risorse limitate;
  • alto (high); a questo livello viene certificato un servizio cloud che è realizzato e reso operativo con procedure e meccanismi tali per cui i requisiti di sicurezza assicurano garanzie nei confronti di rischi di attacchi ed incidenti rispetto allo stato dell’arte (quindi, anche potenziali ma non ancora comunemente noti) ma anche per attacchi condotti da soggetti con competenze e risorse significative.

L’ENISA spiega anche a quali servizi si adatta i tre livelli di garanzia:

  • il livello base si adatta ai servizi cloud progettati per assicurare i requisiti sufficienti a dati e sistemi non critici; per esempio, servizi di memorizzazione remota ad uso personale senza contenuti di carattere intimo;
  • il livello rilevante si adatta ai servizi cloud progettati per assicurare i requisiti sufficienti a dati e sistemi critici per il business; per esempio, per servizi di memorizzazione remota di fascicoli medici;
  • il livello alto si adatta ai servizi cloud progettati per assicurare i requisiti sufficienti a dati e sistemi impiegati in missioni critiche; per esempio, per servizi applicativi per compagnie aeree.

In questo quadro, ENISA calibra i requisiti di sicurezza ai diversi livelli di garanzia che, quindi, gli organismi di certificazione devono verificare.

Una specifica attenzione è rivolta alla sicurezza della supply chain (DEV-02 dell’allegato A dello schema) che richiede ai CSP che volessero certificare un loro servizio al livello alto l’esecuzione di un risk assessment per ogni prodotto utilizzato nella fornitura del servizio stesso. Questa caratteristica dello schema appare particolarmente rilevante perché, nel mondo del trattamento di dati personali, sembra spianare la strada ad uno degli aspetti più critici del rapporto tra titolare (cliente del servizio cloud), responsabile (CSP) e sub‑responsabili (fornitori del CSP). Infatti, oggi, per il titolare è sempre difficile ottenere dal responsabile del trattamento una lampante assicurazione delle garanzie offerte dal sub‑responsabile; la certificazione del rispetto di questo requisito fornirebbe al titolare la tranquillità di una seria scelta di partner da parte del responsabile del trattamento.

A cura di ICT SECURITY MAGAZINE