Marco Calamari

Cassandra Crossing/ L'insostenibile inaffidabilità del Cloud

di M. Calamari - Sempre più aziende, istituzioni e pubbliche amministrazioni si rivolgono a soluzioni che operano sulla nuvola. Ma se i dati sono esposti al tecnocontrollo, chi è disposto a fidarsi?

Roma - Delle vittime e dei beneficiari dello scandalo Datagate si è parlato più che a sufficienza nei media: la notizia è ormai troppo sfruttata, anche se tanto rimarrebbe ancora da scrivere e da capire. Nessuno però avrebbe messo in conto contraccolpi pesanti per un intero settore commerciale in tumultuosa crescita: i fornitori di servizi Cloud e SaaS, cioè coloro che mettono a disposizione risorse informatiche virtualizzate e raggiungibili in rete geografica (server, cpu, spazio disco etc.) o addirittura interi servizi software, da un database ad un'intera applicazione CRM.

Per le aziende significa esternalizzare la maggior parte dei servizi IT in un colpo solo, e spesso su un unico fornitore, con un occhio alle economie di bilancio e l'altro a sempre graditi tagli di teste nei servizi IT interni. Persino le Pubbliche Amministrazioni ed i loro fornitori stavano iniziando ad orientarsi verso il Cloud, che prometteva non solo risparmi nei costi e guadagni in flessibilità, ma anche uno spruzzo di modernità di cui i loro servizi IT hanno sempre avuto molto bisogno.
L'onda lunga del Datagate, come un imprevisto tsunami, ha colpito anche loro.

Quale azienda con una vera proprietà intellettuale, fatta anche di segreti industriali e ricerca & sviluppo, affiderà mai i suoi dati ed il suo futuro ad aziende IT che sono state legalmente e segretamente coartate a fornire a terzi tutte le informazioni dei loro clienti?
E se queste informazioni fossero state gli archivi di un nuovo prodotto o le mail di importantissime trattative industriali o legali in corso?
Non sarebbe la prima volta (Echelon docet) che dati intercettati per finalità di sicurezza nazionale si trasformano come per magia in vantaggio competitivo per le aziende della nazione intercettante.
Quale PA può prestare credito a garanzie legali sul trattamento dei dati posti nel Cloud, visto che le controparti sono obbligate a violarli ed a mantenere il segreto? Certo, formalmente le Pubbliche Amministrazioni possono anche considerarle comunque valide, ma potrebbero in futuro essere loro contestate violazioni sostanziali, perché note e palesi, dei loro doveri di privacy e riservatezza.

Dulcis in fundo, i dati delle Pubbliche Amministrazioni e quelli più riservati ancora dello Stato sfumano gli uni negli altri: posto che la sicurezza nazionale si possa gestire con scelte commerciali, il Cloud sembra davvero l'ultima scelta da prendere in considerazione.

Un discreto marasma si è perciò creato nelle offerte dei fornitori di servizi Cloud: c'è stato chi ha delocalizzato server fisici in Europa per garantire un safe harbour nei confronti degli Stati Uniti, chi ha offerto soluzioni crittografiche più robuste come architettura (tipicamente end-to-end), chi infine si è limitato ad inserire nuove clausole di non responsabilità nei contratti in essere, ed a farle accettare dai loro clienti.

Solo il tempo ci dirà se questa ondata si rivelerà una tempesta in un bicchier d'acqua e tutto tornerà come prima, o se la sicurezza e la privacy tecnologica, contrattuale e legale dei servizi Cloud cambieranno, magari migliorando.

Marco Calamari
Lo Slog (Static Blog) di Marco Calamari
L'archivio di Cassandra/ Scuola formazione e pensiero
46 Commenti alla Notizia Cassandra Crossing/ L'insostenibile inaffidabilità del Cloud
Ordina
  • Solitamente mi trovo in sintonia con i suoi articoli, ma questa volta qualcosa "stride", la discussione sembra tirata per i capelli.

    Il cloud è una delle possibili realizzazioni del paradigma client/server e dove per applicazioni "standard" alcuni fornitori esterni si propongono come gestori del servizio, ma non necessariamente gli unici depositare della tecnologia.

    Per quella che è la mia esperienza (diretta ed indiretta) aziende medio-grandi, in cui esiste un reparto IT che sa cosa significa fare IT e gestire un centro di calcolo, continueranno a mantenere i propri dati internamente se ritenuti molto sensibili (ad es. i dati di marketing o di un nuovo prodotto) o per obbligo (in ambito operatori telefonici ci sono dati che non solo devono stare su server sicuri ma anche su macchine fisicamente separate con controllo degli accessi anche fisici garantibili solo con la gestion in-house, e questo per le normative del garante).

    Per dati meno sensibili o i servizi più standard è tuttavia probabile che seguano una strada di "esternalizzazione" perchè il rapporto tra costi/benefici per mantenerli interni non regge.
    L'esempio tipico è la mail: per quale motivo una azienda si dovrebbe accollare i costi di server, sistemisti, licenze, accessi da internet, sincronizzazione tra dispositivi, etc per fornire un servizio peggiore di quello che posso avere con gmail (per citarne uno noto a tutti) dove pagando un canone fisso e generalmente inferiore al costo di una gestione interna?

    Per le aziende più piccole non vi è, di fatto, alternativa all'uso di servizi "preconfezionati" se vogliono avere applicazioni di buon livello con (nella maggior parte dei casi) un servizio di assistenza più efficace.
    Ho visto tante piccole ditte artigiane affidarsi al "consulente" di turno per l'installazione e la configurazione di un "software di contabilità" che altro non era che uno sviluppo Visual BasicTriste pagandoli anche 5000 euro l'anno. E soprattutto ho visto perdere tutti i dati per un guasto dell'HD non ridondato e di cui non era mai stato fatto un backup (nemmeno consigliato dal consulente pagato 5000 euro l'anno)
    Servizi in cloud costano un decimo l'anno e sono costantemente aggiornati e (almeno con le parole del contratto) garantiscono una buona protezione dei dati (backup, ridondanza) e sicurezza.

    Se volete si può disquisire fino a consumare i tasti sull'oppurtunità o meno di affidare alcuni dati ad aziende esterne per il rischio che queste aziende non onorino i contratti (ad esempio l'accesso ai nostri dati a terzie è un rischio concreto) ma sull'altro piatto ci stanno i costi associati ad una gestione in-house che per garantire lo stesso livello di servizio richiede investimenti che le aziende non possono o non vogliono sostenere.
    Anche in questo senso non sono d'accordo con l'affermazione di Calamari riguardo l'opportunità di evitare l'uso di strutture cloud per la P.A. Spendere parte dei soldi delle mie tasse per alimentare sistemi informatici con procedure di accesso bizantine (metà codice di accesso on-line, metà spedito per posta cartacea, ma anche il portale italia, etc) non mi entusiasma e alimenta solo giri di consulenze e favori che fanno lievitare i costi ogni oltre limite lecito. Inoltre la frammentazione delle PA ha portato a gestioni diverse da città a città delle stesse funzioni (perchè pargare il bollo auto a Milano deve essere diverso che a Bologna?) o all'uso di applicativi diversi per fare la stessa cosa. Perchè, per scelte locali di ogni PA, non è possibile che per rinnovare la patente debba portare io dei certificati rilasciati da un altro ente della PA?

    L'uso di un approccio cloud obbligherebbe ad una uniformità nella gestione (e si possono avere anche soluzioni che funzionano egregiamente off-line e si sincronizzano onl-line) delle informazioni e quindi dei nostri dati, magari semplificandoci la vita e riducendo i costi della PA.
    Ed in questo caso non è ne detto ne obbligatorio che il fornitore del cloud sia un ente esterno alla PA...

    Non sono quindi d'accordo quando si sostiene che il cloud è negativo e da evitare comunque e a prescindereSorride perchè è una posizione anacronistica.
    Sono invece convinto che sia necessario evidenziare come alcuni dati siano da considerare "patrimonio aziendale" e come tali trattati, anche se convincere il mio idraulico di questo è davvero difficileTriste
    non+autenticato
  • - Scritto da: Yoghi

    >
    > Non sono quindi d'accordo quando si sostiene che
    > il cloud è negativo e da evitare comunque e a
    > prescindereSorride perchè è una posizione
    > anacronistica.
    >
    > Sono invece convinto che sia necessario
    > evidenziare come alcuni dati siano da considerare
    > "patrimonio aziendale" e come tali trattati,
    > anche se convincere il mio idraulico di questo è
    > davvero difficile
    >Triste

    Perdi tempo: la gente qui odia il cloud perchè ne è terrorizzata. Significa la fine della loro già scarsa utilità. Significa basta soldi facili per gli scalzacane IT improvvisati che infestano i reparti delle PMI. Finalmente un bel taglio e tutti fuori dalle scatole come meritano.Occhiolino

    Avete finito di mangiare a sbafo, cantinari da quattro soldi. Per voi è finita.Rotola dal ridere
    non+autenticato
  • Non capisco perchè si continui a discutere di queste cose come se avessero senso.
    Senza voler essere paranoici, non è detto che l'informazione riservata sia quella a cui è impedito l'accesso ad altri soggetti (ssl, dischi criptati e roba simile), anche una semplice lettera spedita con un corriere o con la posta può esserlo.
    Il problema è che ci si affida ad entità come Google, che te lo dicono espressamente che con le informazioni che usi in qualunque servizio, loro ci possono fare qualsiasi cosa.
    Non ha senso parlare di riservatezza, in questo caso, quindi chiunque si rivolga ai servizi di questa gente o non è interessato alla cosa o non capisce nulla di informatica o riservatezza dell'informazione, il che, in sintesi è il perfetto profilo di chi prende le decisioni in una azienda tipo.
    non+autenticato
  • Antidiluviana e inutile, retaggio del passato che non ha più senso di esistere nè come storage nè come cloud computing. Quei poveraqcci che si gonfiano a pronunciare la parola cloud mi fanno pena come uno che fa il figo e si vanta di guidare una 126 consumata dalla ruggine ...
    non+autenticato
  • è la tecnologia che gli permette di mettere le mani nei dati di tutti noi, per questo la spingeranno, nonostante sia roba vecchia e nonostante il criterio fondante di internet fosse la decentralizzazione ( in opposizione alla centralizzazione, che invece loro stanno spingendo fortemente )

    col cloud, internet diventa una nuova tv e addio alla libertà e indipendenza di tale media

    ma si sa, lorsignori vedono libertà ed indipendenza col fumo negli occhi
    non+autenticato
  • Non so fino a che punto convenga gli convenga spingere, perchè l'alternativa è questo tipo di sw opensource che mi ha tecnicamente incuriosito:

    http://retroshare.sourceforge.net/

    forse è meglio che lascino tutto così.
    non+autenticato
  • - Scritto da: prova123
    > Antidiluviana e inutile, retaggio del passato che
    > non ha più senso di esistere nè come storage nè
    > come cloud computing. Quei poveraqcci che si
    > gonfiano a pronunciare la parola cloud mi fanno
    > pena come uno che fa il figo e si vanta di
    > guidare una 126 consumata dalla ruggine
    > ...

    Concordo
  • la vedo utile per sincronizzare i segnali nei browser...
    non+autenticato
  • Occhio che vogliono sostituire il vecchio VT100 (con il prompt verde su fondo nero di default ... io da sempre ho trovato molto più riposante fondo ambra con inchiostro nero) con un più colorato browser, di fatto ti vogliono togliere un computer per darti in cambio un terminale, questo non deve passare.
    non+autenticato
  • > Occhio che vogliono sostituire il vecchio VT100
    > (con il prompt verde su fondo nero di default ...
    > io da sempre ho trovato molto più riposante fondo
    > ambra con inchiostro nero) con un più colorato
    > browser, di fatto ti vogliono togliere un
    > computer per darti in cambio un terminale, questo
    > non deve
    > passare.

    Newbie, inesperto
    Perchè ancora si usa? In quale caverna?
    Non è forse un terminale anche quello?
    non+autenticato
  • Guarda la luna ... non il dito ... ma fai attenzione ad avere una mano che copre sempre il sedere!A bocca aperta
    Il browser deve fare esclusivamente il browser. Punto.
    Già il fatto che ci sia qualcuno che pensi di fare girare l'Unreal Engine 4 nel browser ... o applicativi, tanto per citarne uno Office ... è già estremamente grave e deve essere boicottato sin da ora.
    Prevenire è meglio che curare.
    non+autenticato
  • Scommetto che se il tipico utente con smartphone/iphone e tablet, al quale hanno già lavato per bene il cervello facendogli credere che un "computer = terminale".Annoiato
    Le tue parole sono la dimostrazione che la situazione è già quella qui sotto descritta:
    "Devi capire che la maggior parte di loro non è pronta per essere scollegata. Tanti di loro sono così assuefatti, così disperatamente dipendenti dal sistema, che combatterebbero per difenderlo." (Morpheus)
    non+autenticato
  • C'è una differenza operativa abissale tra "un terminale" ed un dipositivo che "non è un terminale":
    nel primo caso se ti tolgono la rete il dispositivo diventa un pezzo di plastica/latta inutilizzabile, nel secondo caso è semplicemente un dispositivo offline.
    E' evidente che il computer attuale non è nemmeno un lontano parente dei terminali.
    non+autenticato
  • Non sono d'accordo.
    se il PC è utilizzato proprio per il cloud, se è offline
    diventa un coso inutile, giusto per giocare al solitario.
    non+autenticato
  • Premesso che mi piacerebbe vedere che definizione dà ciascuno di noi alla parola puramente markettara "cluod", è sempre stato evidente a chi ne capisce qualcosa di informatica che avere tutti i servizi essenziali in casa è una cosa buona e giusta. Naturalmente però questo comporta lavoro e compentenza, quindi l'esternalizzare tutto piace tanto a pigri, incompetenti e scaricabarili.
    non+autenticato
  • Io lo sostengo da sempre, ci voleva il datagate per far aprire gli occhi alla gente!

    1. La riservatezza dei dati che appunto non potrà mai essere paragonabile a quella ottenibile con soluzioni "domestiche"

    2. La accessibilità ai dati! Il cloud funzione solo always on, se la connessione è lenta o peggio assente, che si fa si aspetta?

    Dirò di più è tutto il concetto client/server che deve essere rivisto, la rete anche nel migliore dei casi è un collo di bottiglia rispetto alla velocità di accesso ai dati in locale, quindi è stupido insistere su modelli always on, molto meglio stoccare i dati in locale e procedere all'aggiornamento dell'archivio remoto o on demand o ad intervalli di tempo prestabiliti, si decongestiona la rete e si rendono molto meno critici suoi eventuali blocchi temporanei, chissà se qualche pagatissimo CEO prima o poi ci arriverà...
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: Enjoy with Us
    > > Io lo sostengo da sempre, ci voleva il
    > datagate
    > > per far aprire gli occhi alla
    > > gente!
    >
    > ma magari... se fosse così metà delle aziende del
    > Nasdaq avrebbero sensibilmente perso il proprio
    > valore in
    > borsa.
    > Invece nulla di nulla, anzi continuano a
    > gonfiarsi.
    In effettti il punto è che non direi che in molti "abbiano aperto gli occhi"... dormono alla grande!
    non+autenticato
  • Pienamente d'accordo con i limiti che hai citato....
    non+autenticato
  • - Scritto da: Enjoy with Us
    > Io lo sostengo da sempre, ci voleva il datagate
    > per far aprire gli occhi alla
    > gente!
    >
    > 1. La riservatezza dei dati che appunto non
    > potrà mai essere paragonabile a quella ottenibile
    > con soluzioni
    > "domestiche"
    >
    > 2. La accessibilità ai dati! Il cloud funzione
    > solo always on, se la connessione è lenta o
    > peggio assente, che si fa si
    > aspetta?
    >
    > Dirò di più è tutto il concetto client/server che
    > deve essere rivisto, la rete anche nel migliore
    > dei casi è un collo di bottiglia rispetto alla
    > velocità di accesso ai dati in locale, quindi è
    > stupido insistere su modelli always on, molto
    > meglio stoccare i dati in locale e procedere
    > all'aggiornamento dell'archivio remoto o on
    > demand o ad intervalli di tempo prestabiliti, si
    > decongestiona la rete e si rendono molto meno
    > critici suoi eventuali blocchi temporanei, chissà
    > se qualche pagatissimo CEO prima o poi ci
    > arriverà...

    Toh guarda, hai appena descritto iCloud.
    ruppolo
    33147
  • - Scritto da: ruppolo

    > Toh guarda, hai appena descritto iCloud.

    no, ha appena descritto le millemila architetture terminale/mainframe diffuse fin dagli anni '60
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: ruppolo
    >
    > > Toh guarda, hai appena descritto iCloud.
    >
    > no, ha appena descritto le millemila architetture
    > terminale/mainframe diffuse fin dagli anni
    > '60

    Tutta gente che ha per decenni sfruttato impunemente la grande idea di Jobs!
  • - Scritto da: ruppolo
    > - Scritto da: Enjoy with Us
    > > Io lo sostengo da sempre, ci voleva il datagate
    > > per far aprire gli occhi alla
    > > gente!
    > >
    > > 1. La riservatezza dei dati che appunto non
    > > potrà mai essere paragonabile a quella
    > ottenibile
    > > con soluzioni
    > > "domestiche"
    > >
    > > 2. La accessibilità ai dati! Il cloud funzione
    > > solo always on, se la connessione è lenta o
    > > peggio assente, che si fa si
    > > aspetta?
    > >
    > > Dirò di più è tutto il concetto client/server
    > che
    > > deve essere rivisto, la rete anche nel migliore
    > > dei casi è un collo di bottiglia rispetto alla
    > > velocità di accesso ai dati in locale, quindi è
    > > stupido insistere su modelli always on, molto
    > > meglio stoccare i dati in locale e procedere
    > > all'aggiornamento dell'archivio remoto o on
    > > demand o ad intervalli di tempo prestabiliti, si
    > > decongestiona la rete e si rendono molto meno
    > > critici suoi eventuali blocchi temporanei,
    > chissà
    > > se qualche pagatissimo CEO prima o poi ci
    > > arriverà...
    >
    > Toh guarda, hai appena descritto iCloud.

    Sapessi... sapessi cosa si può fare con le reti mesh.Sorride
    Altro che iCloud centralizzato che ancora rincorre i dinosauri.
  • - Scritto da: Albedo 0,9

    > Sapessi... sapessi cosa si può fare con le reti
    > mesh.
    >Sorride
    > Altro che iCloud centralizzato che ancora
    > rincorre i
    > dinosauri.

    Cosa si può fare con le reti mesh?

    Su, vediamo. Facci vedere cosa si può fare con le reti mesh.

    Poi spiegaci perchè non vengono usate, ma per favore niente complotti o rettiliani.Occhiolino
    non+autenticato
  • ci fai la botnet per lo spamA bocca aperta
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)