Cloud storage privacy, ovvero tutto quello che un’azienda dovrebbe sapere sui processi di archiviazione in cloud. Evitare di diventare vittime di una violazione dei propri dati che si trovano da qualche parte su Internet dovrebbe essere un grosso punto di attenzione per le aziende.
Prima di sottoscrivere un contratto, qualsiasi organizzazione dovrebbe capire in che modo anche i fornitori più fidati potranno utilizzare i dati più riservati archiviati sulla nuvola.
Imparare a capire quali sono le informazioni utili
In questo articolo gli esperti forniscono informazioni importanti in merito alla gestione della privacy quando l’archiviazione dei dati viene affidata a un cloud provider.
Come esempio di riferimento è stato preso Dropbox (anche perché è un fornitore molto popolare alla stragrande maggioranza dei lettori). In ogni caso, le osservazioni sul trinomio cloud storage privacy valgono anche per molti altri fornitori.
Il primo punto da smarcare sono le policy in merito alla gestione della privacy. Nel contratto vengono utilizzate tantissime parole per fornire, in realtà, pochissime informazioni utili. La pagina sulla privacy di Dropbox offre 2000 parole di dettaglio senza entrare nel merito di chi può vedere e utilizzare i dati archiviati nel cloud. In effetti, gran parte della discussione sulla privacy si disperde nelle note riguardanti la politica aziendale sulla gestione dei cookie, delle modalità di contatto e le note di utilizzo del servizio da parte dell’utente. Ma per quanto riguarda la sicurezza e la privacy dei dati dei clienti?
Come funziona la disponibilità dei dati: l’esempio Dropbox
Diamo un’occhiata a un esempio di come funziona la disponibilità dei dati. Gli utenti accedono a Dropbox tramite ID utente e password, magari facendo uso anche dell’autenticazione a più fattori. Possono poi decidere anche con chi condividere i file tramite la GUI di Dropbox. L’errore è ritenere che, senza esplicita autorizzazione, nessuno possa visualizzare i file custoditi dal provider.
Intanto da luglio a dicembre 2018, Dropbox ha fornito contenuti in risposta a 526 richieste di ricerca. Pertanto, mentre Dropbox utilizza lo standard di crittografia avanzata a 256 bit per crittografare i dati archiviati, è evidente che è in possesso anche delle chiavi di crittografia. Se non le avesse, infatti, non sarebbe in grado di fornire i contenuti dei search warrant associati alla reportistica che condivide periodicamente.
La questione è che, accettando di sottoscrivere un accordo in merito ai termini di servizio (ToS – Term of Service), gli utenti di Dropbox concedono al provider diverse cose. L’azienda, infatti, offre agli utenti diversi servizi, come anteprime dei documenti e riconoscimento ottico dei caratteri, ma il ToS esplicita come per offrire queste funzionalità, “Dropbox accede, archivia e scansiona i suoi materiali e le sue informazioni [in inglese il termine usato è stuff ndr]. Tale permesso e relativa autorizzazione si estendono ai nostri affiliati e terze parti fidate con cui collaboriamo”.
I dati aziendali preziosi e riservati dei clienti, dunque, per Dropbox sono solo stuff, ovvero generiche cose. In sintesi, sembra che il provider dei dati gestiti possa fare praticamente tutto ciò che vuole, senza violare il ToS.
Cloud storage provacy: le domande sulla protezione dei dati da porre ai fornitori
Gli utenti hanno il diritto di sapere come vengono utilizzati i loro file. Se privato e confidenziale sembra essere una sorta di bolla speculativa, sempre e comunque i provider dello storage in cloud dovrebbero essere molto più chiari al riguardo. Ecco, dunque, cinque domande da porre a qualsiasi fornitore che vi aiuteranno a comprendere meglio quanto sono riservati i vostri dati archiviati nel cloud.
- Chiavi di crittografia: supponendo che i dati dei propri file siano crittografati nel sistema di storage, chi ha accesso alle chiavi di crittografia?
- Accesso del supporto tecnico ai file: che si tratti di dipendenti, appaltatori o terze parti, il supporto tecnico ha accesso ai file memorizzati nel cloud?
- Scansione di parole chiave: il provider prescelto o le terze parti eseguono la scansione o elaborano i file in altro modo? In tal caso, cosa succede alle informazioni ottenute durante la scansione?
- Copie dei file di dati: per fornire un servizio sicuro e ridondante, è meglio eseguire il backup o la replica dei file di dati in un’altra posizione o sullo stesso sistema? In tal caso, quali sono i controlli per impedire a personale interno o terze parti di accedere a queste copie dei propri file di dati?
- In materia di audit: come salvaguardare le proprie policies rispetto agli accessi interni non autorizzati ai file dei clienti?
Come fanno notare gli esperti, sempre prendendo Dropbox a riferimento, non si trovano risposte chiare a nessuna delle domande succitate. Le imprese dovrebbero essere sicure di fare bene le proprie ricerche in merito al tema della cloud storage privacy.
Zero-knowledge: i fornitori alternativi
Sebbene non siano particolarmente noti, alcuni fornitori di cloud storage, tra cui Tresorit, SpiderOak e pCloud, hanno implementato servizi a conoscenza zero. Il modello zero-knowledge è un principio che viene applicato alla sicurezza del cloud. I dati, generati da un’applicazione e archiviati nel cloud, rimarranno privati e noti solo all’utente finale che sarà l’unico in grado di accedere e leggere i dati in chiaro.
Il fornitore di servizi cloud (e qualsiasi utente malevolo che ha ottenuto l’accesso all’archivio dati in cui sono archiviate le nostre informazioni) vedranno solo dati confusi. L’obiettivo di questo approccio? Proteggere dati importanti come nomi utente, password, numeri di previdenza sociale da occhi indiscreti o malintenzionati. I provider che applicano servizi zero-knowledge alla loro archiviazione in cloud crittografano i file dei clienti prima che i file lascino i loro pc. I file possono quindi essere decifrati solo usando una chiave posseduta esclusivamente dai clienti. In tal caso, il tema della cloud storage privacy non sussiste.
