Grazie alle nuove tecnologie industriali, l’Industria 4.0 sta trasformando sempre più velocemente le aziende in sistemi connessi e automatizzati. Le soluzioni IoT vanno di pari passo con l’integrazione di tecnologie di cloud sicuro, indispensabili per la protezione dei dati. La comunicazione tra macchine, basata sull’Internet of Things (IoT), permette infatti di ottenere dati aggregati sempre più avanzati e in tempo reale, che costituiscono la vera ricchezza dell’azienda, per la cui archiviazione, l’azienda necessita di un sistema cloud sicuro al pari di un’infrastruttura comoda e veloce. Server fisici e storage locali potranno certamente continuare a servire, ma la sicurezza del cloud è indiscutibile. Infatti mentre per i primi la sicurezza varia a seconda dei sistemi che vengono adottati per la loro protezione, come ad esempio firewall o controllo degli accessi, nel caso del cloud i dati sono inviati a un server remoto, accessibile tramite una connessione Internet diretta o attraverso dei client o interfacce di controllo. Ma come è possibile sapere se il proprio cloud è sicuro? Vediamo in primo luogo cosa si intende per cloud sicuro.
Cosa si intende per cloud sicuro
Per parlare di cloud sicuro, spieghiamo brevemente che cos’è il cloud, letteralmente “nuvola” informatica, termine che determina la caratteristica principale della soluzione, ovvero computer, dispositivi e server connessi tramite Internet, in cui vengono archiviati dati indipendenti dalla posizione fisica. Cloud quindi è sinonimo di flessibilità, potendo disporre e avere accesso ai propri dati aziendali da qualunque dispositivo connesso, sia esso PC, tablet o smartphone, ovunque ci si trovi.
Per questa ed altre ragioni sono sempre di più le aziende che affidano al cloud la gestione dei propri flussi di lavoro, ma la maggiore preoccupazione legata alla memorizzazione dei dati con questo tipo di sistema resta la protezione e quindi sapere se il cloud è sicuro o meno in un’ottica di “business continuity”.
Anche se l’inviolabilità assoluta non può essere garantita da nessun sistema, data anche l’evoluzione continua delle minacce cibernetiche, occorre precisare che oggi più che mai, i servizi di cloud storage sono in grado di garantire un livello di protezione maggiore rispetto a quello che un’azienda potrebbe garantirsi al suo interno, con un sistema di storage locale. Sappiamo tutti che la sicurezza al 100% non è possibile, ma una sicurezza completa a più strati include sistemi di controllo di accesso, monitoraggio continuo delle minacce, crittografia dei dati, sicurezza dei data center fisici, protezione dalla rete, ridondanza dei dati, convalida dei dati, monitoraggio di attività e accessi sospetti, ecc.
È quindi importante scegliere un sistema di cloud sicuro e affidabile per proteggere i propri impianti da attacchi e incidenti informatici, limitare ed evitare problematiche legate alla sicurezza dei dati e alla safety di persone, macchine e ambiente. Un sistema adatto al livello di protezione di cui l’azienda ha bisogno, sulla base della teoria (e la pratica) della security-by-design. Una buona guida ai requisiti del cloud sicuro è la Cloud Control Matrix (CCM) di CSA Cloud Security Alliance che sta alla base delle certificazioni CSA STAR (Security, Trust & Assurance Registry)
I 5 criteri di scelta per un servizio cloud sicuro
Se hai già trasferito o sei in procinto di trasferire i tuoi dati su cloud e ti stai chiedendo come proteggere le informazioni sensibili, come evitare l’accesso esterno non consentito o il furto e la compromissione del bene più prezioso dell’azienda, cioè i dati, e come scegliere un cloud sicuro, ecco 5 caratteristiche che un sistema cloud deve possedere per essere ritenuto un cloud sicuro.
1. Crittografia dei dati
Una prima caratteristica di un cloud sicuro è la presenza di sistemi crittografici basati su elevati standard di sicurezza all’interno dello spazio fornito in cloud per la protezione di documenti e dati sensibili. La crittografia cloud dovrebbe essere essenziale per le aziende a causa delle frequenti violazioni dei dati sui servizi cloud. In base al report 2022 “Cost of a Data Breach” dell’Istituto Ponemon, sponsorizzata, analizzata e pubblicata da
IBM Security®, l’83% delle organizzazioni interessate dallo studio ha subito più di una violazione dei dati e solo il 17% ha dichiarato che si è trattato del primo episodio. Senza la crittografia, le informazioni e i dati salvati nel cloud saranno protette solo dalle chiavi online, ovvero le singole password che vengono inserite per accedere all’account cloud, facilmente violabili.
2. Integrità dei dati
Per ridurre i rischi sul fronte della cyber security, in secondo luogo, è opportuno che il cloud abbia un sistema che controlli l’integrità dei dati, ovvero che tenga costantemente sotto controllo i dati gestiti e sia in grado di individuare anomalie a livello infrastrutturale. Una simile funzionalità consentirà al sistema di inviare avvisi se un soggetto non autorizzato provasse a modificare qualcosa. L’integrità dei dati mantiene e assicura l’accuratezza e la completezza del dato, in modo tale che i dati presenti nel cloud possano essere archiviati correttamente e in maniera affidabile senza possibilità di manomissione, eliminazione, anche involontaria.
3. Conformità al GDPR, NIS e NIS2
Terza condizione è che disponga di condizioni contrattuali chiare e trasparenti che rispettino le norme sulla privacy stabilite dal GDPR, e per le aziende/organizzazioni soggette, anche a quelle relative alla Direttiva NIS (Direttiva 2016/1148 sulla sicurezza delle reti e dei sistemi informativi), recepita nel nostro ordinamento attraverso il decreto legislativo 18 maggio 2018, n. 65 (anche detto “decreto legislativo NIS”), in vigore dal 24 giugno 2018, e alla più recente ed estesa Direttiva NIS2, pubblicata a fine novembre 2022 . Infatti, una delle problematiche relative alla riservatezza è data dal cosiddetto “loss of control”, ossia dal rischio per l’utente di perdere il controllo sui dati immessi nella “nuvola”.
È inoltre opportuno che il sistema cloud abbia garanzie, tramite certificazioni ufficiali, sulla qualità dei processi e delle misure di sicurezza adottate dal provider. GDPR e NIS hanno riconosciuto la necessità di misure tecniche atte a garantire “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”.
4. Controllo degli accessi
Il cloud deve avere dei sistemi di controllo di accesso e deve essere dotato di chiare policy di autentificazione e strumenti in grado di creare log di controllo per monitorare costantemente l’utilizzo e l’accesso ai dati, in modo che vengano forniti solo a persone autorizzate. Per un cloud sicuro, diventa quindi fondamentale l’analisi dei modelli di controllo degli accessi disponibili in quanto devono garantire l’interoperabilità tra sistemi cloud e on-premise in modo che le aziende possano gestire risorse che risiedono su public cloud, private cloud ed altre tipologie di sistemi, anche multi-cloud, e garantire la comunicazione tramite API condivise.
I sistemi di controllo accessi cloud-based sono flessibili e scalabili, anche dal punto di vista dei costi. Crescono con l’azienda e possono adattarsi rapidamente alle nuove esigenze.
5. Comunicazione sicura
La quinta ed ultima caratteristica riguarda la trasmissione dati dall’impianto al cloud: occorre infatti instaurare una comunicazione sicura (https://www.servitecno.it/prodotti/skkynet/), anche utilizzando gateway IoT con protocollo MQTT (Message Queue Telemetry Transport), che consentono la gestione e l’elaborazione dei dati in tempo reale, effettuando una connessione in uscita dall’impianto al servizio cloud senza aprire alcuna porta del firewall in ingresso, fattore essenziale per la sicurezza dell’impianto. In pratica è buona norma ricordare che avere un cloud sicuro non mette al riparo l’impianto se la compromissione dei dati avviene nell’atto della trasmissione degli stessi al cloud.
