Chi ha paura del G-Cloud? Dall’Europa 10 raccomandazioni

L’Europa ha una precisa strategia per il cloud computing, impostata e comunicata già nel 2012 con la EU Cloud strategy. Tuttavia gli stati membri si stanno muovendo a rilento – nonostante qualche eccezione – bloccati più che da veri problemi, da paure o falsi miti. Un quadro tutt’altro che roseo ben delineato dall’ENISA – European Union Agency for Network and Information Security che, in collaborazione con il Dipartimento di Ingegneria Civile e Ingegneria Informatica dell’Università di Roma Tor Vergata, ha appena pubblicato una “guida per la realizzazione di reti infrastrutturali digitali basate sul concetto di Cloud: “Good Practice Guide for securely deploying Governmental Clouds”.

Partendo dal livello di diffusione e utilizzo del Cloud computing nelle pubbliche amministrazioni di 23 Paesi europei[i] e sulla loro strategia nazionale di Governemnt Cloud (sia per uso interno che per l’erogazione di servizi presso il cittadino ed altre amministrazioni), l’analisi dell’ENISA approfondisce il problema della sicurezza andando ad indagare problematiche e soluzioni adottate, proponendo infine delle linee guida per superare le criticità individuate.

Per un’analisi dettagliata di cosa si intenda con Government Cloud, o G-Cloud, e di quali potrebbero essere le applicazione de i benefici rimandiamo ad un articolo di approfondimento che presentammo in vista dell’edizione 2012 di FORUM PA. E’ infatti interessante soffermaci a riflettere sui dati che questa analisi comparata mette in luce.

L’elemento principale è che gli ostacoli individuati dai rappresentati dei vari paesi membri sono per lo più organizzativi oppure legati a questioni di governance e di “competenza”, o ancora a pseudo problemi come la sicurezza, la privacy, la nazionalità dei datacenter. Insomma di problemi tecnici ce ne sono pochi.

Eppure gli Stati Membri dell’EU che hanno sviluppato una strategia nazionale in ambito cloud sono solo tre, molti ci stanno pensando e diversi non hanno idea di dove si dovrebbe cominciare o ritengono che “non sia compito loro” cominciare. Prendendo spunto dallo studio dell’ENISA si possono individuare quattro categorie:

In confronto al “ben informati”, che sono disposti ad adottare il Cloud, ma con una pianificazione più a lungo termine (3-4 anni) e che già sono in fase di studio e approfondimento di soluzioni di G-Cloud, gli “innovatori” (tra cui si posizione a pieno titolo anche l’Italia) sembrano essere in una posizione di attesa. Non hanno il respiro del lungo termine e guardano all’Europa come attore principale che dovrebbe avviare un intervento per armonizzare la normativa dei vari Paesi.

In questo contesto l’adozione del Cloud è dovuta principalmente ad un approccio bottom-up guidato più dalla necessità di rendersi competitivi e la ricerca dell’innovazione che dai vantaggi economici che Cloud promette. La prassi più diffusa è quella di affidare ad aziende private la gestione ed il mantenimento dei servizi cloud pubblici e delle infrastrutture, il che determina un’elevata frammentazione ed una interoperabilità praticamente nulla. Non mancano iniziative di ottimo livello e di valore, avviate per lo più dal middle management dell’amministrazione pubblica o dai livelli regionali, tuttavia si tratta di azioni e progetti che restano isolati e non integrati in una visione strategica. Insomma restiamo imbrigliati in quella classica macchia di leopardo che pare debba caratterizzare tutto il nostro percorso di innovazione e digitalizzazione.

Il report dell’ENISA si conclude con 10 indicazioni concrete su quali siano le azioni da intraprendere e chi ne debba farsene carico, per migliorare questa situazione ed limare gli ostacoli che si sono presentati fino ad oggi. Vediamoli nel dettaglio:

v:* {behavior:url(#default#VML);} o:* {behavior:url(#default#VML);} w:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);}Normal 0 14MicrosoftInternetExplorer4/* Style Definitions */ table.MsoNormalTable {mso-style-name:”Tabella normale”; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-parent:””; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:”Times New Roman”;}
<!–![endif]__comment__end__

La buona realizzazione di un progetto di sviluppo o implementazione, richiede che a monte ci sia l’elaborazione di una strategia di azione realizzata da un Ente governativo centrale, come l’Unione Europea. Questo documento deve contenere oltre che la definizione di una governance anche gli aspetti tecnici, legali e organizzativi. Contestualmente va elaborato un piano che presenti la vision e gli obiettivi. La mancanza di strategia e di un quadro normativo sono ostacoli critici per l’avvio dei servizi governativi cloud. Un piano di “step – by- step ” sarebbe una opzione per introdurre gradualmente il cloud nel settore pubblico, in modo che si acquisti più fiducia verso queste soluzioni tecnologiche nel corso di un periodo di transizione e quindi consentire alle istituzioni pubbliche di assimilare il nuovo modo di gestire e distribuzione i servizi IT. Sarebbe inoltre utile valutare. Per valutare lo sviluppo di cataloghi di servizi pubblici che comprendano prodotti Cloud/applicazioni e servizi, a loro volta classificati per piattaforme cloud mirate, profili di utilizzo e best practice.

Oggi il modello conosciuto come private cloud è il più utilizzato dell’UE. Si dovrebbe sviluppare un modello di business volto all’uso pubblico che garantisca l’efficienza e l’economia di scala dei governmental cloud. Questo modello consentirà di ridurre i costi per migliorare i dati e la disponibilità del servizio, affidabilità e sicurezza.

Perdita di controllo dei dati e delle risorse è uno dei principali ostacoli al C-Cloud. Non è solo una questione di tecnologie, ma anche di consapevolezza, trasparenza, regolamentazione, accordi contrattuali tra fornitori e clienti governativi.

Da un punto di vista teorico, quando un ente governativo mette i dati e le applicazioni nel Cloud rimane ancora il proprietario ma, la mancanza di trasparenza delle procedure del cloud provider (ad esempio, le procedure standard per la distruzione dei dati ), la mancanza di buone clausole contrattuali e di un regolamento UE, lascia ancora dubbi sul potenziale fornitore dell’accesso e la capacità di manipolare i dati dei clienti. L’Europa e gli Stati membri, in collaborazione con i fornitori di cloud dovrebbero lavorare a stretto contatto per mitigare la “perdita di controllo” ed affrontare le questioni di: governance, monitoraggio e auditing, vendor lock-in e gestione dei dati.

I data center in cui vengono archiviati i dati possono essere situati in molti paesi diversi. La possibilità di individuare dati e risorse al di fuori del paese è spesso percepita come un ostacolo per l’adozione del G-Cloud, piuttosto che un vantaggio, per questioni di privacy. La definizione di un quadro normativo per la posizione dei dati in grado di ridurre i rischi di obiezioni da parte degli utenti governativi, dovrebbe essere sostituita da una normativa che piuttosto garantisca la sicurezza dei dati più che la loro posizione. Non è solo di prendere misure tecniche, spesso i governi locali vietano semplicemente che i dati di proprietà del governo si trovino all’estero. Occorre quindi elaborare dei riferimenti legislativi che tengano conto di queste complessità.

Per ammorbidire lo scetticismo delle istituzioni verso questa soluzione tecnologica, le misure dovrebbero essere promosse per incoraggiare lo sviluppo di sistemi e servizi che siano conformi alla normativa UE e normativa specifica paese.

Lo sviluppo di un quadro comune per contratti standard a livello del servizio è ampiamente dibattuto nella comunità. Questo lavoro è stato avviato nel quadro della strategia UE e ENISA ha un ruolo di supporto.

Per garantire la sicurezza per le istituzioni pubbliche va sviluppato un modello a cui i fornitori di cloud devono adattarsi, tramite un sistema di certificazione e definendo chiaramente i requisiti di ciascun livello di sicurezza. Gli utenti pubblici e fornitori dovrebbero essere liberi di scegliere il livello di sicurezza previsto e richiesto per i servizi pubblici, dopo una valutazione del rischio che dovrebbe essere effettuata prima dell’avvio dei progetti. Un insieme specifico di misure di sicurezza, a diversi livelli, sarebbe il modo per migliorare l’affidabilità della catena di approvvigionamento.

Considerando un quadro di gestione pubblico-privato la certificazione è a carico quasi esclusivo dei fornitori, mentre le istituzioni pubbliche raramente si dotano di simili struemtni garanzia di qualità. La Commissione europea, nel quadro della strategia dell’UE Cloud Strategy, ha avviato le attività di creazione di una meta-framework ai cui tutti i fornitori devono essere accreditati. ENISA fa parte del gruppo di lavoro competente.

Per supportare l’evoluzione delle tecnologie cloud conformi ai requisiti governativi, è importante promuovere la ricerca sul G-Cloud computing sfruttando programmi esistenti. La ricerca dovrebbe essere orientata a migliorare il livello di rischio-impatto di soluzione Cloud per servizi governativi.

Nello studio si parla di protezione dei dati facendo riferimento all’accesso autenticato e alla crittografia, ma sono ancora mezzi di difesa dei dati personali che nel Cloud non hanno trovato una implementazione matura.

A vederle bene gran parte – se non tutte – queste raccomandazioni sono già contenute in maniera implicita o esplicita nella strategia dell’UE del 2012, ma evidentemente i passi in avanti sono stati davvero esigui, se i referenti nazionali hanno ritenuto necessario ribadirle. E’ ora di rimboccarsi le maniche.