Stati Uniti
Mentre gli esperti lanciano l’allarme sulla crescita, anche nel 2010, delle minacce alla sicurezza informatica – con particolare riferimento al cloud computing – Microsoft ha chiesto al Congresso americano di varare una legge che ponga le basi per una tutela omogenea dei consumatori che usano le ‘nuvole’ per conservare i propri dati digitali, prima che ogni Stato intervenga e si finisca per creare un mosaico di leggi in conflitto tra loro.
Une delle caratteristiche del cloud computing è quella di permettere agli utenti di utilizzare risorse hardware in remoto come se tali risorse fossero implementate da server o periferiche personali “standard”.
Secondo l’ultimo report di Trend Micro sulle potenziali minacce che caratterizzeranno il panorama della sicurezza nei prossimi mesi, tra le tecnologie che verranno sfruttate ampiamente dai cyber-criminali, vi sono certamente le nuove frontiere dell’IT.
“Se è innegabile – hanno spiegato gli esperti – che il cloud computing e la virtualizzazione offrono benefici e risparmi rilevanti, è altrettanto reale che queste tecnologie spostano i server al di fuori del tradizionale perimetro di sicurezza, andando così ad ampliare il campo di gioco dei cybercriminali”.
Microsoft “…ha sostenuto importanti investimenti per la realizzazione di una infrastruttura cloud”, ha affermato il vicepresidente Brad Smith, chiedendo al Congresso una legge che permetta di migliorare la tutela della privacy e di intervenire tempestivamente contro eventuali attacchi informatici.
Smith parla a ragion veduta, dal momento che a ottobre un non meglio identificato problema nel sistema centralizzato di “cloud storage” gestito dal provider T-Mobile, portò alla perdita dei dati degli utenti di Sidekick – uno smartphone prodotto da Danger Incorporated (azienda acquisita da Microsoft nel 2008) – i quali hanno perso tutti i dati memorizzati nei loro dispositivi.
Smith ha quindi chiesto alle compagnie attive nell’offerta di servizi cloud di essere estremamente chiare con gli utenti sui possibili utilizzi delle loro email, delle foto e degli altri dati e sulle misure intraprese per contrastare hacker e ladri.
“Vorrebbe dire – ha aggiunto Smith – che i consumatori riceverebbero informazioni chiare e dettagliate sui diritti dei provider di servizi cloud di utilizzare le informazioni immagazzinate nelle ‘nuvole'”.
Quale sorta di notifica sarebbe richiesta a una compagnia come Microsoft se se i dati venissero rubati o piratati?
“Se i dati venissero compromessi e un hacker avesse la possibilità di leggere email, account e altre informazioni personali, credo che le persone coinvolte vogliano esserne informate”, ha aggiunto Smith, insistendo nella richiesta di una legislazione ‘leggera’ e mirata, da varare nel più breve tempo possibile.
La Commissione europea, ad esempio, ha incluso nella riforma delle norme che disciplinano il settore delle telecomunicazioni, l’obbligo per gli operatori di denunciare all’autorità di regolamentazione le violazioni della sicurezza, quale il furto di un elenco di clienti da un fornitore di servizi Internet.
In base alle nuove disposizioni, in sostanza, quando si verificherà una violazione della sicurezza, l’operatore dovrà informare autorità e cittadini della possibilità di trovarsi di fronte a un danno causato della perdita dei loro dati personali. Gli operatori di rete dovranno inoltre informare le competenti autorità nazionali di regolamentazione dei casi di violazione o perdita di integrità che abbiano avuto un impatto significativo sul funzionamento delle reti o servizi.
Questo perché, ha sottolineato più volte l’ex commissario ai media e alla società dell’informazione, Viviane Reding, “coloro che trattano informazioni personali devono adottare le misure di sicurezza necessarie per contrastare i rischi per i dati”.
L’approccio europeo in questo senso è molto chiaro: “Individuare le responsabilità e fornire i giusti incentivi alle parti interessate”.
Tali incentivi possono essere negativi, come l’obbligo di notifica delle violazioni, o positivi, come l’esenzione da responsabilità per gli operatori che possono dimostrare di aver messo in atto alcune norme minime di sicurezza.