Sicurezza informatica a rischio continuo (e crescente), sopratutto se si parla di un ambiente libero e fluido come il cloud: le tattiche dei nemici da fronteggiare, gli hacker, diventano ogni giorno più aggressivi, subdoli e sofisticati.
Dall’altra parte della barricata ci sono i dati: l’elemento oggi di maggior importanza – e quindi più allettante agli occhi dei cybercriminali – per aziende, istituzioni e governi (sempre più spesso memorizzati nel cloud). Per questo chi si occupa di sicurezza IT ha la necessità di rendere i dati illeggibili per gli utenti non autorizzati, ma gli esperti avvisano: la crittografia da sola non garantisce la sicurezza al 100%.
L’importanza della gestione delle identità
Uno degli aspetti emersi durante l’ultima conferenza Gartner Catalyst tenutasi a San Diego è il fatto che la crittografia viene spesso ritenuta più sicura di quanto sia in realtà mentre, di fatto, risulta inutile contro molti tipi di attacchi informatici. Gli esperti hanno sottolineato che, nello spostamento dei dati dal data center al cloud, non cambia il rischio in sé, bensì il modo in cui ci si espone a esso e le modalità di controllo da implementare.
Tra gli esempi citati è stato menzionato il caso, avvenuto nel 2014, di Code Spaces che agli sviluppatori servizi di project management e source code hosting. La società aveva i suoi servizi su Amazon Web Services l’infrastruttura cloud di Amazon, ma non aveva una buona gestione delle identità e degli accessi per gli account amministrativi AWS. Ad esempio conservava i dati day-to-day e di backup nello stesso luogo. Questo finché un hacker non è riuscito a entrare in possesso delle credenziali di un amministratore, entrare nel suo account e dire all’azienda che avrebbe cancellato tutti i dati se non fosse stato pagato un riscatto. Code Spaces non volle pagare e così i dati cominciarono a sparire dalle sue banche dati, provocando la chiusura dell’azienda. In questo caso, hanno sottolineato gli esperti, anche se le informazioni fossero state crittografate e quindi rese incomprensibili per i gli utenti non autorizzati non sarebbe cambiato nulla: l’hacker avrebbe comunque potuto portare a segno il suo colpo.
La crittografia non è la panacea di tutti i mali
Un’altro aspetto che rappresenta una debolezza per la crittografia sul cloud, come evidenziano gli esperti, è il fatto che le agenzie governative possono ottenere dal cloud provider l’accesso ai dati di un’organizzazione senza che l’azienda ne sia messa subito al corrente. Il fatto che la cifratura delle applicazioni cloud avvenga al data center del provider, significa che una versione di solo testo dei dati e/o delle chiavi di crittografia si può trovare da qualche parte in quel fornitore di servizi cloud: in pratica, i criminali informatici potrebbero comunque ottenere i dati da lì. Anche se le aziende possiedono una propria chiave di cifratura, secondo gli esperti, non possono comunque essere ritenute invulnerabili. Il motivo è semplice: in caso di smarrimento delle chiavi, si perdono i dati.