L'Agenzia per la sicurezza dell'UE evidenzia i rischi del cloud computing

Gli utenti di cloud computing affrontano problemi quali perdita di controllo dei dati, difficoltà di conformità e rischi legali aggiuntivi in ​​quanto i dati passano da una giurisdizione all'altra, in base a una valutazione dei rischi del cloud computing da parte dell'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA).

L'agenzia ha evidenziato che questi problemi hanno le conseguenze più gravi e sono tra le più probabili per le aziende che utilizzano servizi di cloud computing, secondo l'ENISA.

L'ENISA ha esaminato i beni che le società mettono a rischio quando si trasformano al cloud computing, inclusi i dati dei clienti e la loro reputazione; le vulnerabilità esistenti nei sistemi di cloud computing; i rischi a cui tali vulnerabilità espongono le aziende e le probabilità che tali rischi si verifichino.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Quando si passa a servizi di elaborazione basati su cloud, le aziende devono controllo eccessivo sul fornitore di servizi cloud su una serie di problemi, che possono influire negativamente sulla sicurezza. Ad esempio, le condizioni di utilizzo del provider potrebbero non consentire le scansioni delle porte, la valutazione della vulnerabilità e i test di penetrazione. Allo stesso tempo, gli accordi sui livelli di servizio (SLA) potrebbero non includere tali servizi. Il risultato è una lacuna nelle difese, afferma l'ENISA nel rapporto.

La conformità potrebbe anche rivelarsi un grosso problema se il fornitore non può offrire i giusti livelli di certificazione o lo schema di certificazione non è stato adattato per i servizi cloud

Uno dei vantaggi dei servizi cloud è che i dati possono essere archiviati in più posizioni, il che potrebbe salvare la giornata in caso di incidente in uno dei data center. Tuttavia, potrebbe essere un grosso rischio se i data center si trovano in paesi con un sistema legale instabile, secondo il rapporto.

Altre aree di interesse sono il blocco del fornitore, il fallimento dei meccanismi che separano le diverse società, le interfacce di gestione accessibile agli hacker, ai dati non cancellati correttamente e agli insider dannosi.

Per minimizzare questi rischi, il rapporto propone un elenco di domande che una società deve chiedere ai potenziali fornitori di servizi cloud. Ad esempio, quali garanzie offre il fornitore che le risorse del cliente sono completamente isolate, quale programma di educazione alla sicurezza viene eseguito per il personale, quali misure vengono adottate per garantire che i livelli di servizio di terzi siano soddisfatti e così via.

Alla fine un buon contratto può ridurre i rischi, secondo il rapporto. Le aziende dovrebbero prestare particolare attenzione ai loro diritti e obblighi relativi al trasferimento dei dati, all'accesso ai dati da parte delle forze dell'ordine e alle notifiche di violazioni della sicurezza, ha detto.

Tuttavia, la relazione dell'ENISA non è affatto negativa. L'utilizzo dei servizi di cloud computing può portare a difese più solide, scalabili ed economiche contro determinati tipi di attacco, secondo il rapporto. Ad esempio, la capacità di allocare dinamicamente le risorse potrebbe fornire una protezione migliore contro gli attacchi DDoS (distributed denial-of-service), ha affermato l'ENISA.