L’incendio divampato nella notte scorsa nel campus del cloud provider OVH a Strasburgo, che sta causando disservizi anche a siti italiani, è una lezione per aziende e pubbliche amministrazioni.
Una lezione sull’importanza della business continuity e del disaster recovery, nei contratti di fornitura, e su possibili impatti privacy che possono scaturire persino da eventi fortuiti e geograficamente lontani come questo.
Come ha spiegato Gabriele Faggioli, CEO di P4I, “i rischi sono sicuramente la perdita di informazioni qualora OVH non abbia adeguati sistemi di back-up remotizzati in altra sede”, con conseguente eventuale violazione del GDPR nel caso si verificasse una perdita dei dati.
Ancora presto per valutare tali scenari, al momento il problema più urgente è stata l’interruzione della continuità operativa di siti istituzionali e aziendali: in questo senso, il consiglio dell’esperto per prevenire problemi in caso di incidenti di questo genere è di fare attenzione all’adeguatezza rispetto alle proprie necessità dei livelli di servizio stabiliti in sede di stipula del contratto.
Indice degli argomenti
Incendio OVH, cos’è successo
Al momento non sono chiare le cause dell’accaduto. Con una nota ufficiale pubblicata sul proprio sito, OVH ha informato che a mezzanotte e 47 minuti di oggi mercoledì 10 aprile, un rogo è divampato all’interno di una stanza del data center SBG2, uno dei quattro presenti nel campus di Strasburgo. L’azienda ha sottolineato che il sito non è classificato come Seveso (cioè considerato particolarmente a rischio, in riferimento alla direttiva europea 82/501 seguita all’incidente del 1976 all’impianto Icmesa di Meda, che provocò la diffusione di sostanze tossiche).
OVH ha comunicato che alle 2:45 il sito è stato isolato, mentre alle 4:09 dopo aver distrutto il data center SBG2 le fiamme hanno minacciato gli altri data center, fino al contenimento del rogo da parte dei vigili del fuoco. OVH ha spiegato nel suo comunicato che i team tecnici e commerciali dell’azienda sono stati messi a disposizione dei clienti per cercare di ridurre gli impatti dell’incidente: “Stiamo valutando l’impatto di questo incidente e comunicheremo nel modo più trasparente possibile i progressi delle nostre analisi e l’implementazione delle soluzioni. Tutti i nostri canali di comunicazione, a partire dalla nostra piattaforma di monitoraggio dell’incidente, sono accessibili per permettervi di essere informati in tempo reale degli sviluppi”.
Il fondatore della multinazionale, Octave Klaba, ha prontamente fornito aggiornamenti sulla situazione tramite Twitter. Intorno alle 16 ha spiegato che il restart dei data center SBG1 e SBG4 oltre che del network sono previsti entro lunedì 15 marzo, quello del data center SBG3 entro venerdì 19 marzo, presentando anche il piano di recupero per le prossime due settimane, offrendo supporto ai clienti danneggiati.
Incendio OVH, disaster recovery e business continuity
L’incendio ha avuto un impatto grave per le aziende e i professionisti, con centinaia di siti offline e conseguenti disagi per la business continuity: “Ovviamente, c’è la possibilità di gravi disservizi temporanei di durata dipendente dalla velocità di attivazione dei piani di disaster recovery”, ha spiegato Faggioli. In Italia per esempio ha registrato problemi il sito istituzionale del Comune di Pavia, che ha comunicato tramite social l’accaduto.
Idem la Città di Trapani, il Comune di Cattolica e vari piccoli enti (a quanto riportano sulle proprie pagine Facebook).
In Francia, tra gli altri enti colpiti, anche il centro nazionale d’arte Pompidou, che ha affidato la spiegazione della situazione a un messaggio sul proprio sito. Anche diversi siti governativi hanno subito le conseguenze dell’incendio.
Faggioli ha ricordato che “sono però cose che possono succedere, e proprio per questo i clienti devono chiedere che contrattualmente siano garantite tutte le misure atte ad affrontare incidenti di questa natura con misure tanto più stringenti quanto più un cliente necessita, per il proprio business, di servizi stabili e senza interruzioni”.
Di conseguenza, “i fornitori devono strutturare servizi sufficientemente tutelanti ma poi sono i clienti che devono valutare se quanto previsto come obbligatorio nel contratto è adeguato o meno rispetto alle proprie necessità”. È importante dunque che “ogni cliente capisca cosa prevede il proprio contratto per valutare l’incidenza di quanto sta accadendo sui livelli di servizio”.
Questo è particolarmente stringente per enti pubblici, che gestiscono servizi di importanza critica per la popolazione (si pensi all’anagrafe). Si comprende così perché da più parti si chiede di accelerare il piano di migrazione a datacenter e cloud pubblici nazionali. Necessità ribadita anche dal ministro all’innovazione Vittorio Colao ieri, a un convegno Asvis.
Le misure di disaster recovery
Anna Cataleta, senior partner di P4I, aggiunge: “Quando si pensa alle misure da adottare per garantire un’adeguata sicurezza ai dati personali, spesso il primo pensiero è rivolto ai sistemi finalizzati a contrastare le minacce lanciate dai cyber criminali. In realtà, gli episodi come quello che ha coinvolto il Data Center OVH dimostrano come anche gli aspetti più tradizionali legati alla sicurezza fisica degli impianti non debbano essere trascurati e che solo la previsione di una combinata implementazione di sistemi di sicurezza fisici ed informatici possa garantire un’effettiva tutela dei dati conservati”.
Il concetto di rischio infatti “è uno degli elementi cardine della normativa europea in materia di protezione dei dati personali che impone ad ogni titolare e responsabile del trattamento di adottare misure tecniche ed organizzative adeguate al fine di garantire la sicurezza dei dati personali oggetto di trattamento – ha sottolineato Cataleta -. Qualora si verifichino eventi distruttivi come quello che stanotte ha colpito uno dei Data Center più grandi d’Europea, l’adozione di misure di sicurezza come Disaster Recovery e Back Up assumono rilevanza estrema per poter garantire il ripristino dei servizi fino a quel momento erogati e tutelare i diritti di milioni di soggetti coinvolti”. In questo contesto, “particolare rilevanza assume anche la proposta dell’ ENISA per l’adozione di uno schema di certificazione europeo per i Cloud Service Provider che mira a valutare il livello effettivo di sicurezza dei servizi cloud offerti e ad aumentare la trasparenza delle informazioni a beneficio degli utilizzatori finali”.
GDPR e incendio OVH: i possibili impatti privacy
E non è finita perché la situazione potrebbe anche avere conseguenti impatti nell’ambito della privacy. In caso infatti si registrasse una perdita dei dati custoditi nei sistemi del campus, OVH e chi vi si appoggia incapperebbero in una violazione del GDPR. Se questa situazione si verificasse, il titolare del dato (in base al contratto con OVH) potrebbe incorrere “nella sanzione di cui all’articolo 83 comma 4 punto a) per violazione dell’articolo 32”, spiega Faggioli.
Sia OVH che enti e soggetti sul datacenter subirebbero quindi le conseguenze normative della violazione, come spiega Faggioli e conferma l’avvocato Giovanni Battista Gallus a Cybersecurity360.it. La norma del regolamento europeo spiega: “In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10.000.000 di euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43”.
