Cyberwar: quanto sono sicuri i nostri data center?

Dario Colombo

19/03/2022

Quanto è minacciato il sistema informativo del Paese? Abbiamo interpellato gli esperti di sicurezza dei data center per capire che rischi corrono i nostri dati

Cyberwar: quanto sono sicuri i nostri data center?

Nell’attuale scenario economico il ruolo dei data center è ormai centrale, sia a livello pubblico, sia privato, e il loro impatto è sempre più determinante per l’economia digitale.
In questi giorni drammatici si sta ponendo anche il tema generale della cybersecurity e ancor più della cyberwar.
Gli attacchi ai dati, e quindi verso i data center che li gestiscono, sono realisticamente da mettere in conto in un contesto generalizzato di minacce verso il nostro Paese.

Ci siamo posti tre domande e le abbiamo girate agli esperti del settore. Ma non tutti coloro che abbiamo interpellato hanno voluto rispondere: c’è chi ha optato per tenersi al di fuori da valutazioni che ha ritenuto essere troppo politiche per esporsi.
Le nostre domande sono state semplici e dirette. La prima: i nostri data center sono sicuri, per i dati che gestiscono e per le persone che vi lavorano?
La seconda: è da temere un attacco cyber a un data center, non solo per colpire i dati e le comunicazioni, ma anche per impedire il funzionamento della struttura?
La terza: sono state prese contromisure sul piano della ridondanza e della continuità di esercizio?

Perché i data center sono importanti

Prima di arrivare alle risposte facciamo un passo indietro e cerchiamo di capire perché è importante occuparsi dello stato di salute dei data center italiani.

Intanto, quanti data center ci sono in Italia?
Il dato, fermo al 2019, di quelli della pubblica amministrazione ce lo fornisce l’AgID, (Agenzia per l’Italia Digitale) che ha fatto il Censimento del Patrimonio ICT della Pubblica Amministrazione, e per l’occasione ha mappato 1.252 data center, rilevandone peraltro la carenza in termini di requisiti di sicurezza, affidabilità, capacità elaborativa ed efficienza nella stragrande maggioranza (il 95%).

Tradotto, per usare le parole della stessa agenzia, il dato significa che i servizi della PA sono vulnerabili ai cyber attacchi o sensibili ai picchi di traffico. Perciò è stata definita una strategia per la migrazione verso il cloud delle amministrazioni.

Per capire quanti sono i data center privati ad accesso pubblico (ossia esclusi quelli presenti nelle singole aziende), ci rifacciamo ai dati del sito DatacenterMap, per il quale sono 80, e comprendono quelli dei grandi fornitori internazionali (i cosiddetti hyperscaler come Amazon Web Services e Google, per intenderci), di grandi realtà italiane (come Aruba, Elmec, Tiscali) e degli internet exchange (come il Mix).

Il piano Colao per il cloud nazionale e la cybersecurity del sistema Italia

La strategia di digitalizzazione varata dal MItD, il Ministero per l’Innovazione tecnologica e la transizione digitale, diretto da Vittorio Colao, che prende il nome di Strategia Cloud Italia, prevede, citiamo, “la realizzazione del sistema operativo del Paese anche mediante l’adozione del cloud computing nel settore pubblico. Il Dipartimento, in collaborazione con l’Agenzia per la cybersicurezza nazionale, ha definito la strategia per il cloud per le pubbliche amministrazioni”.
Dunque il cloud, con i data center, e la cybersecurity vanno a braccetto.
Il piano intende favorire la Pubblica Amministrazione nell’usare il cloud dandosi tre obiettivi: fare servizi digitali e infrastrutture tecnologiche sicure, efficienti, affidabili e autonome, in linea con le direttive europee; consentire alla PA di dare servizi digitali e, non meno importante, “garantire la sicurezza degli asset strategici per il Paese con un’infrastruttura ad alta affidabilità promossa dalla Presidenza del Consiglio dei ministri, consentendo il consolidamento dei data center delle amministrazioni centrali”.

Quindi i cosiddetti asset strategici, quelli che non si possono fermare, altrimenti il Paese stesso si ferma. sono intimamente connessi al cloud e ai data center che ne consentono il funzionamento.

Ecco perché il passaggio della PA al cloud deve sottostare a parametri precisi: migliorare i livelli di servizio, adottando standard internazionali, rendere i dati interoperabili e portabili, garantire la libertà di trasferimento dei propri dati, garantire la sovranità digitale (termine da intendersi in accezione positiva e apolitica: si intende la residenza, il controllo e la protezione dei dati nel rispetto dei valori europei).

La strategia del Ministero di Colao punta a garantire i servizi della PA migrando quelli che non hanno i requisiti di sicurezza verso l’infrastruttura ad alta affidabilità ideata dalla Presidenza del Consiglio dei Ministri, chiamata Polo Strategico Nazionale o verso servizi cloud individuati come già sicuri.

Il bando per costituire il Polo Strategico Nazionale è stato pubblicato il 28 gennaio di quest’anno (investimento da 723 milioni di euro), le aziende in gara per realizzarlo possono presentare offerte sino al lunedì prossimo, il 21 marzo. Poi sarà fatta la valutazione e si potrà cominciare a realizzarlo a metà anno. Traguardo obiettivo per la misurabilità della strategia sarà il 2026, quando si vorrà avere 3 amministrazioni su 4 in cloud.

Nel frattempo, con lo scoppio del conflitto russo-ucraino, è tornato prepotentemente in primo piano il tema della cybersecurity come macro fenomeno che può essere utilizzato come leva per colpire stati interi e non cittadini o singole società.
Ne ha parlato esplicitamente in occasione della presentazione del rapporto Clusit il presidente Gabriele Faggioli.

E proprio al suo avvertimento ci siamo ispirati per sondare lo stato di sicurezza dei data center italiani a fronte di fenomeni inaspettati come un’ipotetica cyberwar, ossia un attacco teso a colpire il paese in quegli asset strategici che poggiano su un data center. Lo abbiamo fatto con una indagine tesa a sondare le opinioni di esperti e professionisti del mondo della cybersecurity e dei data center.

I data center che abbiamo sono sicuri?

Per Claudio Telmon del Comitato Direttivo del Clusit, Associazione Italiana per la Sicurezza Informatica, “i data center sono la parte più sicura dei sistemi informativi: c’è particolare attenzione alle certificazioni di sicurezza. Naturalmente, sta a chi affida i propri dati a un fornitore verificare che disponga di queste certificazioni, come anche assicurare contrattualmente che i propri dati siano ridondati su più datacenter, per evitare di perderli in caso di incidenti”.

Cristiano Zanforlin, Chief Commercial Officer del MIX, Milan Internet Exchange, centro dove transita buona parte del traffico internet italiano, dice che il problema è dimensionale e in un certo qual modo si ritrova negli assunti dell’AgID: “i moderni data center commerciali sono sempre piú dei veri e propri concentrati di tecnologia, efficienza e sicurezza. Problemi si possono invece, riscontrare nei micro data center privati, quelli fino a 10 rack, che ancora molte aziende continuano ad esercire in autonomia, per la maggior parte dotati di impianti obsoleti e inefficienti”. 

Lorenzo Giuntini, Chief Technology Officer di Aruba, che gestisce alcuni di quegli 80 data center privati mappati in Italia di cui parlavamo prima ci conferma che “i data center oggi sono le strutture più sicure in assoluto in campo informatico, perché sono in grado di mettere a disposizione strumenti normalmente non disponibili. Parliamo di sistemi di sicurezza anti DDOS, sistemi antintrusione o sistemi di analisi avanzata come SIEM (Security Information and Event Management). Quelli conformi con gli standard Rating 4 ANSI/TIA-942 come quelli di Aruba garantiscono livelli di sicurezza fisica avanzati: parliamo di controllo accessi, sistemi antintrusione fisica, impianti TVCC e vigilanza H24 in grado di impedire a chiunque di entrare nelle sale dati”.

Filadelfio Emanuele, che è CISO e Security Operation Manager di CybergOn, business unit di Elmec Informatica, realtà che ha uno degli 80 grandi data center italiani si spiega con una similitudine: “i data center sono paragonabili ai caveau delle banche: sono un target interessante per un ladro, sono presenti diversi servizi, dalla cassetta di sicurezza, paragonabile all’housing, fino a un conto corrente, paragonabile a un servizio SaaS, e richiedono un livello di sicurezza aggiuntivo sia per le persone che lavorano all’interno che sul loro contenuto: soldi nel mondo bancario che diventano dati nei data center. Quindi i data center sono sicuri, ma non infallibili e sono dotati di livelli di protezione avanzati sia per le persone che ci lavorano che per il contenuto che custodiscono”.

Per Carlo Azzola, country manager di Colt Italia, “dobbiamo capire che un’efficace sicurezza della rete si basa su più livelli di difesa lungo il percorso della rete stessa. Per assicurare l’affidabilità e la sicurezza nei data center, è fondamentale valutare la sicurezza e la rete di ogni singolo utente del data center. Questi due elementi sono generalmente indipendenti l’uno dall’altro. Le misure di sicurezza sono un overlay alla rete. Inoltre, poiché le reti sono in rapida e talvolta costante trasformazione, non c’è abbastanza tempo per adottare le misure di sicurezza in un secondo momento”.

Emmanuel Becker, managing director di Equinix, altro operatore di data center privati, dice che “sono luoghi ultrasicuri, perché dispongono di cinque-sette barriere fisiche tra l’esterno e le persone che vi lavorano all’interno. In questo momento, abbiamo più di 350 operai che lavorano per noi e abbiamo delle persone dedicate alla loro sicurezza. Per la sicurezza dei dati, è fisica (i server sono custoditi in Secure Cabinet, protetti da porte chiuse), contro gli attacchi cyber e di connessione: gli utenti non trasmettono dati nel dominio pubblico”.

Francesco Teodonno, security leader di Ibm Italia ci rassicura: “se i data center hanno implementato delle soluzioni di sicurezza relative ai vari domini, come quello dei dati, degli accessi, del network e quello applicativo, sono un posto più sicuro rispetto a contesti in cui i dati sono diffusi su svariati sistemi, meno controllati e dove i vari utenti potrebbero non avere adeguati skill e strumenti di protezione cyber”.

Dobbiamo temere un attacco cyber a un data center, non solo per colpire i dati e le comunicazioni, ma anche per impedire il funzionamento della struttura?

Claudio Telmon del Clusit invnde tranquillizzare: “i datacenter sono i componenti di un sistema informativo su cui è più difficile agire da remoto. Di principio, potrebbero essere colpiti alcuni sottosistemi, come il condizionamento o i sistemi antincendio se accessibili da remoto, ma non sembra uno scenario di particolare rischio al momento”.

Per Francesco Teodonno di Ibm invece il timore c’è, e c’era anche prima dell’aggravarsi dello scenario geopolitico: “l’ultimo nostro studio annuale, X-Force Threat Intelligence Index, ha evidenziato come ransomware e sfruttamento delle vulnerabilità insieme abbiano imprigionato le imprese gravando ulteriormente sulle catene di approvvigionamento globali e come il settore manifatturiero sia stata l’industria più colpita, anche in Italia, scalzando dal primo posto il settore bancario e assicurativo. Gli aggressori hanno scommesso sull’effetto a catena che l’interruzione delle attività di imprese manifatturiere avrebbe causato alle loro supply chain, spingendole a pagare il riscatto. Un allarmante 47% degli attacchi al settore manifatturiero è stato causato da vulnerabilità che le organizzazioni vittime non avevano ancora corretto, o non potevano correggere, con patch di aggiornamento, evidenziando la necessità di gestire prontamente le vulnerabilità del software".

Sulla stessa linea di Telmon è Cristiano Zanforlin del MIX: “a prescindere dalla natura di un eventuale guasto, accidentale o doloso, mi sentirei di dire che non esiste oggi un data center che in caso di malfunzionamento possa mettere in ginocchio la rete globale o un numero elevato di servizi”.

Realisticamente Lorenzo Giuntini di Aruba non esclude attacchi, “ma è proprio grazie a un livello di guardia così elevato che si può garantire un livello di affidabilità altrettanto alto. Oggi, la maggior parte degli attacchi è a strascico, si tratta quindi di tentativi per lo più automatizzati di identificare possibili vulnerabilità presenti nei sistemi informatici. I data center più moderni, a cui fanno capo le aziende più strutturate, sono dotati di tutti gli strumenti necessari per identificare ogni possibile sorgente di attacco e impedirne l’accesso a tutti gli asset sotto la propria gestione con una protezione a ombrello”.

Anche FIladelfio Emanuele di CybergOn nutre timori: "Se fino a qualche mese fa l’obiettivo di un attacco era di monetizzare attraverso la richiesta di riscatto o il furto dei dati per spionaggio, oggi ci troviamo di fronte ad attacchi che hanno l’obiettivo di distruggere. I nuovi malware che sono in circolazione, possono essere paragonabili a un missile verso un obiettivo sensibile. E non dimentichiamo che sono sempre presenti attacchi che hanno l’obiettivo di fermare i servizi (DDoS) in cui viene inviata una grossa quantità di traffico verso il data center per saturare la banda in ingresso e rendere inutilizzabili i loro servizi”.

Carlo Azzola di Colt non si sorprende del fatto che la vulnerabilità delle infrastrutture strategiche ai cyber-attacchi e ai guasti tecnici desti grande preoccupazione e sottolinea come “i data center devono essere protetti sulla base del modello di sicurezza zero trust".

Emmanuel Becker di Equinix si affida alle regole su cui costituire la sicurezza dei propri data center: “creare sistemi a circuito chiuso senza alcun accesso all’esterno, in cui per poter sferrare un attacco informatico bisogna trovarsi all’interno del data center, e tutte le persone che lavorano su questi sistemi ricevono training particolari e frequenti sulla sicurezza e sono soggetti a drill test, ovvero sono oggetto di campagne di phishing e attacchi informatici”.

Sono state prese contromisure sul piano della ridondanza e della continuità di esercizio?

Lorenzo Giuntini di Aruba fuga qualsiasi dubbio: “le contromisure sono già state prese da tempo e l’affidabilità è proprio il core business.cI data center hanno assoluta necessità di disporre di piani di disaster recovery e business continuity, e non si tratta di un’attività che può essere improvvisata ma va pianificata già in fase di progettazione".

Gli fa eco Claudio Telmon del Clusit “un data center certificato ha sicuramente ridondate le misure relative alla continuità del proprio servizio, come l’alimentazione elettrica e la connettività, e le protezioni da eventi fisici, come sistemi antincendio o anti-intrusione. Sta poi a chi utilizza il data center per ospitare i propri sistemi assicurare che anche questi ultimi abbiano la dovuta ridondanza. In sostanza, il cliente di un data center, o di un servizio ospitato in un data center, non si può aspettare che tutti i suoi problemi di affidabilità del servizio siano risolti perché il data center è certificato, ad esempio SOC2”. 

Per Francesco Teodonno di Ibm non c’è altra strada che “adottare una strategia ZeroTrust che si basa sui tre i principi: accesso con privilegi minimi; mai fidarsi, verificare sempre; supporre sempre la violazione”.

Secondo Cristiano Zanforlin del MIX “tutti i data center commerciali sono progettati e realizzati per offrire nativamente livelli di ridondanza e continuità operativa di alto livello. Da non sottovalutare, comunque, il fatto che, quando si è al volante di una supercar, è necessario saperla guidare".

Filadelfio Emanuele di CybergON ci ricorda che “il provider ha l’obbligo di proteggere il contenitore dei propri servizi, ma è chiaro che il cliente deve essere ben cosciente dei limiti e della responsabilità che rimangono in sua gestione. Solo per fare un esempio, il backup non è quasi mai previsto dai provider pubblici ed è il cliente che deve tutelarsi su questo aspetto. Pensare a soluzioni distribuite su diversi data center è una buona pratica”.

Carlo Azzola di Colt pensa che le contromisure di continuità aziendale dipendano dalla continuità dei data center e dalla continuità dei fornitori di cloud e colocation ed Emmanuel Becker di Equinix invita a riflettere: spesso la gente pensa che un data center sia una macchina che può andare avanti perché super resiliente o anche senza nessuno. Io dico il contrario: il più grande valore aggiunto che possiamo portare al mercato è il knowledge.

Iscriviti a Money.it