I fatti
Nella notte tra il 9 e 10 Marzo, nella sede di Strasburgo del cloud provider OVH divampa un grosso incendio: il rogo è originato da una stanza del data center SBG2 ed è stato causato, così indicherebbero le registrazioni delle videocamere di sorveglianza, da un malfunzionamento di un gruppo di continuità (UPS) revisionato proprio la mattina del 9 Marzo. I danni conseguenti sono stati ingenti nonostante, solitamente, gli UPS siano tenuti a debita distanza dai server proprio perché considerati elementi a rischio. Tra i più colpiti i virtual private server, macchine remote che sono molto spesso scelte come strumenti di supporto dalle piccole e medie imprese.
Il report pubblicato da OVH qualche giorno dopo il rogo e con il quale viene ricostruita la dinamica, indica che quasi tutti i VPS e i servizi VPS Additional Storage sono andati persi, così come il loro backup. Salvi invece i clienti del servizio FTB Backup, perché questo viene operato su data center esterni. Tutto il resto invece è andato perso, comprese tantissimi server che gestivano proprio il backup di molte soluzioni enterprise, come i server Managed Veeam Backup: la fortuna è che si sono persi i backup, ma le macchine delle quali facevano backup non hanno subito danni. Chiude l'elenco dei danni una lunga serie di servizi NAS, alcune istanze cloud in affitto a ore e gli snapshot delle virtual machine.
Il fondatore di OVH, Octave Klaba, ha fornito una serie di aggiornamenti via Twitter, spiegando che il restart dei datacenter SBG1 e SBG4 è avvenuto il 15 Marzo, mentre il datacenter SBG2 tornerà in attività il 19 Marzo: ovviamente Klaba ha anche presentato il piano di recupero e offerto supporto ai clienti che hanno subito danni.
Il punto principale emerso è che il data center SBG2 distrutto nell'incendio era di vecchia generazione, risalente al 2011, e realizzato in una struttura con container a metallo impilati che ad oggi non viene più usata per i data center: i moderni data center sono costruiti, anzitutto, a compartimenti stagni che consentono di contenere con molta più efficacia le fiamme di un eventuale incendio. Le immagini rintracciabili online dell'incendio al datacenter di Strasburgo sono inequivocabili: si vede come la struttura stessa abbia consentito una veloce propagazione del calore in prima battuta e poi delle fiamme in tutto il data center. A dimostrazione di questo, il data center SBG3, posto a fianco dell'SBG2 ma costruito secondo i criteri di nuova generazione, non ha subito danni.
Le conseguenze
Il rogo ha avuto grande impatto su aziende e professionisti: dai siti web offline all'interruzione della business continuity. In Italia hanno riscontrato problematiche i siti web del Comune di Pavia, della Città di Trapani e del Comune di Cattolica.
In Francia vittima eccellente è stato il Centro Nazionale d'Arte Pompidou, ma sono centinaia di migliaia le aziende e i professionisti riguardati così come gli enti pubblici. Si pensi a chi si appoggia ai servizi in cloud OVH per gestire servizi rivolti alla cittadinanza (dall'anagrafe alla sanità ecc...), tantochè la notizia del rogo ha di nuovo rinfocolato il dibattito sull'importanza, per gli enti pubblici, di migrare a datacenter e cloud pubblici nazionali.
Insomma si parla di servizi interrotti, siti web down, comunicazioni email interrotte, backup scomparsi: un vero e proprio disastro. Ma a questo va aggiunto un punto, ovvero l'impatto in ambito privacy. Se verrà confermata la perdita di dati custoditi nei sistemi danneggiati dall'incendio, OVH violerebbe il GDPR e il titolare del dato (secondo il contratto con OVH) potrebbe incorrere in sanzioni.
Per approfondire gli aspetti legali> Cloud, server e contratti: le domande che non vengono poste
Disaster Recovery e Business Continuity: cosa imparare da questa vicenda
Questo evento fornisce molti spunti utili, primo tra tutti l'importanza di scegliere con consapevolezza e attenzione il provider di servizi, valutando anzitutto quali garanzie può fornire rispetto alla minimizzazione dell'impatto di eventuali disastri sulla nostra azienda o organizzazione e i tempi di ripristino del servizio. Il punto infatti non è soltanto quello di sottoscrivere un contratto con un cloud provider per backup e ripristino dei dati, ma che da tale contratto contratto sia garantita la resilienza aziendale. Cosa significa concretamente? Che limitarsi a pensare al backup dei dati non è più sufficiente ed occorre invece tenere a mente due principi cardine, per la propria organizzazione ma anche per il provider scelto: il Risk Management e la Business Continuity.
Il cloud, per cominciare, dovrebbe garantire la Business Continuity perchè rende sempre disponibili applicazioni critiche grazie al backup, ai servizi di disaster recovery e alle infrastrutture fisiche (data center): non è un caso che ormai i provider di servizi in cloud non forniscano semplici servizi ma interi modelli di business continuity, frame tecnici e organizzativi entro i quali poter pianificare il disaster recovery e gestire eventi critici, dando corpo alla resilienza aziendale.
Inoltre si è comunemente portati a pensare che le misure di protezione dei dati attengano esclusivamente alla cyber security: niente di più sbagliato il caso OVH lo dimostra. OVH non ha subito alcun attacco informatico ma un incidente la cui gravità è stata amplificata dalla scarsa sicurezza della struttura fisica del datacenter. I sistemi di sicurezza e protezione dei dati ormai devono prevedere una combinazione di sistemi di sicurezza fisici e informatici.
I cloud service provider: da grande potere derivano grandi responsabilità
La dirompenza e l'impatto dell'incendio del data center OVH hanno dato corpo, molto più che mille proclami, ad una evidenza: i fornitori di servizi in cloud sono uno dei fulcri pulsanti della nuova economia iper digitalizzata. E, come si sa, occupare una posizione di questo tipo fa derivare immediatamente grandi responsabilità: economiche, sociali e perfino geopolitiche.
In quest'ottica va inquadrata la proposta dell'ENISA (European Network and Information Security Agency), ente la cui nascita è conseguenza del Cybersecurity ACT, di adottare un chiaro, rigido e certo schema di certificazioni europeo per i Cloud Service Provider tramite il quale valutare il livello effettivo e concreto di sicurezza dei servizi offerti in cloud, aumentando la trasparenza informativa verso l'utente finale.
Nessun commento:
Posta un commento