Il 25 Maggio 2018, tra pochi mesi, il nuovo Regolamento Generale sulla Protezione dei dati, (GDPR) entrerà pienamente in vigore.
La normativa è stata approvata dal Parlamento Europeo nell’aprile 2016. Il proposito del Legislatore è quello di armonizzare le leggi sulla Privacy in tutti i paesi europei, standardizzare le politiche in tema di sicurezza dei dati, assicurare a tutti i cittadini UE la massima protezione dei loro dati sensibili.
L’azione del nuovo Regolamento si estenderà al di là dei confini europei e coinvolgerà tutte le imprese del mondo che elaborano dati dei cittadini dell’Unione, queste aziende saranno tenute, infatti, al rispetto della normativa.
Il testo nell’affrontare il delicato tema dell’esportazione dei dati personali al di fuori dell’Europa chiama nel merito il settore del cloud computing coinvolgendolo pienamente nella tutela e nella protezione dei dati sensibili.
Aziende e cloud provider sono disegnati dal provvedimento come protagonisti.
In questi mesi vicini alla scadenza, i due attori condividono la preoccupazione di non riuscire ad adeguarsi in tempo. Le imprese dovranno impegnarsi in una ristrutturazione, in nuove attività per rispondere a ciò che chiede la normativa.
I Provider dei servizi cloud avranno anche loro un carico notevole da sostenere per garantire la massima sicurezza delle loro piattaforme, la possibilità di perdere clienti e di ricevere multe (che possono arrivare fino al 5 per cento del loro fatturato annuo) sicuramente li incoraggerà in tal senso.
Steven Hansen di Hackernoon, esperto in sicurezza digitale spiega i motivi per i quali la conformità del GDPR potrebbe creare delle difficoltà nel cloud.
Intanto, il livello attuale di allineamento dei cloud provider al GDPR non è incoraggiante. Uno studio recente, che riportato da Hansen, ha mostrato dei dati sconfortanti. In questa ricerca è stato rilevato che solo l’1 per cento dei Provider Cloud ad oggi si può dire conforme alla normativa che presto entrerà in vigore. Scopriamo anche nell’analisi, che non sono assorbite le principali best practices in tema di protezione. Ad esempio, a fornire le chiavi di crittografia alla propria clientela sono al momento solo 1,2 per cento dei cloud provider. La percentuale aumenta di poco (il 2,9) per quei provider che dispongono di un’applicazione sicura per la password, abbastanza robusta da essere in linea con il GDPR.
Ciò che sembra essere stato più recepito attualmente dai provider è l’integrazione dell’offerta con il supporto adeguato SAML (Security Assertion Markup Language), ma il dato resta comunque basso assestandosi sul 7,2%.
Bisogna aggiungere un altro aspetto preoccupante. Le imprese che adottano il cloud utilizzano in media più di 600 applicazioni e il problema, come viene segnalato dal rapporto di Cloud Netskope, è che il 90% delle organizzazioni sottovaluta questa cifra. Ciò vuol dire, semplicemente che le aziende ignorano le applicazioni di cui si dotano.
GDPR e lo scenario del mondo cloud nel prossimo futuro
E allora come è possibile rispettare il GDPR se non si ha coscienza e quindi pieno dominio del processo dei dati?
Per ignoranza spesso le imprese si trovano ad utilizzare applicazioni non conformi e ad adottarle come parte del processo di storage. Da maggio, quando verrà applicato il GDPR, questa condotta sarà inaccettabile. Se le imprese non prenderanno pienamente consapevolezza di tutti i processi in cui vengono coinvolti i dati sensibili saranno fuori dal mercato UE e quindi fortemente penalizzate.
Il ragionamento non ha valore esclusivamente per le aziende europee, ma per quelle di tutto il mondo che hanno a che fare con una clientela europea.
Che cambiamento ci sarà nel panorama? Il mutamento di scenario come come influirà sul cloud computing ? E in tema di conformità’, sulla concorrenza, sul prezzo?
1. Il cambiamento del Panorama
I data controller, chiamati anche proprietari di dati, sono banche, servizi di carte di credito, negozi al dettaglio, fornitori di servizi sanitari, organizzazioni di beneficenza e ogni altra attività che raccoglie i dati personali.
Per data processor si intendono i fornitori di servizi Cloud.
Fino all’attuazione del regolamento, i proprietari dei dati sono responsabili della protezione dei dati, non hanno invece responsabilità i cloud provider.
A partire dal prossimo maggio invece i due attori condivideranno pari responsabilità. I provider infatti, dovranno assicurarsi che i dati dei loro clienti sui loro server siano correttamente protetti così come indica il GDPR.
2. Protezione: garantire la conformità
Sia i data controller che i data processor se non conformi condivideranno la responsabilità. Pertanto, dovranno agire entrambi per implementare politiche di sicurezza. Certo, si potrà verificare il rischio, forse inevitabile, di una ridondanza.
Andy Alpin di Netskope ha dato delle indicazione sulla conformità delle applicazioni sul Cloud Industry Forum:
Scoprire quali applicazioni sono in uso e sapere dove si archiviano i dati. Se si tratta di server in Europa, la conformità è essenziale.
Utilizzare solo applicazioni che soddisfano la normativa e bloccare o sviluppare controlli per quelle che non lo fanno.
Formalizzare accordi di elaborazione dati con fornitori di applicazioni che dimostrano il rispetto ai requisiti di privacy del GDPR e consentono di cancellare completamente le informazioni qualora si dovesse interrompere l’utilizzo dell’applicazione
Non raccogliere più dati di quanto non sia necessario e non consentire all’applicazione di condividerli con terzi.
3. Nuove regole in campo. Cambiamento della concorrenza
Le aziende in Europa, negli Stati Uniti e in Asia giocheranno la partita della sicurezza per i dati dei cittadini europei con delle regole comuni (piuttosto che con 26 regolamenti diversi attualmente in uso dai 28 stati membri dell’UE).
Il Regolamento produrrà condizioni eque per tutti i player in campo. Una volta che i provider di servizi cloud dimostreranno di essere conforme al GDPR, i data controller li sceglieranno proprio per la loro sicurezza.
4. Costi: aumento di prezzo per il cloud computing?
La concorrenza fa calare i prezzi, ma la regolamentazione invece li fa salire, così come la conformità.
Secondo una rivista del settore, Professional Security ,la maggior parte dei provider cloud è in grado di mantenere i costi bassi grazie alla disponibilità di risorse globali non regolamentate. Di conseguenza, i provider dovranno probabilmente investire molto per adempiere alla nuove normativa.
Anche le aziende dovranno sopportare costi maggiori, Ad esempio, come riporta Computer Weekly si prevede che 28.000 società, quelle che gestiscono grandi quantità di dati per il GDPR, dovranno assumere responsabili della protezione dei dati, e con oltre questi naturalmente altro personale per il loro ufficio.
L’attuazione sarà estremamente costosa. Ecco perché le multe per la non conformità saranno enormi – anche per poter pagare gli stipendi di coloro che controllano e fanno applicare la normativa.
Cosa succederà nello scenario globale? Quanto vale la sicurezza del dato?
Il prezzo del cloud computing sarà quindi destinato ad aumentare? Probabilmente la risposta è affermativa. Però, c’è da dire che si tratta di un costo che si andrà a dividere per i miliardi di persone che utilizzano il cloud, quindi si potrebbe trattare di un aumento minimo.
Lo scenario più realistico è che i cloud provider in Europa riusciranno ad avere il controllo sui problemi di conformità entro maggio 2018. I loro costi aggiuntivi verranno trasferiti ai loro clienti commerciali, ma questi costi verranno compensati da una minore spesa legata alla violazione dei dati e da prezzi più competitivi da parte dei cloud provider globali.
Il singolo, la comunità di utenti cloud invece non noterà alcun cambiamento sui costi o sui servizi. Avrà invece la sicurezza che le informazioni personali saranno più protette che mai.
Certo sono cambiamenti che richiedono tempo e per aziende e cloud provider è il momento di prepararsi.