Nella notte tra il 9 e il 10 marzo 2021 un rogo è divampato all’interno di una stanza del data center SBG2, uno dei data center più grandi d’Europa di proprietà della OVH, azienda francese di web hosting. Si stima che più di un milione di siti e servizi siano stati coinvolti nell’incidente di Strasburgo; pur trovandosi geograficamente distanti, molte aziende, anche italiane, sono state coinvolte. Fortunatamente il rogo non ha causato vittime, ma i conti si fanno comunque, con danni materiali e immateriali arrecati ai clienti che avevano affidato i propri dati ai server ospitati negli edifici distrutti.
Il fondatore di OVH, Octave Klaba, ha comunicato tramite Twitter alla propria clientela di prevedere il restart dei data center SBG1 e SBG4, oltre che del network, entro lunedì 15 marzo, e quello del data center SBG3 entro venerdì 19 marzo, definendo il piano di recupero per le prossime due settimane e offrendo supporto ai clienti danneggiati.
L’incidente mette in luce la vulnerabilità di ogni sistema di salvataggio dei dati e l’importanza di identificare gli imprevisti e mitigarli, con azioni preventive e strategiche di recupero. Per quanto si possa considerare improbabile un evento simile, non si può pensare che non venga calcolato: qualsiasi insediamento ne tiene conto già in fase progettuale, prevedendo misure preventive ed elaborando piani di emergenza per contenerne i danni; le misure di prevenzione incendi sono parte integrante di ogni attività, si predispongono estintori e idranti in caso serva intervenire.
Ma siamo altrettanto preparati a contenere i danni in caso di perdita o distruzione di dati?
L’approccio preventivo e protettivo da parte di ogni titolare del trattamento dati, come lo stesso Regolamento Europeo UE 2016/679 richiede, risiede anche nella scelta di un cloud provider conforme. Già in fase contrattuale è necessario acquisire ogni garanzia che vi siano misure atte a trattare in sicurezza i dati e che, in caso di “incidenti”, l’organizzazione a cui ci affidiamo abbia previsto strategie idonee in grado di mitigarne l’impatto negativo. Tali garanzie soddisfano il principio dell’accountability (responsabilità) che nell’ambito del trattamento dei dati coinvolge tutti i soggetti coinvolti. Nel caso in cui il titolare affidi il trattamento di dati a un terzo esterno indentificandolo come responsabile al trattamento, come può essere il caso dei servizi hosting, cloud e provider, dovrà valutarne attentamente l’affidabilità a tutela dei dati degli interessati di cui intende affidargli il trattamento.
Va ricordato inoltre che, in caso di eventi simili, vi è il coinvolgimento in un data breach, ovvero la violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Quanto accaduto alla OVH costituisce a tutti gli effetti una situazione di data breach e, in quanto tale, è soggetta alla notifica all’autorità di controllo entro 72 ore dal momento in cui il titolare ne viene a conoscenza. Nel caso in cui tale violazione comporti un rischio elevato per i diritti delle persone, necessita anche la comunicazione a tutti gli interessati coinvolti. La OVH, pertanto, si trova a dover gestire le reazioni dei clienti per il disservizio e risponderà all’autorità di controllo in merito alle misure adottate per dimostrare la conformità al Regolamento Europeo.
Oltre ogni adempimento imposto, il management aziendale si deve fondare sul buon senso. Non è certamente la dimensione aziendale a fare la differenza, anche piccole e medie imprese ormai si basano su dati che viaggiano in rete, e non possono permettersi di non prevedere un adeguato disaster recovery plan, una procedura che descriva azioni finalizzate a fronteggiare tempestivamente emergenze, quali eventi naturali di seria gravità (terremoti, alluvioni), incendi, attacchi informatici (cybercrime), furti e rapine, incidenti causati da errori umani, malfunzionamenti e danni di natura informatica.
Quando succede qualcosa di imprevisto questo prende il sopravvento su tutto il resto, stravolgendo piani, progetti e priorità. Tempi di inattività e la perdita dei dati costano cari e possono mettere a serio rischio l’esistenza stessa delle aziende, con riflessi negativi sull’affidabilità e la reputazione.
Quali verifiche vanno effettuate prima di affidare i dati a un cloud o a un gestore di servizi in rete?