Ti senti davvero al sicuro quando usi i servizi in cloud?

Sapevi che usando alcuni servizi concedi loro la proprietà dei tuoi dati?

by Valerio Granato
0 comment

In questo articolo parleremo dei servizi in cloud e scopriremo che alcuni servizi si appropriano dei nostri contenuti per i loro scopi e vedremo come gestiamo i documenti dei nostri clienti.

Negli ultimi anni ci siamo sempre più abituati ad utilizzare i cosiddetti “servizi in cloud” per i compiti più disparati, sia personali che professionali. Dallo storage di dati alla condivisione di file, dalla videoconferenza alla videosorveglianza, dalla contabilità al collaborazione sui documenti, l’utilizzo di servizi di questo tipo è ormai quotidiano.

A volte li utilizziamo senza neanche accorgercene: basti pensare a iCloud per iOS o a Google Photo per Android che archiviano in automatico in remoto le foto che scattiamo con i nostri smartphone. Senza dubbio si tratta di servizi utili che ci consentono di recuperare i nostri file anche quando perdiamo il device per malfunzionamento, furto e così via.

Alcuni servizi in cloud hanno altre funzioni utili come ad esempio il versioning, cioè la possibilità di recuperare una versione precedente di un file; non vi è mai capitato di aprire un file di testo, fare delle modifiche, salvarlo e poi accorgervi di aver cancellato dei dati ancora utili? Con questi servizi è possibile risalire alla versione precedente del file e recuperare le informazioni perse.

Cos’è il cloud?

Ma, di preciso, cos’è il cloud? Una cosa che dico spesso è che il cloud non esiste, non è uno spazio etereo in cui vivono i nostri documenti. Il cloud non è che il computer di qualcun altro. Quando scatto una foto con il mio iPhone la sequenza di dati che compone la mia foto viene archiviata in una versione “leggera” sul mio telefono e nella versione ad alta risoluzione su un server di Apple, per un successivo utilizzo. Anche il mio iPad e il mio MacBook, essendo configurati con il mio stesso account, ricevono una copia in bassa risoluzione del file e sono in grado di recuperare senza particolari operazioni l’immagine. E per “senza particolari operazioni” intendo che mi basta aprire il rullino foto dell’iPad, prendere la foto e modificarla, stamparla, importarla in un documento. Se voglio, condividerla con qualcun altro semplicemente inserendo il suo indirizzo email.

Quindi, ribadendo il concetto, la foto che ho appena scattato al mio gatto è presente sul mio telefono, sul mio iPad, sul mio MacBook… e su innumerevoli server di Apple che mi consentono di accedere ad essa tramite i miei dispositivi e anche semplicemente collegandomi con un qualsiasi browser all’interfaccia web.

Maya che valuta l'opportunità di usare il cloud per archiviare le sue foto.

Maya che valuta l’opportunità di usare il cloud per archiviare le sue foto.


In parole ancor più semplici, i servizi di archiviazione in cloud non sono altro che un disco che, invece di essere collegato con un cavo al mio pc, è collegato ad esso tramite la rete internet.

Mi devo preoccupare se uso i servizi in cloud?

Beh… più o meno. Se dò le chiavi di casa a un mio amico perchè innaffi le mie piante durante la mia assenza lo faccio perché mi fido e sono sicuro che non farà entrare nessun altro né si metterà a rovistare nei cassetti. Allo stesso modo, usando un servizio in cloud a cui affido i miei documenti più o meno riservati mi sto fidando del fatto che l’accesso a quei dati resti solo in mio possesso e che nessun altro – nemmeno il gestore del servizio – possa accedere ad essi.

Chiaramente io devo essere il primo ad avere cura dei miei dati: password come 123456 o dati di accesso scritti sul post-it attaccato al monitor non sono certo un alto standard di sicurezza; ritornando all’esempio di prima, il mio amico può essere fidatissimo, ma se lascio una copia delle chiavi attaccata al portone d’ingresso non posso certo prendermela con lui!

Qualcuno ricorderà un evento di qualche anno fa che fu denominato Fappening – e preferisco non spiegare l’origine del nome – in cui molti account di celebrità furono violati e foto decisamente private furono diffuse su tutta la rete. In quel caso la violazione non dipese da vulnerabilità dei sistemi quanto da leggerezze nella gestione degli account da parte dei titolari degli stessi.

Quindi è necessario utilizzare i servizi in cloud (qualsiasi servizio) con la stessa cura e attenzione con cui si archiviano i propri documenti tradizionali. Anzi, con i giusti sistemi come l’autenticazione a due fattori o la crittografia, i documenti digitali possono essere anche più sicuri dei documenti tradizionali.

Pro e contro dei servizi in cloud

Come sempre il file più sicuro è quello archiviato su un supporto ad alta durata, chiuso in una cassaforte dietro una porta blindata di cui solo io ho le chiavi. Ma è anche il file a cui è più complicato accedere… e quando dimentico il PIN del mio bancomat mi più comodo aprire un’app sul mio smartphone, inserire una password e recuperarlo che non andare ad aprire una cassetta di sicurezza nel caveau di una banca.

Quindi è subito chiaro che uno dei vantaggi dei servizi in cloud è l’immediata disponibilità dei documenti. Qualsiasi servizio prevede l’accesso con applicazioni desktop, applicazioni mobile e browser web: basta avere un accesso ad internet e i propri documenti sono lì, pronti per la consultazione.

Questo è però anche uno dei principali svantaggi: chiunque sia a conoscenza dei miei dati di accesso può recuperare i miei documenti da qualsiasi parte del globo. Ecco perché è importante avere password sicure e, per i servizi che lo consentono, avere l’autenticazione a due fattori, cioè oltre a username e password un codice che viene generato da una seconda applicazione come Google Authenticator o che viene inviato via SMS a un numero telefonico inviato in precedenza o ancora via notifica push a un device autorizzato.

Bisogna anche fare attenzione alle email di phishing e al social engineering. Vi sono mai arrivate email del tipo “hai finito il tuo spazio di archiviazione, clicca qui per avere 10Gb gratis”? Ecco, nel 99,99% dei casi è qualcuno che cerca di avere accesso al vostro account. Nell’altro 0,01% avete davvero finito lo spazio di archiviazione, ma invece di cliccare eventuali link presenti nella mail collegatevi al servizio e controllate se è tutto ok o se è necessario un upgrade.

E se è proprio il fornitore ad accedere ai miei dati?

Beh, se invece di dare le mie chiavi di casa a un amico fidato le dò al primo che passa, oppure se l’amico mi dice chiaramente che prenderà tutti i documenti che trova e li utilizzerà per i suoi scopi… sono un po’ sciocco io a consentirgli di entrare.

Quando ci iscriviamo a un servizio di archiviazione, videoconferenza e così via, ci viene sempre presentato un documento con le condizioni di utilizzo del servizio. Di solito si fa “accetta” e si va avanti, ma sarebbe utile leggere quel documento perché talvolta possono esserci spiacevoli sorprese. Qualche giorno fa, ad esempio, mi è capitato di leggere le condizioni di servizio di un applicativo usato da tantissime persone e che durante la pandemia è diventato di largo utilizzo: Zoom.

Si tratta di un’applicazione comodissima che consente di collaborare sui documenti, chattare, fare telefonate e videoconferenze in modo molto rapido e che funziona su tante piattaforme sia desktop che mobile.

Ma quanti hanno letto le condizioni di utilizzo (disponibili qui), in particolare al punto 10 (Contenuto dei clienti)? Riporto di seguito il punto 10.4 che è quello che mi interessa analizzare:

L’Utente accetta di concedere e con la presente concede a Zoom una licenza perpetua, mondiale, non esclusiva, royalty-free, cedibile e trasferibile e tutti gli altri diritti richiesti o necessari per ridistribuire, pubblicare, importare, accedere, utilizzare, archiviare, trasmettere, rivedere, divulgare, preservare, estrarre, modificare, riprodurre, condividere, utilizzare, visualizzare, copiare, distribuire, tradurre, trascrivere, creare opere derivate ed elaborare Contenuto dei clienti ed elaborare tutti gli atti rispetto al Contenuto dei clienti: (i) come potrebbe essere necessario a Zoom per fornire i Servizi all’Utente, incluso supportare i Servizi; (ii) allo scopo di sviluppo di prodotti e servizi, commercializzazione, analisi, garanzia qualità, machine learning, intelligenza artificiale, formazione, test, miglioramento dei Servizi, Software o altri prodotti, servizi e software di Zoom, o qualsivoglia loro combinazione; e (iii) per qualsiasi altro scopo relativo a qualsivoglia uso o altra azione consentiti in conformità alla Sezione 10.3. Se l’Utente dispone di qualsivoglia Diritto di proprietà relativo a Dati generati dai servizi o Dati anonimi aggregati, con la presente l’Utente a Zoom una licenza perpetua, irrevocabile, mondiale, non esclusiva, royalty-free, cedibile e trasferibile e tutti gli altri diritti richiesti o necessari per consentire a Zoom di esercitare i propri diritti relativi ai Dati generati dai servizi e ai Dati anonimi aggregati, a seconda del caso, in conformità con il presente Accordo.

Il punto 1 ha senso: Zoom deve analizzare le conversazioni per generare i sottotitoli automatici e deve ritrasmettere i dati ricevuti agli altri partecipanti a una riunione. Ma il punto 2 mi lascia perplesso: io in una riunione zoom condivido un file e concedo una licenza perpetua, cedibile e trasferibile per utilizzare questo file per gli scopi più disparati, tra cui l’addestramento delle intelligenze artificiali? Quindi un domani qualcuno si collegherà a ChatGPT o qualsiasi altro sistema, chiederà una bozza di un contratto di servizio e riceverà una copia del contratto che io ho pagato al mio avvocato? Per non parlare del punto 3, “qualsiasi altro scopo relativo a qualsivoglia uso”?

È vero che si dice “se il servizio è gratis il prodotto sei tu”, ma qui si va ben oltre: se discuto con un mio collaboratore di un documento riservato di un nostro cliente sto anche trasferendo questo documento a una piattaforma che dice candidamente che userà tale documento per i suoi scopi. Quindi il prodotto sono io e anche tutti i miei, inconsapevoli, clienti.

A mio avviso, davvero preoccupante! Io lo so e faccio attenzione (anzi, più avanti vi dirò come lavoriamo noi), ma se il mio commercialista, il mio avvocato, il mio notaio, usano questa applicazione per lavorare, i miei dati privati vengono ceduti da loro in “licenza perpetua, mondiale, non esclusiva, royalty-free, cedibile e trasferibile”. Ehm… thanks, but no, thanks.

La leggerezza (eufemismo) con cui vengono usati gli strumenti informatici è tanta e probabilmente ne parlerò in un altro articolo nella sezione Horror Stories, ma ora mi interessa sollevare l’attenzione sui servizi di archiviazione, condivisione e collaborazione, visto che viviamo in un’epoca in cui il lavoro da remoto è diffuso.

Come detto prima, quando utilizzate un servizio in cloud state utilizzando semplicemente il computer di qualcun altro per archiviare i vostri dati. Siete sicuri che questo soggetto terzo sia in regola con tutte le normative vigenti? Che i suoi standard di sicurezza siano adeguati all’importanza dei dati che gli affidate? Che non abbia interesse ad accedere a tali dati per i suoi scopi? Se una delle risposte è “no”, smettete immediatamente di usare il servizio.

Perché il cliente di cui potreste perdere i dati ha adocchiato una villa a Portofino e sono sicuro che non volete pagargliela voi con il risarcimento che gli dovrete al termine della causa che vi intenterà per aver diffuso i suoi documenti riservati.

Che servizi utilizziamo noi di Livecode?

Per evitare di affidarci a terzi per l’archiviazione e la condivisione dei documenti sia nostri che dei nostri clienti abbiamo deciso di utilizzare i nostri server per creare un nostro cloud privato.

I nostri clienti sanno che quando condividiamo con loro un file non utilizziamo servizi terzi ma i link che ricevono iniziano sempre per https://cloud.livecode.it . Questo perché abbiamo dei server di storage di nostra proprietà a cui abbiamo accesso esclusivo e su cui abbiamo installato vari software tra cui Nextcloud, una piattaforma Open Source di cui abbiamo il completo controllo e che ci consente di lavorare in locale e in remoto al pari dei servizi più diffusi, ma con la sicurezza che i dati sono solo e unicamente in nostro possesso.

Con l’utilizzo dei client desktop e mobile abbiamo accesso diretto e in tempo reale a tutti i documenti e possiamo condividerli sia con il nostro team che con utenti esterni. La piattaforma ci consente inoltre di avviare videochiamate, telefonate, di utilizzare tutti gli strumenti più comuni di group working in pochi click.

In questo modo abbiamo “in casa” tutte le funzionalità di un servizio cloud commerciale, ma mantenendo il pieno controllo dei dati; avendo anche il controllo completo dei server abbiamo poi sviluppato varie funzionalità di backup e di alta disponibilità che ci garantiscono la massima sicurezza dei dati.

Anche gli altri nostri brand usufruiscono dei vantaggi del nostro cloud privato: tutte le produzioni di AudioLive FM, ad esempio, sono duplicate in vari server geograficamente distanti tra loro. In questo modo abbiamo la certezza che la nostra digital radio sarà sempre in onda senza interruzioni e anche in caso di guasto fisico degli apparati di trasmissione o addirittura la distruzione del datacenter (improbabile ma non impossibile, ricordiamo l’incendio del datacenter di OVH del 9 marzo 2021) l’intero archivio è al sicuro e la programmazione può ripartire in pochi minuti semplicemente spostando il puntamento su un altro datacenter.

Incendio del datacenter di OVH del 9 marzo 2021


In questo modo siamo ancora più al sicuro che avendo i dati solo in casa. Anche in caso di furto presso la nostra sede il danno si limiterebbe alle apparecchiature fisiche, ma i dati sarebbero tutti al sicuro e potremmo essere operativi nel tempo necessario ad acquistare l’hardware e sincronizzare gli archivi.

 

Puoi avere anche tu il tuo cloud privato e lavorare serenamente?

Certo! I vantaggi di avere un tuo cloud sono tanti:

  • Hai una copia dei tuoi dati sempre al sicuro
  • I tuoi dati sono accessibile da qualsiasi parte del mondo sia con le applicazioni desktop e mobile che tramite browser web
  • I tuoi dati vengono duplicati in datacenter geograficamente distanti tra loro, per la massima sicurezza
  • Nessuno ha accesso ai tuoi documenti tranne te e i tuoi collaboratori
  • Puoi condividere i tuoi documenti in modo granulare, creando dei team di lavoro o condividendo solo specifici file con i tuoi clienti o i tuoi collaboratori
  • In qualsiasi momento puoi accedere alle versioni precedenti dei tuoi file o puoi sapere chi ha effettuato determinate operazioni come modifiche o cancellazioni

Se sei interessato ad attivare un cloud privato e ad avere finalmente il controllo completo dei tuoi documenti, o semplicemente vuoi conoscere meglio gli strumenti che già utilizzi contattaci ora e troveremo la soluzione adatta a te, scrivendo a [email protected] o telefonando al n.ro 348 7777 251!

Potrebbe interessarti

Livenet News Online Live Performing Arts Agenzia SEO a Napoli