Qualche settimana fa sono iniziate a trapelare le prime notizie di un attacco subito da Continnum. Continuum è un produttore di software per fornitori di servizi IT i cui sistemi sono stati bucati: in pratica qualche mese fa qualcuno è riuscito a entrare nelle reti di alcuni clienti finali che avevano affidato l’outsourcing dell’IT a service provider che usavano Continuum.
L’attacco fa sorgere spontaneo un dibattito o quanto meno qualche dubbio.
Se un pirata sfonda i sistemi di sicurezza di un fornitore e ha accesso alle reti dei clienti attraverso la piattaforma cloud del vendor, chi è responsabile e chi deve “pagare”? Il vendor o il fornitore di servizi IT che ha si è affidato ai suoi prodotti/servizi?
Difficile dare una risposta unica e convincente, ma diciamo che situazioni come queste devono far riflettere.
Innanzitutto i fornitori di servizi IT devono capire con chiarezza cosa stanno comprando da un vendor e (soprattutto in caso di attacco) conoscere chiaramente obblighi e responsabilità del fornitore verso di loro e da parte loro verso i propri clienti. Cioè se un fornitore di servizi si affida a un vendor, deve innanzitutto capire quali sono i vincoli o le limitazioni del vendor e riportare negli accordi con il cliente questi limiti, in quanto non può garantire (e pagare) lui per i “difetti” di altri.
Quando si acquista un prodotto (e ancora di più un servizio), si devono leggere i contratti e gli agreement per capire di cosa è responsabile il vendor… perché non succederà pressoché mai che il vendor si assuma la responsabilità ultima in caso di gravi problemi.
Spesso quando si acquistano servizi si è portati a pensare che il banner che pubblicizza la scritta 24×7 BDR significhi garanzia che tutto funzioni sempre e comunque, e che si possa recuperare qualsiasi dato in qualsiasi situazione.
Ciò è impensabile… e un fornitore di servizi IT deve dirlo ai propri clienti, comunicando (anche per tutelarsi) cosa è possibile e incluso, cosa no.
Attenzione: non è che il vendor non si preoccupi di dati, server e applicazioni, anzi: prende tutte le precauzioni possibili. Solo che… l’hardware si rompe, il software ha dei difetti, e se si subisce un attacco informatico mirato ed “esotico” potrebbe non esserci un rimedio o un antidoto.
E’ quindi importante per i fornitori di servizi IT inserire nei propri contratti verso i clienti le limitazioni che i propri vendor mettono nei contratti e negli accordi con loro.
Il massimo che un fornitore di servizi IT può fare è vigilare e lavorare secondo i propri skill tecnici, ponendo la cura e la diligenza del buon padre di famiglia.
Non può certo pensare che il vendor dal quale acquista i servizi si accolli la responsabilità di tutto… nè per contro accollarsele lui.
Esempi di “limiti” imposti dai vendor sui propri servizi sono ovunque.
- Prendi delle macchine virtuali su Amazon?
Bene, ma verifica che ci siano SLA o rimborsi se le macchine vanno giù. - Prendi la posta da Gmail?
Bene, ma verifica quanti messaggi in uscita puoi davvero inviare… - Prendi le caselle PEC da Namiral?
Bene, ma controlla quanto spazio disco puoi occupargli con i messaggi… - Prendi un backup in cloud?
Bene, ma verifica quanto a lungo puoi tenere da lui i dati…
Quindi?
Scoprite cosa fa e cosa non fa per voi e fatevi aiutare da un avvocato a scrivere i vostri contratti per riflettere sui clienti le limitazioni che voi stessi avete: saranno soldi bene spesi se dovessero sorgere dei problemi più grandi di voi, sui quali non avete nessun controllo.
Come punto di partenza per diventare un po’ più consapevoli di quello che si ottiene (e i rischi che si corrono) quando si acquistano servizi, specialmente cloud, segnalo il report “IT audit & Cloud”.
E’ in italiano ed è gratuito (occorre solo registrarsi al sito): non è necessario impararlo a memoria, ma scorrendo le pagine vedrai delle frasi che ti faranno alzare l’attenzione quando acquisti il prossimo servizio cloud.