Come molti sapranno, nella notte tra il 9 ed il 10 marzo, una parte rilevante del DataCenter di OVH a Strasburgo è andato a fuoco.
L’incendio ha causato danni ingenti, ed ha messo off-line centinaia di migliaia di siti web e servizi IT, molti dei quali di enti pubblici, anche italiani.
Tra i rischi più rilevanti si pensa sempre all’attacco di hacker malevoli o da ransomware; quando identifichiamo un incendio tra gli eventi più impattanti a carico di una infrastruttura IT, molti titolari, CISO e/o semplici amministratori di sistema lo valutano come un fatto estremamente improbabile; le cronache di questi giorni certificano invece che un incendio esteso di un grande datacenter è accaduto, e le conseguenze sono assolutamente devastanti.
Alla pagina predisposta da OVH, appare come la quasi totalità dei dati presenti in SBG2 non sia recuperabile.
Anche gli eventi distruttivi debbono costituire precedenti per evitare che essi si ripetano; occorre quindi intanto porsi alcune domande:
- Quanto è sicura una infrastruttura informativa costruita con dei containers? Il sistema antincendio ed il sistema di alerting hanno funzionato – o no?
- Dopo l’entrata in vigore del GDPR, è ancora possibile offrire servizi in cloud non dotati di una infrastruttura in totale business continuity?
- La responsabilità di effettuare i backup delle VMs può essere sempre scaricata sui clienti, pur non avendo essi a disposizione strumenti adeguati – e banda necessaria – ad effettuarli?
Di certo la necessità di creare una infratruttura cloud pubblica a disposizione delle PA è sempre più stringente; riteniamo anche che una amministrazione pubblica che offre servizi a cittadini non dovrebbe stipulare servizi inadeguati alla levatura del servizio istituzionale svolto.
Business Continuity è la chiave; peccato che molti non ne vogliano neanche sentir parlare, sino a quando occorre un incidente che azzera risorse IT o distrugge tutti i dati, mettendo a rischio il futuro stesso della azienda.
Ricordiamo come nessun contratto od incarico di responsabile esterno del trattamento potrà mai esonerare il titolare dalla responsabilità di un data breach gravissimo come quello determinato da una perdita irreversibile dei dati. L’evento stesso certifica che la scelta del fornitore non è stata compiuta sulla base di una reale valutazione del rischio e delle adeguate – e necessarie – caratteristiche del servizio.
Intanto, tra le prime ripercussioni, salta la quotazione in borsa di OVH.
Si pensi a cosa potrebbe succedere – in futuro – qualora un evento simile accadesse ad infrastrutture critiche (ad esempio al Mix di Milano) o a fornitori di servizi essenziali.