L'incendio Ovh, il caso Vintag e l'importanza di proteggere i dati sensibili
Le immagini del rogo in un datacenter dell’azienda di server Ovh, a Strasburgo, hanno fatto tremare di paura non poche persone in Italia e anche in Romagna. Sono infatti numerose le realtà economiche e gli enti del territorio che hanno i propri dati salvati sulle macchine di Ovh, e che hanno visto andare offline i loro siti durante l’incendio.
Il disastro, di cui adesso si valuteranno le conseguenze, segue di poche settimane un’altra notizia di cronaca che ha messo ancora più sotto gli occhi di tutti quanto sia importante salvaguardare i dati sensibili.
Parliamo di Vintag, una delle più promettenti start up italiane, nata e cresciuta a Bologna ma capace di incuriosire investitori internazionali, che ha chiuso i battenti in pochi giorni.
Secondo quanto riportato – piuttosto laconicamente – sui social, Vintag è stata costretta a fermarsi a causa di un problema tecnico che ha causato “la perdita totale e definitiva di tutti i dati di Vintag e del suo backup”.
I dati, ovvero 120mila utenti attivi memorizzati, erano salvati sui server di un’azienda esterna che non è riuscita a recuperarli finora in nessun modo. Sono tante le domande che vengono subito alla mente, tra cui l’importanza e il valore dei dati, capaci addirittura di far affondare un’azienda promettente, e la seconda, quasi un meme: ma… un backup?
Insomma il sempre più dibattuto tema dei dati sensibili e della raccolta delle informazioni personali, osservato da questo punto di vista, quello dell’azienda, assume un valore cruciale, capace di determinarne il destino. Proviamo ad approfondire la questione e capirne di più assieme a Francesco Iori, socio fondatore di AgileDPO, Società fondata esclusivamente da Responsabili per la Protezione dei Dati (DPO), partita da Modena ma operante in tutto il centro nord Italia.
“Il caso Vintag – commenta Iori – è un caso particolarmente sfortunato perché coinvolge una realtà recente, di piccole dimensioni, con un piccolo fatturato e pronta a a crescere sulla base di investimenti strategici nello sviluppo dell’attività. Persa la fiducia degli investitori, ed in assenza di uno storico non c’era la forza di rimanere in attività. Eppure i casi di aziende che chiudono o che subiscono danni gravi dopo una perdita di dati non sono più situazioni isolate”.
Questo, come si sarà ormai compreso, è proprio uno dei punti cruciali: i dati. Ciò che lascia perplesso l’utente finale dell’azienda – tanti i commenti di cordoglio – ma anche del web, è questo valore fondamentale dei dati, tanto che, un’azienda promettente di vendita online, persi i dati raccolti negli anni di attività sia costretta a chiudere. Come si spiega questo fattore?
“La complessità delle aziende – prosegue Iori – ancor più quelle digitali, è tale che le sue funzioni, le informazioni sul suo funzionamento, sul know how, etc., non possono più essere centralizzate in una sola persona o gruppo. Tutto questo viene riversato nei database aziendali, che in caso di perdita catastrofica come in questo caso (evento raro dovuto alla combinazione di piccole dimensioni aziendali e situazione all digital) significa letteralmente la perdita dell’anima aziendale, della quale rimangono, forse, qualche asset fisico da dare in mano al liquidatore. Inoltre su questa società, il valore della raccolta dei dati, specie in fase di start up è economicamente molto più interessante di una qualche percentuale sugli scambi economici”.
“In una realtà così piccola – aggiunge il consulente di AgileDPO – svanite le opportunità di finanziamento, la scelta di chiudere invece che insistere può essere stata giustamente fatta da valutazioni di tipo economico: in soldoni certe volte è meglio ricominciare da zero avendo imparato dall’esperienza, che non usare un eccesso di risorse per rianimare una situazione compromessa”.
Il 2016 è stato l’anno di fondazione di Vintag, ma anche quello dell’entrata in vigore del regolamento generale per la protezione dei dati personali, il cosiddetto GDPR, ovvero la normativa europea in materia di protezione dei dati. Che i dati siano sempre più pervasivi nella nostra vita digitale e quotidiana ormai è un dato di fatto. Accettiamo contratti e cediamo mail e numero di cellulare quasi ogni volta che scarichiamo un app, eppure spesso non sappiamo con certezza in che modo ci tutela il GDPR, e quale sia il valore di questi dati per un’azienda.
“Partendo dai fatti di Vintag – riprende Iori – si capisce bene che in un’azienda digitale, i dati dell’azienda sono identitari con l’azienda stessa. Nel caso specifico sono identitari rispetto alla prova del fatto di aver prodotto un portale che può fare da collettore di utenti che, a partire da ciò che si scambiano, possono essere profilati, si possono mostrar loro altri prodotti da acquistare, utilizzare per fare indagini di mercato eccetera. Venendo al GDPR, la protezione dei dati non è una legge del passato ma del futuro, fatta per consentire la funzione digitale della società. Molti pensano che il GDPR sia solo la necessità di mettere due banner informativi sul sito, o che addirittura vogliano limitare la libertà dell’utente. Al contrario, invece, questo regolamento nasce proprio con l’obiettivo di fare in modo che i cittadini abbiano fiducia nell’economia digitale e nella società digitale. Vorrei qui citare il Prof. Pizzetti che sostiene come la protezione dei dati sia una tecnica di coesione sociale”.
Si aprono però a questo punto, due questioni importanti: la prima è la percezione, ovvero come e perché il GDPR e la protezione dei dati vengano spesso interpretati nel modo errato, come sottolineava appunto Iori. L’altra è la protezione dei dati. Visto l’alto valore commerciale e non solo, è importante che l’azienda che se ne occupa abbia sempre il controllo della situazione, evitando perdite e data breach che, come nel caso specifico, possono portare alla chiusura dell’azienda.
“Rimaniamo sull’evento di cronaca e partiamo dall’ultimo punto. Come ‘proteggere i dati’. Se il core business di un’azienda sono i dati allora è importante non solo affidarsi ad aziende esterne competenti e certificate, ma anche verificarle regolarmente. E’ importante rendersi conto che anche con tutta la ragione del mondo, una volta persi i dati, intentare e vincere una causa non li restituirà. Un altro approccio decisivo è avere sempre un disaster recovery, termine tecnico che definisce una replica dei dati in una posizione alternativa e non collegata, da accendere in caso di evento catastrofico.
I dati, appunto, sono il nodo cruciale. Ma come è possibile proteggerli rispetto anche a quanto accaduto ai server di Ovh?
“L’ incendio che ha devastato il datacenter Ovh di Strasburgo, uno dei più grandi datacenter europei, è un evento raro, ma non impossibile – commenta Pietro Suffritti, socio fondatore di Alchimie Digitali, società che si occupa prevalentemente di consulenza informatica per il settore industriale e produttivo emiliano-romagnolo, – era già accaduto 10 anni or sono ad uno dei maggiori provider italiani e allora fu quasi un dramma nazionale, con centinaia di migliaia di siti fermi per giorni, dati persi, sistemi mai più riavviati. Voglio fare un esempio pratico: l’incendio ha interessato la struttura che ospita anche una parte dei nostri Server: tuttavia nessuno dei nostri clienti si è accorto di nulla. Come mai i nostri servizi hanno continuato a funzionare? Perché sono virtualizzati, perché i nostri server sono distribuiti in città diverse, perché abbiamo un efficiente sistema di Disaster Recovery, perché abbiamo un piano di Business Continuity che è scattato automaticamente. Insomma avevamo progettato un piano di emergenza, e tutto ha funzionato. E’ vero, questo è il nostro lavoro. Ma proprio qui sta la differenza”.
“A questo punto – prosegue Iori – però è giusto aggiungere anche che spesso, purtroppo, a parte pochi casi sporadici, il livello di alfabetizzazione digitale dei quadri dirigenziali di molte aziende italiane è molto basso. Inoltre, l’adeguamento alle norme richieste per la protezione dei dati richiede investimenti che non tutte le aziende si possono permettere, e anche quelle che se lo possono permettere non hanno l’alfabetizzazione digitale necessaria per gestirle.
“Qui sta il nocciolo della questione: la preparazione tecnica, che riguarda tanto l’alfabetizzazione informatica, che la capacità di comprendere e attuare le norme del GDPR. Il gdpr, infatti, non parla di privacy, ma di protezione dei dati da tanti rischi. Uno dei quali è la perdita o la distruzione, tanto che proprio il GDPR, dà la forza normativa a chi si affida a strutture esterne, di poterle verificare e di imporre contrattualmente parametri di sicurezza molto precisi.
“Il GDPR è un manuale tecnico operativo che ci dice come operare. Ma per farlo serve una figura che sappia come leggerlo e applicarne i principi. Ovviamente non esiste una formula magica, ma esiste la possibilità di fare le cose bene ed in maniera ordinata. Gli articoli del gdpr sul privacy by design sono un manuale di istruzioni su come le cose vanno fatte bene, e il DPO è la figura che la norma indica esplicitamente come supporto fattivo pratico ed efficace a garanzia e supoprto del titolare.
“Tanta prevenzione passa attraverso due fattori: la formazione interna a tutti i livelli e una selezione ed una verifica attenta e puntuale dei fornitori. Ammetto che io mi rifiuto di fare consulenza se non ho prima fatto formazione al board, perché dopo la formazione metà delle cose che avrei consigliato di fare a valle di una analisi me le trovo già fatte perché. Una volta spiegate le logiche, i bravi dirigenti (che sono la stragrande maggioranza) vedono immediatamente e in autonomia i possibili problemi e li risolvono: è il loro lavoro!”