INCIDENTE AL DATA CENTER OVH

COSA ABBIAMO IMPARATO!

ANTEFATTO

La notte tra il 9 e il 10 marzo un incendio ha illuminato la sede di Strasburgo di OVH e che molti ricorderanno per molto tempo.

L’incendio, divampato per cause ancora non identificate, ha bloccato diverse aziende ed enti pubblici non rendendo accessibili dati e siti conservati sui server della nota azienda.

L’episodio ha riportato alla ribalta i temi della protezione dei dati e soprattutto le responsabilità del Titolare del Trattamento.

L’acquisto di servizi di cloud computing sono una soluzione veloce e spesso a buon mercato per piccole e medie imprese.

Queste alla stipula del contratto si trovano davanti a documenti standardizzati predisposti dal Datacenter e che non prevedono la possibilità di approfondire le misure di sicurezza organizzative.

Tali contratti non prevedono inoltre possibili risarcimenti danni o assicurazioni in caso di perdita definitiva dei dati esponendo il Titolare del Trattamento a possibili sanzioni.

RESPONSABILITA’

Vi starete chiedendo perchè se il danno l’ha causato Ovh dovrei pagarne io il prezzo?

Secondo quanto stabilito dal principio di accountability il titolare del trattamento risponde di ogni scelta operata nell’ambito della protezione dei dati, ivi compresa la scelta di fornitori che possa garantire il mantenimento della compliance.

Pertanto in caso di violazioni commesse dal fornitore del sistema cloud, anche il titolare del trattamento sarà chiamato a rispondere dell’eventuale illecito.

Questo significa che in fase contrattuale sarà importante verificare, secondo quanto stabilito nell’art.28 del Gdpr, tutte le misure di protezione sia quelle tecnologiche che fisiche.

BACKUP e DISASTER RECOVERY

L’episodio ha messo in risalto anche l’importanza di piani di disaster recovery efficienti e ben strutturati il cui cuore non può non essere rappresentato da un sistema funzionale di backup.

In altri articoli abbiamo già affrontato l’importanza di costruire un sistema di backup per accedere ai dati anche in situazioni come questa, infatti solo la separazione sia fisica che informatica dal sistema “principale” avrebbe potuto evitare eventuali problemi subiti dal cloud. Molti clienti invece spesso affidano il servizio di backup allo  stesso fornitore del cloud senza verificare l’ubicazione geografica in cui sono conservate le copie dei dati.

Anche molti clienti di OVH hanno agito proprio in questa maniera rendendo inutilizzabili il sistema di backup adottato.

In casi come questi il titolare del trattamento dovrà valutare l’entità del databreach e le azioni successive, anche compresa la comunicazione al Garante e agli interessati.

INSEGNAMENTO

Possiamo sintetizzare in 3 punti gli insegnamenti appresi

  1. Verificare in modo più dettagliato il contratto di fornitura di servizi di cloud e non avere remore nel chiedere maggiori informazioni sulle misure di protezione.
  2. Predisporre un sistema di backup valutando gli impatti (magari tramite un Dpia) dell’eventuale perdita temporanea o definitiva dei dati.
  3. Se tutto questo ti sembra particolarmente complicato sappi che hai ragione ed è per questo che è bene affidarsi a professionisti della privacy (come noi).

Se pensi che un professionista costi troppo, pensa a quanto ti costerà una sanzione del Garante.

Contattaci per avere ulteriori informazioni e approfondire la situazione Privacy e Sicurezza della Tua Azienda

 

Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Email this to someone
email

Condividi questo articolo sui tuoi canali social!