Microsoft ha riconosciuto di fronte agli organismi di polizia scozzesi che non può garantire la sovranità dei dati di polizia del Regno Unito ospitati sulla sua infrastruttura cloud pubblica, nonostante tali sistemi siano impiegati in tutto il settore della giustizia penale.
Che cosa è successo
Documenti resi pubblici dall’Autorità di Polizia Scozzese (SPA) secondo le regole della libertà di informazione (FOI) rivelano che Microsoft non può assicurare che i dati caricati sul sistema IT di Police Scotland – la Digital Evidence Sharing Capability (Capability di Condivisione di Prove Digitali, o DESC) – rimangano nel Regno Unito come richiesto dalla legge.
Sebbene la corrispondenza non sia stata divulgata integralmente, la rivelazione mostra che:
- I dati ospitati nell’infrastruttura cloud di Microsoft sono regolarmente trasferiti ed elaborati all’estero.
- L’accordo di elaborazione dei dati per il DESC non copre i requisiti specifici di protezione dei dati del Regno Unito.
- Sebbene la compagnia abbia la capacità tecnica di assicurare la conformità alla protezione dei dati, sta effettuando queste modifiche solo per i partner del DESC e non per altri organismi di polizia perché “nessun altro lo ha chiesto”.
L’informazione rilasciata contiene anche ammissioni da parte di Microsoft che i trasferimenti internazionali di dati sono intrinseci alla sua architettura cloud pubblica. Di conseguenza, i problemi identificati con l’Autorità di Polizia Scozzese si applicano allo stesso modo a tutti gli utenti governativi del Regno Unito, molti dei quali sono soggetti a limitazioni regolatorie simili sul trasferimento di dati all’estero.
Le misure di sovranità a cui Microsoft si è impegnata non si estendono al supporto di alcun servizio, il quale porterà sempre a trasferimenti internazionali.
Il destinatario delle informazioni FOI, Owen Sayers — consulente indipendente per la sicurezza e architetto d’impresa con oltre 20 anni di esperienza nella realizzazione di sistemi di polizia nazionali — ha concluso che è ormai chiaro che i dati della polizia britannica hanno viaggiato all’estero e “le dichiarazioni di Microsoft chiariscono che non possono rispettare al 100% la legge britannica sulla protezione dei dati”.
“Hanno confermato per la prima volta che una garanzia di sovranità per i dati a riposo (che è quello che danno) non si estende ai dati in fase di elaborazione (che è quello che tutti hanno scelto di supporre) e non copre l’assistenza (che tutti hanno ignorato)”, ha dichiarato Owen.
Nicky Stewart, ex capo ICT dell’ufficio del gabinetto del governo del Regno Unito, ha detto che molti esperti di cloud conoscono da anni questi problemi di sovranità dei dati.
Data la gravità di queste rivelazioni, si prevede che Microsoft affronterà sfide significative nel rendere i suoi servizi cloud legalmente conformi alle disposizioni specifiche per le forze dell’ordine e il settore pubblico.
Perché Cubbit è differente
Cubbit è un’azienda bolognese di cloud storage che sta rapidamente prendendo piede in tutta Europa. Con oltre 300 aziende clienti nel continente, tra cui il colosso italiano di aerospazio, difesa e sicurezza Leonardo e numerose pubbliche amministrazioni, Cubbit si distingue per l’attenzione alla sovranità digitale garantita dalla sua architettura geo-distribuita.
Partner di Gaia-X, Cubbit è il primo cloud geo-distribuito d’Europa. Diversamente dagli altri servizi cloud, Cubbit cifra, frammenta e replica i dati su una vasta rete di nodi distribuiti nel solo territorio nazionale, in piena compliance con GDPR, NIS2 e le regolamentazioni di data residency.
In questo modello, nessun dato è interamente memorizzato in un unico luogo; al contrario, ciascun nodo contiene solo frammenti criptati di dati di diversi utenti, rendendo i dati inaccessibili anche in caso di accesso fisico non autorizzato.
La resilienza del sistema di Cubbit è ulteriormente rafforzata dalla sua capacità di redistribuire automaticamente i dati tra i nodi in caso di guasti, senza mai consentire l’accesso diretto ai dati da parte della stessa Cubbit. Questo approccio geo-distribuito non solo migliora la sicurezza, ma offre anche un livello di durabilità dei dati fino a 15 nove, diecimila volte superiore rispetto allo standard di mercato di 11 nove.
Per la protezione contro attacchi quali ransomware e altre minacce cyber, Cubbit implementa funzionalità avanzate come il versionamento e il blocco degli oggetti. Il versionamento permette agli utenti di mantenere versioni multiple di un file, facilitando il ripristino in caso di attacco, mentre il blocco degli oggetti protegge i dati da modifiche non autorizzate per un periodo predefinito dall’utente.
L’adozione di Cubbit può giocare un ruolo cruciale nel supporto alle imprese per conformarsi a normative stringenti sulla sovranità digitale e sulla protezione dei dati, come il GDPR e la direttiva NIS2. Cubbit supporta infatti la funzionalità geofencing, che permette al proprietario dei dati di geo-delimitare la posizione dei dati nell’area che desidera, facilitando la compliance in modo efficiente.
Cubbit si sottopone a auditing periodici di terze parti da parte di organismi internazionali e ha acquisito le certificazioni ISO 9001:2015 per i sistemi di gestione della qualità, ISO/IEC 27001:2013 per la sicurezza delle informazioni, ISO/IEC 27017:2015 per la sicurezza nel cloud, e ISO/IEC 27018:2019 per la privacy e la protezione dei dati personali nel cloud, oltre alla Cybersecurity Made in Europe Label.
Inoltre, Cubbit ha ricevuto la qualifica ACN (ex AgID) ed è abilitata sulla piattaforma MePa (Mercato Elettronico della Pubblica Amministrazione).
La compatibilità nativa di Cubbit con il protocollo S3 assicura inoltre che le aziende possano integrare facilmente la piattaforma nel loro ambiente IT esistente senza necessità di configurazioni complesse, garantendo continuità operativa e riduzione dei costi operativi grazie all’assenza di spese per mantenimento di data center fisici.
Con l’introduzione imminente di nuove regolamentazioni come la NIS2, Cubbit offre una risorsa preziosa per le aziende che mirano a evitare pesanti sanzioni assicurando la compliance attraverso soluzioni tecnologiche avanzate e affidabili.
Il 18 ottobre 2024 entra in vigore la NIS2, e con essa le sanzioni per mancata compliance, che arrivano fino a 10 milioni di euro. La tua azienda è compliant con NIS2? Scopri come essere conforme ed evitare multe salate.
Scarica gratis la guida alla compliance con NIS2 redatta da Cubbit.
