L’era digitale si sta configurando come una in cui dominano i servizi cloud. Ora che il GDPR è in vigore, gli esperti non hanno avuto altra scelta che cercare mezzi più forti e più flessibili per garantire la conformità di questi servizi alle norme sulla privacy, anche se queste continuano a evolversi.

Economia digitale

Sin dalla progettazione, la privacy e la sicurezza sono al centro del GDPR. Sulla carta è una posizione forte, poiché chiede alle aziende e alle organizzazioni che archiviano i dati degli utenti di integrare i principi del GDPR nei nuovi progetti informatici sin dalle prime fasi del loro concepimento. Ma la crescita esponenziale dei servizi cloud decentralizzati, con il loro costante mutamento ed evoluzione, potrebbe rapidamente spazzare la privacy sin dalla progettazione nella pattumiera dell’oblio. Eliot Salant, project manager presso i laboratori di ricerca IBM Haifa, ha cercato di fornire una soluzione sostenibile nell’ambito del progetto RESTASSURED (Secure Data Processing in the Cloud). «Fornire protezione dei dati e conformità alle normative sulla privacy digitale in un ambiente cloud è un compito impegnativo. Il cloud pubblico è intrinsecamente non affidabile, ha un’ampia distribuzione geografica e ha un sistema multi-stakeholder in cui i dati non appartengono né al provider di servizi cloud né alla parte interessata che orchestra il calcolo. Inoltre, abbiamo anche i cambiamenti altamente dinamici nei servizi e nelle infrastrutture cloud». Allora, come andare avanti? «Con meccanismi e componenti cloud per il rilevamento del runtime, la previsione e la prevenzione delle violazioni della protezione dei dati, nonché nuove tecniche per proteggere i dati inattivi in un ambiente cloud», afferma Salant.

Cinque innovazioni chiave

RESTASSURED si è prefissato di aiutare i titolari del trattamento, ovvero le entità legalmente responsabili della determinazione dei motivi del trattamento e delle modalità di trattamento dei dati personali, garantendo allo stesso tempo il rispetto della protezione dei dati. A tal fine, si è concentrato su cinque innovazioni chiave. La prima è l’utilizzo di soluzioni hardware emergenti, quali AMD SEV e Intel SGX, per fornire enclave sicure per il funzionamento dei dati. La seconda è lo sviluppo della crittografia per file parquet, che consente un’archiviazione e un’interrogazione dei dati altamente efficienti per l’analisi dei megadati. Inoltre, il gruppo di ricerca si è concentrato su mezzi per valutare la conformità alla protezione dei dati nel sistema in esecuzione, gestione automatizzata del rischio e attuazione di politiche permanenti per definire le regole di accesso, utilizzo e archiviazione dei dati. «Tutto ciò è molto importante», osserva Salant. «L’utilizzo di politiche adesive, ad esempio, aiuterà a creare Policy Decision Point (PDP) e Policy Enforcement Point (PEP) per regolare il flusso di dati tra le applicazioni nel cloud. Nel frattempo, la forte protezione dei dati offerta sia dall’uso di Parquet Modular Encryption (PME) che da enclave hardware sicure può aiutare a fornire un flusso di dati protetto e regolamentato attraverso gli ambienti cloud con sede nell’UE». Secondo Salant, il PME è senza dubbio il risultato più importante del progetto, poiché è stato ufficialmente accettato come standard dalla comunità Apache Parquet e si è fatto strada in numerosi prodotti IBM.

Casi di test di vita reale

Le soluzioni RESTASSURED sono state ampiamente testate nei settori dell’assistenza sociale e delle assicurazioni «Pay as You Drive». «Il caso d’uso dell’assistenza sociale era basato su un’offerta di prodotti effettiva di un partner del progetto, Oxford Computer Consultants (OCC). Volevamo vedere come questo prodotto, che si concentra sia sui volontari che forniscono assistenza sia su coloro che lo richiedono, potesse essersi trasferito nel cloud», spiega Salant. «I ruoli distinti richiedevano una rigorosa applicazione dell’accesso, basato sui ruoli per i dati. Nel frattempo, la gestione automatizzata del rischio sviluppata in RESTASSURED è stata di grande interesse per OCC, sia per analizzare il prodotto attuale sia per scoprire le implicazioni del portare questo prodotto in un ambiente cloud». L’assicurazione Pay as You Drive, invece, si è occupata della telematica automobilistica. I dati personali dell’IoT vengono acquisiti in sede e quindi trasferiti nel cloud, il che implica restrizioni previste dal GDPR sul loro trattamento, nonché restrizioni sui dati stessi quando il veicolo trasmittente attraversa i confini nazionali. Il progetto si è concluso nel dicembre 2019, ma da allora lo sviluppo è continuato. Il lavoro sul PME è proseguito nell’ambito di una serie di altri progetti di Orizzonte 2020, mentre diversi partner RESTASSURED hanno da allora proposto un progetto successivo denominato FogProtect (Protecting Sensitive Data in the Computing Continuum), che dovrebbe durare fino alla fine del 2022.

Parole chiave

RESTASSURED, IBM, cloud, GDPR, megadati, analisi, conformità, protezione dei dati, IoT