E quindi ieri è stato il giorno che gli italiani hanno scoperto che il meraviglioso cloud è solo il computer di qualcun altro. Bene, meglio tardi che mai. Il guaio è che non è quella la sola cosa che hanno scoperto.
Indice degli argomenti
Il down di Amazon Web Services
Spiego: per quasi tutto lunedì, ci sono stati grossi problemi con il cloud di Amazon, cioè Amazon Web Services.
The Verge, che ha tanti pregi ma resta una testata americana, quindi provinciale come la ricetta della piadina, ha avuto il coraggio di titolare “Grave guasto al servizio AWS mette fuori uso Fortnite, Alexa, Snapchat e altri servizi” perché quando parli di qualcuno che offre servizi cloud a tre quarti del mondo, il problema sono ovviamente Fortnite, Alexa e Snapchat.
In Italia per quasi un giorno intero – almeno secondo Downdetector come riportato ma molti giornali – ci sono stati forti disservizi in Fastweb, Vodafone, TIM, Wind, Iliad, CoopVoce, OpenFiber, e in Agenzia delle Entrate, Poste Italiane, Intesa San Paolo.
Perché noi, qui, abbiamo il perimetro cibernetico di sicurezza, signora mia.
Poi, ovviamente, sono andati giù anche Google, Signal, Instagram, Whatsapp, e Snapchat e una caterva di altri servizi made in USA.
I problemi del cloud se va giù Amazon web services
Improvvisamente tutti i CIO hanno scoperto che la meravigliosa efficienza del cloud ha un costo nascosto: la fragilità. AWS può servire milioni di aziende a una frazione del costo che ciascuna pagherebbe per farsi il servizio da sola. Ma ovviamente, quando Amazon ha un problema, istantaneamente diventa il problema di milioni di aziende.
E non solo, ma ciascuna di quelle aziende, sempre per ragioni di efficienza, non ha più le competenze per gestire una crisi tecnologica, al di là di inchiodare il manager alla mail nella vana speranza che qualcuno in Virginia si prenda a cuore la sua particolarissima situazione, del tutto identica a quella di altri 12.632.528 aziende.
Poi, naturalmente, senza fretta, le stesse aziende si accorgeranno che i costi dei servizi in cloud continuano ad aumentare, e che guarda caso sono uguali o superiori ai costi di quando il servizio era in house. Complimenti, polli, avete scoperto il trucco più vecchio del mondo dei monopolisti: giocare al ribasso fino a eliminare la concorrenza, e una volta rimasti soli o quasi, fare i prezzi che si vuole.
Tanto cosa vuoi che facciano i polli, che si rimettano a ricostruire i loro datacenter da zero?
Fin qui, niente di nuovo sotto il sole. Ma non è tutto.
Le cause del guasto Aws
Del problema di Amazon sappiamo due cose per certo:
1. che il guasto ha interessato la regione US-EAST-1, con datacenter in Virginia, Stati Uniti
2. che non si è trattato di un attacco informatico ma, almeno inizialmente, di un problema con i DNS, poi mano a mano che ripartivano i servizi ci sono stati problemi collaterali di bilanciamento del carico e altre cose.
I DNS sono quei sistemi che traducono indirizzi come “amazon.it” in una cosa che si chiama numero IP che dice come arrivare al computer, fra i miliardi che ci sono in internet, che risponde a quell’indirizzo. È una specie di elenco del telefono o di cartina, tu cerchi nell’indice “Calolziocorte”, e quello ti dice qualcosa come “Tavola 6, riquadro B-3”.
Parliamo di queste due sole cose che sappiamo con abbastanza certezza.
Il guasto ha interessato la regione US-EAST-1, in Virginia, Stati Uniti.
Ora, io sono indifferente al fatto che il problema abbia riguardato Google, Signal, Instagram, Whatsapp, e Snapchat e Fortnite. Sono aziende private, si scelgono i fornitori che vogliono, se il fornitore toppa, se la vedano fra di loro.
Sono anche disposto a concedere che Fastweb, Vodafone, TIM, Wind, Iliad, CoopVoce, OpenFiber, debbano appoggiarsi al cloud negli USA per qualche problema di interconnessione. Non lo so, ma diamola per buona.
Guasto Aws, il commento di Acronis
L’interruzione dei servizi AWS di ieri riporta alla mente episodi come quello del 2021 nella regione us-east-1 o l’attacco DNS a Dyn del 2016.
Se la causa fosse davvero un malfunzionamento del DNS, sarebbe la conferma di quanto Internet resti vulnerabile quando funzioni essenziali come la scoperta e l’instradamento dipendono da un unico sistema di controllo.
Molti servizi coinvolti non avevano previsto un funzionamento ridotto in caso di guasto: invece di rallentare, si sono completamente fermati. Dal punto di vista della resilienza e della sicurezza, è un promemoria importante: i rischi infrastrutturali non derivano soltanto da attacchi informatici.
Strategie hybrid e multi-cloud, l’isolamento del DNS e una progettazione che consenta un funzionamento controllato anche in condizioni di errore sono ormai indispensabili per garantire la continuità dei servizi critici.
Santiago Pontiroli, Lead TRU Researcher di Acronis
Che cosa non torna nel guasto globale Amazon Aws
E fin qui, appunto transeat. Ma alcune cose non mi tornano.
Primo, qualcuno mi spiega cosa ci fanno i dati e i programmi del Ministero delle Entrate e di Poste Italiane in Virginia?
I prodi dell’Agenzia per la Cibersicurezza non hanno niente da dire al riguardo?
Qualcuno mi può fare memoria, il Perimetro nazionale di sicurezza cibernetica, e il Polo Strategico Nazionale dei campioni nazionali Enel, Telecomitalia e Leonardo in subappalto al 100% a Google, Amazon e Microsoft, a cosa servono?
Perché non ha avuto un guasto Amazon Web Services in Europa.
Ha avuto un guasto Amazon Web Services in Virginia, Stati Uniti. Il branco di cialtroni che ciancia un giorno sì e l’altro pure di sovranità digitale e di perimetri strategici, ha qualcosa da dire al riguardo? Perché se i dati e i programmi dell’Agenzia delle Entrate e delle Poste sono sovranamente in Virginia, la colpa è esclusivamente loro. Entrate e Poste, non la Bocciofila di Voghera.
Secondo, un problema di DNS? Stiamo parlando di qualcosa di così delicato che nell’IT si dice “è sempre il DNS”. Stiamo dicendo che il principale fornitore cloud al mondo, nella propria region principale che oltre a tre quarti dell’Europa serve la costa Est degli USA dove ci sono cosucce come la Casa Bianca, il Pentagono, la Borsa di New York fa una modifica al DNS in un modo che non è a prova di errore? Senza poi voler pensare che incasinare la configurazione del DNS è il classico errore da junior. Di certo Amazon Web Services non impiegherebbe personale meno che specializzatissimo per un compito così delicato, vero? Vero?
Terzo, Banca Intesa ha sentito parlare del regolamento DORA? È quel regolamento europeo in vigore dal 2023 ed effettivo dal 17 gennaio corrente anno, dopo due anni di tempo per mettersi in regola.
Secondo DORA, le entità finanziarie devono disporre di piani, testati a vivo, con cui sostituire un fornitore con un altro fornitore, nel caso che la fornitura sia critica per l’operatività e che il primo fornitore abbia un guasto.
In altre parole: se sei banca Intesa e il cloud di Amazon va giù, devi avere già pronti contratti e procedure per passare a un altro fornitore in una finestra di tempo definita. DORA, ovviamente, consente agli enti finanziari stessi di definire i propri tempi di risposta.
In un mondo dove le transazioni finanziarie si misurano al massimo in centesimi di secondo, mi piacerebbe proprio sapere quali tempi di risposta e ripristino si è data Banca Intesa. Perché mezza giornata, e ormai siamo più vicino alle otto ore, mi sembra molto generoso per un attore di quel calibro.
Ma lasciamo perdere i tecnicismi, e poi DORA c’è solo da nemmeno tre anni, è una novità a cui dobbiamo ancora adattarci.
Allora quinto: parliamo di GDPR. Varato nel 2016, operativo a maggio 2018. Sette anni bastano per mandare un figlio a scuola, credo bastino anche a una banca per adeguarsi a un obbligo di legge. Qualcuno a Banca Intesa San Paolo sa spiegare perché un guasto in Virginia, Stati Uniti, causa un disservizio in Italia?
No, sul serio. Perché capisco che la Commissione Europea decida di baciare il culo peloso di Trump e dichiari che gli Stati Uniti sono un Paese adeguato, e che quindi i dati europei sono al sicuro lì come lo sono qui. Facciamoci un grappino e mandiamo giù questa stronzata.
Ma chi vuole salvare almeno la dignità, da anni nei contratti con Amazon, Google e Microsoft richiede che i dati debbano rimanere su server europei. È l’assoluto minimo.
Il problema privacy dati negli Usa
Lo so che non fa nessuna differenza pratica, se una qualsiasi agenzia americana di intelligence vuole accedere ai dati, il CLOUD Act stabilisce che ogni compagnia americana sia tenuta a darli, dovunque nel mondo siano conservati e a chiunque si riferiscano, americano o no, e che debba farlo sotto vincolo di segretezza.
Ma almeno è un gesto per fare vedere che quel nulla che si poteva fare lo si è fatto. Che si può essere colonia senza essere anche d’accordo, vero Von Der Leyen (commissaria Ue)?
Che fare? Basta sovranità digitale per finta
Ora, a fronte di tutto questo, io mi chiedo: c’è qualcuno nella Pubblica Amministrazione con ancora sufficiente dignità per fare la sovranità digitale davvero e non per finta? E nel privato, nel famoso privato dell’efficienza e del merito, c’è ancora un CEO con la spina dorsale?
Perché, ripeto, il problema non è che Amazon Web Services abbia avuto un guasto.
Il problema è che Amazon Web Services ha avuto un guasto in Virginia, ed è andata giù mezza Italia, mentre i server europei di Amazon Web Services non battevano ciglio.
Quando un paio di anni fa si è trattato di rinnovare il contratto in cloud con Amazon, un DPO che conosco ha insistito per usare server europei, e qualcuno ha storto il naso, e qualcun altro ha pensato che era un rompi. E fidatevi, lo è.
Ma quando ha letto la notizia, ha chiesto al tecnico “ma come va con Amazon, il nostro cloud ne risente?”. E quello in risposta “Nemmeno una virgola”.
