Lavorando in un ente pubblico, ho auspicato in diversi articoli e convegni che a livello nazionale o europeo si mettano a disposizione sistemi cloud dedicati alle pa, quindi pienamente d'accordo. Però il problema di certi monopoli resta: oggi è capitato a sistemi Windows, ma può succedere anche ad altri. Nè un sistema operativo sviluppato ad hoc, al di là dei costi, sarebbe più sicuro ed efficiente. Stesso discorso per applicativi e sistemi di sicurezza: un cloud dedicato alla pa con Windows e Crowdstrike avrebbe fatto la fine di tutto il resto. So di essere vecchio e retrogrado, ma una copia (o anche due o tre) dei dati nella cassaforte dell'ufficio, un sistema anche ridotto di riserva continuo a preferirlo. Buona domenica a tutti D. Il Sab 20 Lug 2024, 19:28 Angelo Raffaele Meo <angelo.meo@polito.it> ha scritto:

carissimi, su La Stampa di oggi, Riccardo Luna, commentando il crollo di ieri del sistema mondiale delle Telecomunicazioni, si pone la domanda: "Saremmo più sicuri con un cloud di Stato?" e risponde immediatamente: "lo escludo". Io invece non solo non lo escludo, ma lo voglio. Non solo per ragioni ideologiche, ma concrete. Non è possibile che un piccolo baco di una piccola azienda di cui sino ad oggi ignoravamo l'esistenza provochi un disastro di quelle dimensioni. Cosa ne pensate? Raf Meo

Avete sicuramente letto ieri questa intervista a Morozov. Morozov “I governi schiavi delle big tech così siamo tutti insicuri” CrowdStrike, cioè il sistema di cybersicurezza che ha provocato il black-out di ieri creando enormi disagi in tutto il mondo. Morozov, basta davvero così poco per mandare il mondo in tilt? «Quello che è accaduto ci pone di fronte a tre grandi questioni. La prima è che la maggior parte dei servizi dell’economia globale è nella mani di Microsoft. La seconda riguarda il fatto che quasi tutte le infrastrutture digitali usano servizicloud,cioè lontani. La terza questione, è che le grandi aziende come Microsoft optano per l’autoregolamentazione del settore piuttosto che per una rigorosa supervisione da parte del governo. Per questo per rendere i servizi sicuri sono necessarie società terze come CrowdStrike». Qual è l’alternativa? «Abbandonare l’autoregolamentazione, sottoponendo tutte le infrastrutture digitali allo stesso tipo di stress testche imponiamo alle banche dopo la crisi finanziaria del 2008. Ma questo implica scelte e investimenti: smettere di smantellare i dipartimenti IT (quelli che supervisionano all’installazione e la manutenzione dei sistemi di rete informatica all’interno di un’azienda,ndr),ha un costo». Lei ha scritto molto di Google, Facebook, Twitter: cediamo continuamente informazioni personali. Siamo ingenui, schiavi dell’algoritmo? «La nostra dipendenza dalle aziende tecnologiche ha una lunga storia ed è il risultato di un fallimento politico. Dire che siamo schiavi dell’algoritmo significa minimizzare e banalizzare il ruolo che la cattiva politica ha avuto nel lasciarci senza alcuna opzione. Con quale logica possiamo celebrare il fatto che per cercare alcune informazioni di base su qualcosa che sta accadendo nel nostro quartiere, chiediamo l’interazione con una società multinazionale con sede a Mountain View, California, ovvero Google? È molto meno razionale di quanto pensiamo». La paura, durante il black-out, è stata quella di un grande attacco informatico: è uno scenario possibile? «Periodicamente, qualcuno del settore della sicurezza informatica parla di un «11 settembre digitale» o di una «cyber-Pearl Harbor». Non si è verificato alcun evento del genere. Ed è ironico che l’esperienza più vicina a un 11 settembre digitale sia stata questo incidente di CrowdStrike: non un attacco, ma un malfunzionamento del software che avrebbe dovuto proteggerci dall’attacco stesso». Dopo episodi come quello di oggi, serve una riflessione: ma cosa si può fare? «Dobbiamo capire che la sicurezza informatica non è diversa dalla sicurezza in quanto tale: è un bene pubblico. I giganti della tecnologia come Microsoft hanno passato un decennio a promuovere idee come la “Convenzione di Ginevra digitale”, che, nonostante il nome umanitario, mira in realtà a privare i governi del potere di regolare il cyberspazio, delegando invece le aziende private a farlo. Ed è ironico che l’azienda sia adesso finita vittima della sua stessa retorica». Il giorno sab 20 lug 2024 alle 19:28 Angelo Raffaele Meo < angelo.meo@polito.it> ha scritto:

carissimi, su La Stampa di oggi, Riccardo Luna, commentando il crollo di ieri del sistema mondiale delle Telecomunicazioni, si pone la domanda: "Saremmo più sicuri con un cloud di Stato?" e risponde immediatamente: "lo escludo". Io invece non solo non lo escludo, ma lo voglio. Non solo per ragioni ideologiche, ma concrete. Non è possibile che un piccolo baco di una piccola azienda di cui sino ad oggi ignoravamo l'esistenza provochi un disastro di quelle dimensioni. Cosa ne pensate? Raf Meo

Il 20/07/24 7:28 PM, Angelo Raffaele Meo ha scritto:

[...sul cloud di Stato...] Io invece non solo non lo escludo, ma lo voglio. Non solo per ragioni  ideologiche, ma concrete. [...] Cosa ne pensate?

Nel mio modestissimo "piccolo", ritengo che il problema *NON* sia determinato dall'ownership dell'infrastruttura fisica. Per me -- dipendente pubblico che opera servizi "pubblici" -- fa poca differenza operare sul "mio" PC in ufficio, sui sistemi server che "resistono" in sala-server, a 20 metri dal mio ufficio, sui sistemi virtualizzati che --prima del mio arrivo-- sono stati delocalizzati su infrastruttura CINECA [marketplace ACN, ex-AGID], oppure su sistemi di Hetzner [fisicamente dislocati in Germania, in Finlandia o anche, eventualmente, in USA], o su Aruba... [per restare in Italia] o altri "cloud-provider". Il problema è il "controllo" che su tali sistemi si riesce a esercitare. Nel mio caso specifico, il controllo che desidero (...e che mi crea problemi quando mi manca) è massimo: sono ormai diverse le situazioni nelle quali mi è servito arrivare a leggere i sorgenti per affrontare/risolvere problemi lavorativi reali... Chiaramente mi si puo' obiettare: "Ma ti serve il codice del kernel di linux? Ti servono i sorgenti dei firmware che fanno funzionare i tuoi server? Ed i firmware ed i software dei router e degli switch che usi per collegarti ai server?" etc. etc. - Sono argomenti che mi sono chiari, ma la cui trattazione dettagliata esula dalla domanda del Prof. Meo... Tornando al punto, quindi, per me non c'e' alcun problema ad ospitare un servizio "critico" su una piattaforma Azure (o AWS o GCP).... ma non bisogna rinunciare al "controllo". Per "controllo" intendo, fra gli altri, due aspetti fondamentali: 1 - massimizzare la facilita' di "spostarsi" altrove, in modo da poter rintuzzare azioni di enforcing di lock-in, banalmante: aumenti i prezzi? Problemi zeri, mi sposto altrove... in 30 minuti (o meno). Mi throttli il networking? Problemi zero; mi sposto. Qualcun altro diventa piu' competitivo con i prezzi? Ottimo; mi sposto. ...cose di questo genere. Ed e' il motivo principale per cui, per quanto mi riguarda, "cloud" è un termine che si puo' assimilare esclusivamente a IaaS (utilizzo le tue CPU, la tua memoria ed il tuo storage... ma dall'OS in su, è tutto rigorosamente sotto il mio controllo). Mi si obiettera' che questo *NON* è "cloud"... e parziamente sono d'accordo. Ma di nuovo, una trattazione dettagliata sull'argomento esula dalla domanda da cui siamo partiti... (ed a cui cerco di rispondere) 2 -  garantirsi i massimi livelli di flessibilita' circa la "riservatezza" dei dati archiviati ed il traffico in transito. Se, quindi, uso una VM su Azure e so che i dati che ospitera' sono "delicati", mi preoccupero' di utilizzare storage "cifrato", ovviamente con tecnologie "aperte" (nello specifico, ZFS encrypted, per BOOT, ROOT e DATA), spostando molto in basso l'asticella del "rischio" che devo comunque accettare. D'altro canto --sempre in riferimento alla domanda del Prof. Meo-- l'approccio esattamente contrario, ossia: ospito il 100% delle applicazioni e dei dati all'interno del mio datacenter, incurante del "controllo" che posso operarvi... mi espone comunque a problemi potenziamlente seri (a partire da quelli relativi alla tutela dei dati ospitati, anche nei confronti del personale *INTERNO*, ed ai temi di cybersecurity [comunque fondamentali, se i servizi sono erogati on-line...]) Tornando alla domanda, la mia amarezza è che questo "controllo" (su tutta l'infrastruttura) che a me sta tanto a cuore è totalmente fuori dai radar delle discussioni. Ed anche a livello politico, si riduce tutto al termine "sovranita' digitale"... ma tipicamente utilizzato in discussioni che finiscono la... e che quindi nessuno sviscera nemmeno sommariamente per capire IN CONCRETO di che si tratta... L'unica cosa che in parte mi consola, è che se spostiamo l'attenzione dall'infrastruttura (che a me interessa) ai "dati", vedo che molte cose sono accadute negli ultimi ~5 anni (forse piu'). Ormai il tema degli open-data e, piu' recentemente, dell'open-science... possono quasi essere considerati mainstream. Magari fra 10 anni... qualcuno parlera' anche di "open-infrastructure", includendo in queste *anche* gli stack software... Ma io, purtroppo, non saro' li a festeggiare: saro' ad un passo dalla pensione. Il mio timeout, detto in altri termini, purtroppo temo sia scattato :-( Un caro saluto, DV -- Damiano Verzulli e-mail: damiano@verzulli.it --- possible?ok:while(!possible){open_mindedness++} --- "...I realized that free software would not generate the kind of income that was needed. Maybe in USA or Europe, you may be able to get a well paying job as a free software developer, but not here [in Africa]..." -- Guido Sohne - 1973-2008 http://ole.kenic.or.ke/pipermail/skunkworks/2008-April/005989.html