OVH, a Strasburgo in fiamme un pezzo del web

Reading Time: 5 minutes
ovh

La notte tra il 9 e il 10 marzo 2021, l’ospedale civico di San Songino di Val Vanella (nome di fantasia, ndr) dorme – più o meno – sonni tranquilli. Tutti i dati dei pazienti degenti, del personale medico, sanitario e amministrativo sono al sicuro, conservati nel cuore dell’incorporeo cloud di una nota società francese, OVH. Le cartelle cliniche, i dati personali riservatissimi e delicatissimi (tipici di un’azienda sanitaria locale) sono reperibili nella ferrea memoria del web, che non può e non potrà subire danni. O almeno così credono i più. 

La notte tra il 9 e il 10 marzo 2021, però, a Strasburgo, in Francia, non si riesce a dormire. I tetti alsaziani di legno medievale sono illuminati, come se fosse giorno. I galletti medievali che spuntano dai comignoli riflettono una quantità immane di fiamme. Da dove viene l’incendio? 

Le fiamme provengono proprio dal campus OVH di Strasburgo che è, come forse avrai intuito, uno dei principali fornitori europei di infrastrutture cloud.
Ti do un disclaimer apparentemente contro-intuitivo: Il cloud non è incorporeo. I tuoi dati, che potremmo definire originali, hanno sempre un centro di conservazione e, nel caso del piccolo ospedale di San Songino, il centro è proprio il campus di Strasburgo. 

Tutto in fumo. Cartelle cliniche, informazioni, dati personali. Tutto perduto. Una questione che ha interessato decine di migliaia di siti web in tutta Europa, nonostante il tempestivo – e massiccio – intervento dei vigili del fuoco francesi che ha comunque permesso, in un certo senso, di contenere i danni. 

Sembra, infatti, che non vi siano vittime, ma le fiamme – incontrollate – sono divampate su almeno quattro dei data center ospitati dal campus. 

Immagina un enorme flusso di informazioni che va letteralmente a fuoco, come se fosse la biblioteca di Alessandria in un incendio ormai leggendario

Mezzi nuovi, problemi vecchi dunque. 

OVH: chi è la regina del cloud europeo

Nottetempo, alle 3:40 è arrivato il primo tweet del fondatore di OVH, Octave Klabe: “(…) immediately on the scene but could not control the fire in SBG2.” I vertici dell’azienda hanno invitato tutti i clienti ad attivare al più presto possibile i protocolli di emergenza. 

Non si può non parlare dell’ironico tempismo di questo incendio, le cui cause – conviene ribadirlo – sono lungi dall’essere chiarite. 

Sì, perché la notizia che Ovh stesse per entrare nella borsa di Parigi è arrivata giusto qualche giorno fa. Siamo (o meglio eravamo) all’atto finale, all’apogeo, di una corsa inarrestabile della società che durava, gloriosa, dal 2016. 

Ripercorriamone insieme i passi.

OVH è leader europeo del cloud. Fornisce server, hosting e anche servizi telefonici, un po’ come l’italiana Aruba. La sua fondazione risale ai tempi in cui Octave Klabe, era ancora un giovane studente del terzo anno dell’ICAM di Lille, nel nord della Francia. Era il 1998. 

Oggi è un colosso. Ospita nei suoi 32 data center gli applicativi di 1 milione e mezzo di clienti, sparsi ovunque nel mondo, soprattutto in Europa. Dichiara un tasso di crescita del 20% ogni anno e un profitto di mezzo milione di euro. Offre servizi in 17 paesi, tra cui Italia, Germania, Regno Unito e Canada e sta per esportare i suoi servizi anche negli USA. Viene considerata come il terzo più grande hosting di server nel mondo e, di gran lunga, il primo in Europa. 

Insomma, un vero e proprio gigante dal nome gentile. OVH, infatti, è l’acronimo di On Vous Hèberge (Vi si ospita, come direbbero a San Songino in Val Vanella, oppure Noi vi ospitiamo). 

OVH: la falla nel piano

Quello che ci preoccupa è, in verità, un aspetto che solo parzialmente ha a che fare con l’incendio del 10 marzo. 

Sembra, infatti, che OVH sia priva di un’architettura di server che replichi il contenuto dei dati in modo da rendere erogabili i servizi anche quando uno degli impianti, come il Sbg-2, diventi improvvisamente inaccessibile. Un vero e proprio tallone d’Achille che ci lascia, davvero, stupefatti. 

Possibile che nessuno, dentro un colosso del calibro di OVH, abbia ipotizzato un eventualità del genere? E in cosa consiste allora il protocollo di emergenza suggerito da Klaba?

Proviamo a capire perché questa mancanza ha del clamoroso. 

Ipotizziamo che una mole (sicuramente enorme) dei dati conservati nei cloud che facevano riferimento a Sbg1-4, non era stato preventivamente sottoposto ad un backup. Significherebbe che una parte del web, letteralmente un pezzo, sia stato bruciato per sempre, insieme alle macchine colpite dall’incendio. Un problema che interessa strutture grandi e piccole e che va molto al di là dell’ospedale civico di San Songino in Val Vanella: quotidiani locali e nazionali, laboratori scientifici, consorzi universitari, portali di servizi di vario tipo, server per i giochi online (come quelli che ospitano alcune partite del celeberrimo Minecraft). Non vi basta? Anche il sito internet del Centre Pompidou, il museo di arte contemporanea di Parigi, è attualmente inaccessibile.

Oltre a casi illustri in Italia, come il Comune di Pavia, il Comune di Trapani o il Comune di Cattolica. 

OVH: cosa c’entra il GDPR

Torniamo nella nostra San Songino in Val Vanella. Dicevamo, all’inizio, che tutte le cartelle cliniche sono diventate improvvisamente non disponibili, non consultabili, perché conservate nei server del Sbg-2 di OVH. 

Ecco che si palese il data breach, la violazione di uno dei principi-basi del nuovo Regomento Europeo sulla Privacy: la disponibilità dei dati personali. Direttamente dal sito del Garante italiano per la privacy, possiamo leggere la definizione di data breach: “una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali.”

Nel clamoroso caso di Strasburgo, il principio che viene violato è, senza dubbio, quello della disponibilità dei dati personali. Un certo numero di dati, anche riservati, personali, delicati, sono improvvisamente indisponibili e c’è la probabilità che, senza un backup preventivo, non lo saranno mai più. 

Se questa situazione, finora ipotetica perché il fatto è troppo recente per le opportune verifiche, OVH (e quelli che a lei si appoggiano) incapperebbero in una violazione del GDPR. Il titolare del dato, in base al contratto, sono dunque a rischio di incorrere nella sanzione di cui all’art. 83 comma 4 per violazione dell’articolo 32, dove leggiamo che il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre,  la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

Quali sarebbero le conseguenze? La multa è abbastanza salata. si parla di sanzioni intorno a 10 milioni di euro o, per quanto riguarda le aziende, del 2% del fatturato mondiale annuo. 
Possiamo solo fare i nostri migliori auguri a OVH, ribadendo un mantra che speriamo, da oggi, sia meno difficile da interiorizzare: il cloud non è immortale.