Un pezzo di internet è andato a fuoco, letteralmente

Un incendio nel data center di Strasburgo di Ovh, la società francese leader nel cloud con oltre 1,5 milioni di clienti nel mondo, ha messo offline decine di migliaia di pagine web. E ora può configurarsi una violazione del Gdpr europeo

L'incendio a Strasburgo (foto: Vigili del fuoco di Strasburgo via Twitter)

Un grave incendio scoppiato nella notte tra il 9 e il 10 marzo ha colpito il campus di Strasburgo di Ovh, tra i principali fornitori europei di infrastrutture cloud, causando importanti disagi a chiunque dipenda dall'azienda per i suoi servizi in rete. L’imponente intervento dei vigili del fuoco francesi ha permesso di contenere i danni e attualmente non sembra vi siano vittime, anche se “non è stato possibile controllare le fiamme in Sbg2”, uno dei data center ospitati nel campus, ha twittato il fondatore di Ovh, Octave Klaba. “L’intero sito è stato isolato e questo impatta su tutti i servizi (ospitati da) Sgb1-4”, ha proseguito Klaba. “Raccomandiamo (ai clienti) di attivare il vostro piano per il ripristino di emergenza”. Anche il data center Sgb1 è stato parzialmente distrutto dalle fiamme.

X content

This content can also be viewed on the site it originates from.

Con Ovh attualmente ferma, potrebbero essere decine di migliaia le pagine web non direttamente raggiungibili. Cruciale nel mondo del cloud, l’azienda ospita nei propri data center gli applicativi di oltre 1.5 milioni di clienti, si legge sul sito ufficiale. Con sede a Roubaix, in Francia, Ovh possiede 32 data center in 19 paesi e dichiara una crescita annua del 20%, con 500 milioni di euro di profitti. Nel 2016 il gruppo ha incamerato un investimento di 250 milioni dai fondi Kkr e TowerBrook Capital Partners, ed è di pochi giorni fa la notizia che ha attivato le procedure per un potenziale ingresso sulla borsa di Parigi.

Tuttavia, a destare preoccupazione è anche l’apparente assenza di una ridondanza –ovvero una progettazione dell'architettura dei server che ne replica il contenuto garantendo la continua erogazione di un servizio anche se un impianto diventa inaccessibile – dei sistemi colpiti dall’incendio, con alcuni siti ospitati dall’azienda che a 7 ore dall’incendio sono ancora irraggiungibili. “Non abbiamo accesso al sito e per questo i Sgb1, Sgb3 e Sgb4 non verranno riattivati oggi”, ha commentato lo stesso Klaba su Twitter.

[Aggiornamento, 16:30]

Riapertura di Sbg1 e Sbg4 entro lunedì 15 marzo e riapertura di Sbg3 entro venerdì 19: questo il piano di Ovh per ripristinare le proprie infrastrutture a quattordici ore dallo scoppio di un incendio che ha parzialmente distrutto il campus Ovh di Strasburgo. L'ad dell'azienda, Octave Klaba, ha fatto sapere di avere già la disponibilità di hardware necessaria per l'operazione e di aver disposto un incremento 10 mila server "in tre o quattro settimane". Mancano invece informazioni sulla sorte toccata al data center Sbg 2, dal quale è partito l'incendio e che da esso è stato più duramente colpito.

Ancora nessuna indicazione sulle cause dell'incidente, il quale potrebbe aver letteralmente mandato in fiamme una parte di Internet: ovvero tutto ciò che era ospitato sulle macchine bruciate e che non era preventivamente stato sottoposto a backup. Il cloud non è "immortale", si ironizza sui social, e i backup "sono sempre fatti un giorno in ritardo".

X content

This content can also be viewed on the site it originates from.

[Aggiornamento, 15:38]

“Siamo felici che nessuno sia rimasto ferito, né tra i membri della nostra squadra né tra i vigili del fuoco e gli operatori della prefettura, che ringraziamo per la loro esemplare mobilitazione in nostro aiuto”: in un comunicato pubblicato da Ovh, l'azienda ripercorre le fasi dell'intervento dei vigili del fuoco seguito al divampare dell'incendio alle 00:47 del 10 marzo, in una delle sale del data center Sbg2, il più colpito. L'incendio sarebbe stato domato completamente intorno alle 5:30 del mattino.

“Incidenti come questo evidenziano il valore delle infrastrutture logiche e dei servizi Iaas, che permettono di lavorare separando il piano virtuale da quello fisico, dove server, dischi e cabine elettriche possono subire un danno”, ha commentato a *Wired *Michele Zunino, amministratore delegato del provider cloud italiano Netalia: “Una direzione verso la quale stiamo già andando e che assicurerebbe la continuità del servizio erogato anche nel caso di un incidente”.

Il riferimento è alle infrastrutture come servizio – Iaas, Infrastructure-as-a-service – nelle quali il fornitore dà ai suoi clienti l'accesso alle risorse di calcolo (come server, storage e connessione di rete) consentendone l’accesso da remoto. “Non basta smaterializzare un processo portandolo dalla propria azienda a un data center” – chiosa Zunino – “ma occorre ripensare e progettare i nostri sistemi in modo più resiliente”.

Tra i siti italiani colpiti dalle conseguenze dell'incendio di Strasburgo compaiono anche le pagine del Laboratorio nazionale di cybersecurity del Cini (Consorzio interuniversitario nazionale per l'informatica), che ha comunque ripristinato l'accesso alla gran parte dei servizi nella mattinata. Rimane inaccessibile tuttavia il portale del convegno di sicurezza informatica Itasec21.Ulteriori lamentele arrivano dal mondo dei giochi online, con l'interruzione temporanea di alcuni portali per gli amanti degli scacchi e il crollo di alcuni server che ospitano partite di Minecraft. Ci sono stati problemi, infine, anche per il giornale Genova24.it e per altre testate del gruppo Edinet.

Fun fact: Ovh ha precisato che il campus di Strasburgo “non è classificato come Seveso site”: un termine che prende il nome proprio dalla cittadina lombarda di Seveso, in provincia di Monza e Brianza, che, nel 1976, fu teatro dell'esplosione di un impianto industriale in seguito al quale agenti tossici furono rilasciati nell'aria. Dall'episodio prende il nome la direttiva Seveso (Directive 2012/18/Eu), la quale identifica gli stabilimenti industriali ad alto rischio. E il Campus Ovh di Strasburgo non è fortunatamente tra questi.

X content

This content can also be viewed on the site it originates from.

[Aggiornamento, 14:00]

Intorno alle 13 Klaba ha reso noto un primo piano di ripristino della sede Ovh di Strasburgo, dal quale si deducono danni significativi non solo su Sbg2, ma anche alle adiacenti infrastrutture. Tra queste anche le cabine elettriche di media tensione, i punti di landing delle fibre a lunga distanza (che connettono il campus con il resto della rete) e le sale che ospitano gli apparati di rete.

Un esperto del settore, che ha parlato con Wired in via riservata, ha commentato: “Un incendio può capitare, ma se si espande ad altri tre data center è evidente che c'è un problema di progettazione dell'intera struttura”.

“404 - Fichier ou répertoire introuvable”, pagina non trovata: non esiste al momento una stima dei siti web e dei portali colpiti dall'incendio del data center Ovh, tuttavia, diversi blog, organizzazioni e aziende stanno usando i social network per segnalare l'inaccessibilità delle proprie pagine. Tra queste anche il sito del Centre Pompidou, tra i più famosi musei d'arte al mondo, e quello di VeraCrypt, applicativo open source che permette di cifrare in modo estremamente sicuro i propri dati.

X content

This content can also be viewed on the site it originates from.

[Aggiornamento, 12:30]

“Tutti i server in Sgb3 sono ok. Sono spenti ma non impattati”, ha annunciato alle 11:14 l'amministratore delegato di Ovh, che in mattinata ha potuto iniziare i sopralluoghi del campus. “Abbiamo creato un piano per far ripartire i server (in Sgb3, ndr) e connetterli alla rete”, ha aggiunto. Inoltre, Klaba ha fatto sapere che la sala che ospita le infrastrutture di rete di Sgb1, parzialmente lambito dall'incendio, non ha riscontrato danni, insieme ad altre otto sale. Sono quattro le sale server colpite nell'edificio che ospita il primo dei 4 data center di Ovh nel campus di Strasburgo. Al momento non sono note le tempistiche entro le quali la porzione di cloud ospitata nel campus sarà nuovamente operativa.

Nel frattempo, Wired ha ricevuto alcune segnalazioni relative a possibili disservizi sul portale Fatture e corrispettivi dell'Agenzia delle entrate, gestito da Sogei. Tuttavia, il portale risulta funzionante, salvo alcuni rallentamenti probabilmente dovuti all'odierna scadenza per la conservazione delle fatture elettroniche.

L’accertamento di eventuali violazioni del caso, come l’indisponibilità dei dati, spetta ora al Cnil, autorità francese per la protezione dei dati personali. Tuttavia, “l’episodio può riguardare qualunque cliente di Ovh, che dovrà ora valutare quale sia la portata del danno e dell’eventuale disservizio cagionato ai propri clienti”, ha spiegato a Wired Giovanni Battista Gallus, avvocato esperto di temi digitali e membro del Circolo dei giuristi telematici: “Secondo la triade della confidenzialità, dell’integrità e della disponibilità del dato, in questo caso potrebbe darsi che alcuni servizi non risultino accessibili. La gravità e le azioni da intraprendere vanno valutate caso per caso”, spiega Gallus.

Il tema principale sembra essere dunque quello dell’indisponibilità dei dati, per ora: se un servizio che dovrebbe rendere accessibili ai propri clienti dei dati personali – per esempio dei referti medici – dovesse essere caduto in conseguenza dell’incendio, questo configurerebbe una indisponibilità dei dati personali ai sensi del Gdpr. Ed è la gravità dell’interruzione all’accesso che determina se si debba informare i propri clienti o addirittura metterne a conoscenza il garante del proprio paese.

X content

This content can also be viewed on the site it originates from.

“Ma Klaba ha già raccomandato che venissero attivati i piani per il ripristino di emergenza”, osserva Gallus: “Quindi è possibile che temano di aver perso dei dati in modo definitivo, evento nel quale i clienti dovranno assicurarsi di avere dei backup di ripristino che permettano loro di tornare a rendere disponibili quelle informazioni”.

A dare il passo in questi casi sono le “Raccomandazioni per la metodologia nell’accertamento della severità degli incidenti informatici che coinvolgono i dati personali”, un documento redatto e reso liberamente consultabile da Enisa, l’Agenzia dell’Unione europea per la sicurezza informatica. Ed è proprio su questo documento che si basano alcuni strumenti di autodiagnosi, come quello per il calcolo della gravità dei data breach offerto gratuitamente dall’azienda italiana Projit.

[Pezzo in aggiornamento]