Chmura obliczeniowa w sektorze bankowym w Polsce
Publikujemy standard chmury obliczeniowej dla branży
Polska Izba Ubezpieczeń, we współpracy z Polską Izbą Informatyki i Telekomunikacji, wypracowała standard chmury obliczeniowej dla branży ubezpieczeniowej. To zbiór zasad przygotowania i przeprowadzenia skutecznego wdrożenia chmury, z uwzględnieniem wszystkich wymagań prawnych oraz nadzorczych. W pracach nad projektem brało udział 27 podmiotów, w tym firma Accenture, kancelarie Maruta Wachta oraz Traple Konarski Podrecki i Wspólnicy, a także dostawcy technologii i zakłady ubezpieczeń.
Dokument do pobrania:
Standard wdrożeń przetwarzania informacji w chmurze obliczeniowej
– W ubiegłym roku Komisja Nadzoru Finansowego nałożyła na zakłady ubezpieczeń obowiązek przeprowadzenia audytów i rewizji usług chmurowych, z jakich korzystają, a także raportowania ich wyników. Pojawiły się przy tym wątpliwości odnośnie interpretacji niektórych pojęć, prowadzenia analizy czy testów wyjścia z chmury, a także wymagań informacyjnych względem regulatora. To wszystko udało nam się ustrukturyzować i doprecyzować, dzięki ogromnemu zaangażowaniu wielu podmiotów. Wypracowany wspólnie standard chmury daje gwarancję bezpiecznego, spójnego i właściwego funkcjonowania zakładów ubezpieczeń, korzystających z chmury obliczeniowej – mówi Mariusz Kuna, szef Działu zarządzania informacją ubezpieczeniową w PIU.
Ubezpieczyciele chętnie sięgają po chmurę
Obecnie wielu polskich ubezpieczycieli korzysta już z platform i usług chmurowych. Przede wszystkim w zakresie tworzenia baz i hurtowni danych oraz analizy big data. Chmura obliczeniowa świetnie wpisuje się w digitalizację w zakładach ubezpieczeń, która w 2020 r. znacząco przyspieszyła ze względu na pandemię i lockdown. Szczególnie przydane okazały się rozwiązania, które można było uruchomić od razu. Bez sprzętu, oprogramowania, instalacji, konfiguracji czy skomplikowanego wdrożenia. Dzięki nim ubezpieczyciele mogli szybciej zareagować na zmieniającą się sytuację rynkową oraz potrzeby klientów i interesariuszy, ograniczając przy tym koszty infrastruktury IT.
– W roku 2020 nastąpił przełom w drodze do pełnej cyfryzacji polskiej branży ubezpieczeniowej. Chmura obliczeniowa była i nadal jest ważnym elementem tego procesu. Wcześniej ubezpieczyciele traktowali ją wyłącznie jako środowisko testowe bądź rezerwowe. Obecnie jest już trwałą częścią strategii biznesowych. Jestem przekonany, że z czasem firmy ubezpieczeniowe będą korzystać z usług chmurowych w jeszcze większym zakresie. Zwłaszcza że nowych narzędzi i rozwiązań dla użytkowników stale przybywa.
Cyfrowa transformacja jednym z priorytetów UE
Priorytetem Unii Europejskiej jest obecnie jak najszybsza odbudowa gospodarki po pandemii. Pierwszeństwo zyskały więc regulacje sprzyjające rozwojowi i inwestycjom, także tym wspierającym transformację cyfrową. Z perspektywy unijnych instytucji wykorzystanie chmury obliczeniowej jest jednym z kluczowych czynników zwiększających suwerenność Europy. Komisja Europejska pracuje więc nad utworzeniem europejskiego sojuszu na rzecz danych przemysłowych i chmury, który umożliwi rozwój kilku projektów jeszcze w tym roku. Wśród nich są wspólne inwestycje w transgraniczną infrastrukturę oraz usługi chmurowe, a także ujednolicenie ram przepisów dotyczących chmury w postaci EU Cloud Rulebook. Muszą istnieć jasne wymogi dotyczące umów outsourcingu pomiędzy podmiotami finansowymi a dostawcami usług chmurowych. Dlatego Komisja Europejska pracuje nad zdefiniowaniem standardowych klauzul umownych.
Standard chmury – Swobodny przepływ danych
Inne unijne inicjatywy związane z chmurą obliczeniową dotyczą m.in. swobodnego przepływu danych nieosobowych oraz ich przenoszenia i ochrony, certyfikacji dostawców usług chmurowych oraz ustandaryzowanych umów o poziomie usług w chmurze (SLA). Natomiast europejska mapa przepływów danych pozwoli ocenić jakość tego przepływu do europejskiej gospodarki cyfrowej. Nie można zapomnieć także o regulacji DORA, czyli „cyfrowej odporności operacyjnej” dla sektora finansowego. Będzie ona wymagała od ubezpieczycieli monitorowania relacji z zewnętrznymi dostawcami technologii informacyjno-telekomunikacyjnych (ICT) oraz dokumentowania ryzyka ICT. Przepisy DORA mogą wypłynąć na finalny kształt wypracowanego właśnie standardu chmury obliczeniowej dla polskiej branży ubezpieczeniowej.
– Intensywne prace nad zagadnieniami dotyczącymi wykorzystania chmury obliczeniowej w branży ubezpieczeniowej prowadzimy nie tylko w Polsce, ale także na poziomie Unii Europejskiej. Już sama liczba inicjatyw i regulacji w tym obszarze, które musimy opiniować, stanowi wyzwanie dla naszego biura w Brukseli. Dodatkowo, nad tymi zagadnieniami pracuje aż pięć dyrekcji generalnych w Komisji Europejskiej oraz pięć komitetów w Parlamencie Europejskim. Naszym celem jest zapewnienie spójności krajowych i europejskich wymogów, gdyż nawet niewielkie różnice mogą wygenerować ogromne koszty dla polskich ubezpieczycieli – mówi Iwona Szczęsna, menedżer zespołu ds. współpracy międzynarodowej w Polskiej Izbie Ubezpieczeń.
Z dużej chmury, mały deszcz, czyli chmura obliczeniowa w wytycznych EBA oraz KNF
Rozwój otoczenia finansowego jest ściśle powiązany ze zmianami technologicznymi. Technologia pozwala na automatyzację, personalizację oraz ograniczenie kosztów wykorzystania lokalnej infrastruktury do świadczenia określonych usług, jak i samej działalności operacyjnej. Przykładem takich rozwiązań, które niewątpliwie zmieniają sektor finansowy jest chmura obliczeniowa, która może częściowo „zastąpić” infrastrukturę IT w formule „on-site” i znacznie przyśpieszyć wykorzystywanie dużych zbiorów danych (Big Data) przy użycia chociażby uczenia maszynowego (Machine Learning). Wykorzystanie cloud computing w sektorze bankowym (i płatniczym) jest jednak obecnie dość ograniczone ze względu na wymogi regulacyjne stawiane przez ramy prawne oraz regulatorów. Pewne „rozluźnienie”, a przynajmniej większa pewność, pojawiło się wraz z wydaniem Wytycznych Europejskiego Urzędu Nadzoru Bankowego (EBA) w sprawie outsourcingu. Czytane razem z Komunikatem Komisji Nadzoru Finansowego (KNF) w sprawie chmury dają one wyraźne wskazówki dla banków i dostawców usług płatniczych, jak i dostawców usług chmurowych. Skupię się dzisiaj na elementach charakterystycznych dla chmury (zainteresowanych tematem outsourcingu zapraszam do tego artykułu). O samej chmurze i podstawowych wymaganiach pisałem również tutaj.
Problematykę wykorzystania cloud computing w sektorze bankowym i płatniczym regulują ww. dokumenty oraz oczywiście art. 6a-6e Prawa bankowego oraz art. 86-88 ustawy o usługach płatniczych. Istotna jest również rekomendacja D KNF, która jest już jednak nieco „wiekowa” i niekoniecznie dostosowana do nowych wyzwań technologicznych. Nie należy również zapominać o innych dokumentach, które mają znaczenie, tj. wytyczne EBA w sprawie ryzyk operacyjnych i bezpieczeństwa oraz wytyczne EBA w sprawie zarządzania wewnętrznego. Bardzo istotne jest również spełnienie warunków Rozporządzenia 2016/679 (RODO) oraz Rozporządzenia 2018/1807 (w sprawie danych nieosobowych). Dla pewnych kategorii podmiotów znaczenie będzie miała również ustawa o cyberbezpieczeństwie (operatorzy usług kluczowych) i projektowane rozporządzenie w sprawie wymagań organizacyjnych.
Czym jest chmura obliczeniowa i czym jest chmura dla sektora?
Generalnie jest to model przetwarzania danych oferowanych przez określonego usługodawcę. Wyróżnia się zasadniczo cztery modele przetwarzania w chmurze:
Infrastructure as a Service (IaaS) – bank otrzymuje dostęp do całej infrastruktury (serwery, dyski twarde), którą zarządza wirtualnie. Opłaty ponoszone są zazwyczaj za całkowity koszt wykorzystania; przykładem może być AWS dostarczany przez Amazona; Platform as a Service (PaaS) – bank dostaje dostęp do platformy (na jego żądanie), która oferuje środowisko do tworzenia, testowania i zarządzania aplikacjami (można je wykorzystać np. do testowania nowego produktu). Dostęp odbywa się również wirtualnie; przykładem jest Microsoft Azure; Container as a Service (CaaS) – generalnie można stwierdzić, że jest to środowisko, w którym udostępniana jest infrastruktura, aplikacje oraz systemy komunikacji. Często wykorzystuje się CaaS do oferowania chatbotów czy zautomatyzowanych call-center; Software as a Service (SaaS) – usługodawca udostępnia jedynie “wtyczki” do aplikacji, która (wraz z bazą danych) jest przechowywana (i przetwarzana) na serwerach dostawcy usługi. Za pomocą SaaS można zarządzać np. sklepami internetowymi czy usługami marketingowymi.
Poza powyższym podziałem, chmurę obliczeniową dzielimy na:
Publiczną – dostępną dla wszystkich i udostępniania przez sieć publiczną (nie nadaje się raczej do wykorzystania w bankowości ze względu na zwiększone ryzyko ataków hackerskich); Prywatną – która zlokalizowana jest w budynku (budynkach) usługobiorcy, np. banku. Umożliwia zastosowanie bardziej spersonalizowanych zabezpieczeń, w tym zapór sieciowych, a także skraca czas reakcji na ewentualne incydenty. Jest jednak bardziej kosztowna (najbardziej odpowiednia dla sektora bankowego/płatniczego); Hybrydową – łącząca funkcje chmury prywatnej i publicznej. Pozwala przykładowo na wyodrębnienie bardziej wrażliwych aspektów działalności w ramach chmury prywatnej oraz niezawierających danych osobowych (tajemnicy bankowej/zawodowej) w ramach chmury publicznej.
Jak widzi to KNF?
Z punktu widzenia KNF zawarcie umowy z dostawcą usług chmurowych musi być uzasadnione biznesowo. Bank powinien więc przeprowadzić analizę SWOT, która wykaże, czy zawarcie takiej umowy jest rzeczywiście konieczne, czy też możliwe są rozwiązania alternatywne. W ramach tej analizy wziąć pod uwagę należy szereg potencjalnych ryzyk związanych z (nie)możliwością szybkiego wdrożenia rozwiązań awaryjnych, np. na skutek „odcięcia” od usługi chmurowej. Podejmując się analizy podmiot zainteresowany powinien przeprowadzić dokładne rozeznanie w zakresie wymagań technicznych i regulacyjnych (inne wymagania stawiane będą dla danych osobowych, a inne dla nieosobowych).
Ponadto, ważne jest właściwe oszacowanie ryzyka, w szczególności operacyjnego i cyberbezpieczeństwa. Takie ogólne postanowienia znajdują się w polityce outsourcingu oraz wszelkich procedurach i politykach w zakresie zarządzania ryzykiem, ale KNF dodatkowo wymaga przygotowania szczególnego planu postępowania z ryzykiem związanym z wykorzystaniem cloud computing. Ma to oczywiście związek z bardzo specyficznym sposobem świadczenia usług chmurowych, które wymaga specjalnego „traktowania”. Warto dodać, że większość dostawców tego typu usług ma siedziby poza Europejskim Obszarem Gospodarczym, co ogranicza (a niekiedy uniemożliwia) efektywne zarządzanie ryzykiem. W ramach zarządzania ryzykiem znaczenie ma również odpowiednie „pokierowanie” regulacyjnym compliance (w zakresie wewnętrznym i zewnętrznym), a także odpowiednie określenie i monitorowanie zasad odpowiedzialności oraz eskalacji w ramach organizacji. No i nie zapominajmy o konieczności audytowania tego obszaru outsourcingu.
Dodatkowo KNF wymaga wielu specyficznych, często trudnych do wynegocjowania, zapisów w umowach z dostawcą usług chmurowych. Temu tematowi poświęcę jednak oddzielny artykuł, bo temat jest obszerny i niezwykle istotny.
Innymi ważnym elementami są kwestie dotyczące (nie jest to lista kompletna):
Efektywnego nadzoru nad dostawcą (równie trudne do spełnienia); Poddania się dostawcy cloud’a nadzorowi i inspekcjom krajowego regulatora; Wdrażanie tzw. exit planów czy też Zatrudnienie odpowiednio przeszkolonego personelu oraz Zobowiązanie dostawcy usług chmurowych do niezwłocznego przekazywania informacji o incydentach.
A co na to EBA?
EBA zwraca uwagę przede wszystkim na konieczność ochrony danych osobowych (a ja pójdę dalej – tajemnicy bankowej/zawodowej). W sytuacji, w której podmiot zamierza powierzyć wykonywanie usług w zakresie IT lub przetwarzania danych, niezwykle istotne jest posiadanie odpowiednich planów ciągłości działania, tzw. Business Continuity Plan oraz planów wyjścia, tzw. Exit Plan. Dostawcy usług chmurowych powinny być zobligowani do stosowania wymagań RODO (szczególne znaczenie ma tutaj art. 28 i 30) lub przynajmniej równoważnych Rozporządzeniu 2016/679.
Unijny nadzorca podkreśla w swoich wytycznych na potencjalne ryzyka związane z wykorzystaniem usług chmurowych. Nawet pomimo zapewnienia odpowiednich rozwiązań w zakresie bezpieczeństwa i integralności danych, niezwykle istotne jest wdrożenie procesów, które pozwolą na „śledzenie” aktywności w zakresie powierzonych usług (oraz ich audytowania w aspekcie technologiczno-regulacyjnym).
Dodatkowo, na co zwracałem już uwagę, wielu dostawców zlokalizowanych jest poza Europejskim Obszarem Gospodarczym, co może utrudniać sprawowanie efektywnej kontroli nad powierzonymi danymi (w szczególności biometrycznymi). Z tego względu tak ważne jest, aby zapewnić odpowiednie uprawnienia po stronie instytucji, jak i organu nadzoru, co do możliwości przeprowadzania inspekcji oraz prawa żądania danych dotyczących wykorzystania i przetwarzania danych.
Dodatkowe wymogi
W aspekcie bardziej specyficznych wymogów (względem „klasycznego” outsourcingu) warto wskazać na:
Konieczność uwzględnienia w rejestrze umów outsourcingowych informacji odnośnie stosowanych modeli cloud computing (publiczna/prywatna/hybrydowa), specyfiki danych oraz lokalizacji przechowywanych danych; Określenie specyficznych wymogów technicznych oraz regulacyjnych dla przetwarzania danych w chmurze obliczeniowej; Stosowanie risk-based approach (art. 35 Rozporządzenia 2016/679) do przetwarzania danych osobowych; Zapewnienie odpowiedniego poziomu wiedzy i doświadczenia audytorów (wewnętrznych i zewnętrznych) odpowiedzialnych za cloud computing; Uwzględnienie szczególnego rodzaju ryzyk związanych z przetwarzaniem w chmurze w odpowiednich politykach i procedurach; Po stronie nadzorczej – konieczność posiadania odpowiedniego memorandum o współpracy pomiędzy regulatorem instytucji oraz regulatorem dostawcy usługi chmurowej (nie tylko w kontekście nadzoru finansowego, ale przede wszystkim w zakresie ochrony danych osobowych); Po stronie regulacyjnej – dla dostawców z siedzibą poza EOG – dokonanie analizy równoważności środowiska regulacyjnego, tj. czy odpowiada ono standardom unijnym.
Należy zwrócić uwagę na jeszcze jeden aspekt. Dodatkowe wymogi będą pojawiały się w przypadku outsourcingu w ramach cloud computing funkcji operacyjnych o charakterze istotnym. W takiej sytuacji po stronie banku/dostawcy usług płatniczych pojawią się jeszcze bardziej surowe wymagania.
Jak więc „poradzić” sobie z wymogami regulacyjnymi?
To bardzo trudne pytanie, na które jeszcze trudniej odpowiedzieć. Obecnie KNF pracuje nad modelem referencyjnym dla sektora bankowego. Trudności jakie pojawiają się najczęściej w przypadku dostawców spoza Europejskiego Obszaru Gospodarczego, co wynika z niechęci do poddawania się tych dostawców nadzorowi innych regulatorów, jak i stosowaniem praktycznie nienegocjowalnych umów (na zasadzie take it or leave it), co spowalnia proces migracji nawet części działalności operacyjnej banków do chmury. Wiele zależeć będzie też od podejścia regulatora i jego ewentualnej elastyczności. Trudno jednak oczekiwać wielkiej rewolucji, gdy chodzi o wrażliwe dane klientów. Może z pomocą przyjdzie chmura krajowa?
Chmura obliczeniowa w sektorze bankowym w Polsce
Rewolucja technologiczna na świecie trwa w najlepsze. Swoim zasięgiem obejmuje kolejne dziedziny życia i biznesu. Sprawdza się nie tylko w normalnych warunkach, ale także i sytuacjach nadzwyczajnych jak chociażby w czasie epidemii koronawirusa, która wymaga zwiększenia wydajności systemów umożliwiających tym samym pracę zdalną na dużo większą skalę. Warto jednak zwrócić uwagę, że świat już wcześniej dostrzegł jej zalety i możliwości. Migracja chmury to światowy trend, który z roku na rok przybiera na sile.
Udział w nim, w coraz większym stopniu mają także banki. Dla nich chmura to nie tylko wymierne korzyści finansowe, ale również szansa na rozwój technologiczny i praktyczne wykorzystanie możliwości jakie daje rynek w postaci m.in. technologii blockchain, sztucznej inteligencji czy też chatbotów. Dzięki chmurze banki są w stanie również dostosowywać się do trendów, które można zaobserwować w obszarze fintech. Dzięki praktycznie nieograniczonym możliwościom budowania ekosystemów partnerskich rozszerzających portfolio świadczonych usług, banki stają się bardziej elastyczne i lepiej odpowiadają na potrzeby otaczającego nas świata.
Jednocześnie jednak nie można zapominać o bezpieczeństwie, przejrzystości i przewidywalności, które w kontekście sektora bankowego, odgrywają kluczową rolę. I w tym obszarze zachodzą na rynku istotne zmiany. Pojawiają się kolejne regulacje, które mają na celu ułatwienie drogi do chmury i które znacząco mogą przyczynić się do rozwoju usług chmurowych w sektorze. Wspomnieć należy tutaj chociażby o styczniowym komunikacie Urzędu Komisji Nadzoru Finansowego czy też standardzie Polish Cloud, które odpowiadają na wiele pytań i wątpliwości związanych z wdrażaniem chmury w sektorze.
Zmienia się także otoczenie. Region Europy Środkowo – Wschodniej, gdzie kluczową rolę odgrywa Polska, może w końcu zaistnieć na „chmurowej” mapie Europy. W stosunku do Europy Zachodniej, nie wspominając już o takich krajach jak Stany Zjednoczone, dystans w rozwoju usług chmurowych wciąż jest duży. W jego zmniejszeniu pomóc mogą takie marki jak chociażby Google, która tworzy nowy region w Polsce. Tą drogą mogą pójść również inni m.in. Microsoft. Ważną rolę w rozwoju i wdrażaniu chmury odgrywa Operator Chmury Krajowej, czyli projekt banku PKO BP oraz Polskiego Funduszu Rozwoju. Wszystko to ma pomóc w cyfryzacji polskiej gospodarki, a także przyspieszyć jej rozwój.
Droga do cyfryzacji jest coraz łatwiejsza i wydaje się być naturalnym, kolejnym etapem rozwoju gospodarki i samych przedsiębiorstw. Z tematem tym będą musiały zmierzyć się także i banki. Dzisiaj jednak wciąż borykają się one z wieloma wyzwaniami, również o charakterze wewnętrznym – bardzo dużym poziomem skomplikowania systemów IT, transformacją do modelu usługowego, czy brakiem wystarczającej liczby pracowników mających konieczne umiejętności do wdrażania zaawansowanych technologii. Dlatego też migracja do chmury powinna być dobrze zaplanowana. Warto czerpać z doświadczeń i sprawdzonych wzorców. Dotyczą one zarówno kwestii funkcjonowania samego przedsiębiorstwa, jak również kwestii technologicznych. Jasno wytyczona mapa ku chmurze jest sposobem na sprawne i jak najmniej obciążające przejście ku nowym rozwiązaniom. Te natomiast to wymierne korzyści, zarówno finansowe, jak i organizacyjne. Chmura to bowiem wielka szansa, którą trzeba właściwie wykorzystać.
Chmura w sektorze bankowym
Zdecydowana większość przedstawicieli sektora bankowego przyznała, że nie ma opracowanej strategii rozwoju aplikacji w chmurze. Blisko połowa ankietowanych potwierdziła jednak, że ma być ona przygotowana w ciągu najbliższego roku. Gotową strategią mogło pochwalić się 31% respondentów.