Raport BIS: chmura obliczeniowa (do pewnego stopnia) wspiera cyberodporność sektora finansowego
Co należy wiedzieć o aspektach księgowych związanych z wykorzystaniem chmury obliczeniowej
Przedsiębiorstwa, które decydują się wejść w proces przetwarzania danych w chmurze obliczeniowej muszą rozważyć odpowiednie ujęcie księgowe poniesionych w związku z tym kosztów.
Przetwarzanie danych w chmurze obliczeniowej stało się w ostatnich latach bardzo popularne ponieważ firmy poszukują coraz bardziej wydajnych i bezpiecznych sposobów przechowywania, zarządzania i przetwarzania danych.
Rozwiązanie to jest oparte na sieciach zdalnych serwerów, zwykle dostępnych przez Internet, wraz z pakietem usług obejmującym infrastrukturę, platformy i oprogramowanie. Klient uzyskuje dostęp do oprogramowania i korzysta z niego kiedy potrzebuje.
Przeniesienie danych do chmury obliczeniowej lub wdrożenie nowego rozwiązania z wykorzystaniem chmury obliczeniowej może wiązać się ze znacznymi kosztami dla przedsiębiorstw, a także ma wpływ na sposób księgowego ujęcia tych kosztów.
Standardy rachunkowości nie zawierają jednak wyraźnych wytycznych w tym zakresie. Przedsiębiorstwa muszą kierować się własnym osądem i mogą być zmuszone do stosowania różnych standardów MSSF, w tym MSSF 16 Leasing i MSR 38 Wartości niematerialne.
Przedsiębiorstwa, które wdrażają rozwiązania dotyczące przetwarzania danych w chmurze obliczeniowej muszą zrozumieć, czy jest to nabycie wartości niematerialnych, prawa użytkowania czy też zawierają umowę świadczenia usług. Implikacje w zakresie sprawozdawczości finansowej różnią się znacznie w zależności od odpowiedzi. Kiedy zapytano o to Komitet ds. Interpretacji MSSF, udzielił on wskazówek jak należy dokonywać takiego rozróżnienia.
Chmura obliczeniowa – wyjaśnienia w formie Q&A od UKNF wypracowane na bazie współpracy m.in. z KZBS
Chmura obliczeniowa – wyjaśnienia w formie Q&A od UKNF wypracowane na bazie współpracy m.in. z KZBS
Urząd Komisji Nadzoru Finansowego opublikował "Pytania i odpowiedzi" (Q&A) ws. wątpliwości związanych ze stosowaniem Komunikatu Urzędu Komisji Nadzoru Finansowego z 23 stycznia 2020 r. dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Dokument powstał w ramach prac Zespołu roboczego ds. rozwoju innowacji finansowych FinTech, w którym aktywnie uczestniczy przedstawiciel KZBS.
Podczas prac Zespołu ds. rozwoju innowacji finansowych FinTech, przedstawiciele rynku zgłosili szereg pytań dotyczących stosowania konkretnych wymogów Komunikatu. Po ich przedyskutowaniu przez Zespół UKNF opracował szczegółowe pytania i odpowiedzi wyjaśniające najważniejsze wątpliwości.
Poniżej publikujemy odpowiedź na jedno z pytań dotyczących przetwarzania informacji w chmurze obliczeniowej przez banki spółdzielcze.
Zakres i sposób stosowania Komunikatu w przypadku banków spółdzielczych.
Na każdym podmiocie nadzorowanym, zgodnie z definicją wskazaną w art. 1 ust. 2 pkt 1 -8 Ustawy o nadzorze, w tym na banku spółdzielczym, spoczywa obowiązek zapewnienia zgodności funkcjonowania z obowiązującym przepisami prawa w zakresie prowadzonej przez podmiot nadzorowany działalności. Każdy bank spółdzielczy jest odrębną osobą prawną, więc obowiązki administracyjno-prawne, co do zasady, powinien realizować samodzielnie.
Zatem każdy bank spółdzielczy ma obowiązek przygotowania wymaganego Załącznikiem Nr 1 Komunikatu zgłoszenia. Ponadto każdy bank spółdzielczy ma obwiązek zapewnienia zgodności korzystania z chmury obliczeniowej publicznej lub hybrydowej z Komunikatem w oparciu o model referencyjny, o którym mowa w III Komunikatu. Jak wskazano w VI.4.2 Komunikatu, podmiot nadzorowany, na podstawie wyników szacowania ryzyka, zarządza tym ryzykiem, uwzględniając w szczególności stopień złożoności organizacyjnej, podział uprawnień i odpowiedzialności podmiotu nadzorowanego, zawarte porozumienia, oraz analogiczne czynniki występujące w grupie kapitałowej lub organizacji grupowej, lub o charakterze stowarzyszenia, do których podmiot nadzorowany należy. Zatem każdy bank spółdzielczy ma obowiązek samodzielnego przeprowadzenia czynności wskazanych powyżej.
Dopuszczalna jest sytuacja, w której bank zrzeszający przygotowuje model służący do oceny ryzyka przez banki zrzeszone. Jednak to na konkretnym banku spółdzielczym spoczywa obowiązek oceny przygotowanego modelu oraz dostosowanie do specyfiki tego banku, a następnie samodzielnej oceny ryzyka przygotowanej przy pomocy modelu.
Serdecznie również zachęcamy do obejrzenia webinaru Supervision FinTech Talks, który był poświęcony problematyce stosowania chmury obliczeniowej w sektorze finansowym Dyskusja odbyła się w gronie przedstawicieli rynku przy udziale ekspertów UKNF.
Raport BIS: chmura obliczeniowa (do pewnego stopnia) wspiera cyberodporność sektora finansowego
Artykuł stanowi moją prywatną opinię i nie może być utożsamiany ze stanowiskiem jakiejkolwiek instytucji z którą jestem lub byłem związany.
Ostatnie wydarzenia i towarzysząca im transformacja cyfrowa na wielu polach uzmysłowiła jak wiele zagrożeń może pojawiać się w związku z przeniesieniem działalności do internetu. Ilość potencjalnych cyberzagrożeń rośnie wraz ze zwiększaniem się rynku zbytu dostępnych online. Wczoraj Bank Rozliczeń Międzynarodowych opublikował bardzo ciekawy raport „The Drivers of Cyber Risks”, który stanowi bardzo ciekawą kompilację dot. różnych incydentów IT. Autorzy oparli swoje badania o dane dotyczące ok. 100 tys. Incydentów operacyjnych, co niewątpliwie budzi respekt. Przyjrzyjmy się konkluzjom raportu, który został przygotowany „pod” sektor finansowy.
Nie będę tutaj rozwodził się zbytnio na kwestiami definicyjnymi. Zainteresowanych odsyłam do innych artykułów w sprawie incydentów (klik1 - raportowanie; klik2; klik3). W rozumieniu ekspertów BIS cyber-ryzykiem będzie będzie ryzyko straty finansowej, zakłócenia (działania) czy utraty reputacji wynikające z niewłaściwego działania systemów teleinformatycznych. W praktyce będą to najczęściej więc ryzyka związane niewłaściwym zabezpieczeniem oprogramowania i „włamami”, ale również działania osób wewnątrz instytucji.
W tym kontekście warto przypomnieć obowiązki dla operatorów usług kluczowych (klik) oraz rekomendacje grupy ds. PolishAPI w kontekście bezpieczeństwa (klik).
Znaczenie cyber-risks dla sektora finansowego i nie tylko
To na co zwraca uwagę raport to systemowe znaczenie tego typu ryzyk dla sektora finansowego (stabilności finansowej) i między innymi dlatego cyberzagrożenia są przedmiotem zainteresowania państw, a nie tylko sektora prywatnego (dowodem tego może być chociażby „nasza” Strategia Cyberbezpieczeństwa, o której pisałem tutaj). Jednocześnie trudno, zdaniem autorów raportu, oszacować koszty związane z utrzymaniem cyberbezpieczeństwa, ale również eliminacji ich skutków.
I od razu ważna informacja. Sektor finansowy jest jednym z tych, które są najbardziej narażone na cyberataki, co oczywiście powiązać można z jego – jak to nazwali autorzy dokumentu – „lukratywnością”.
Typy incydentów
Interesujące są dane dotyczące typów incydentów. Najczęściej pojawiają się te dotyczące naruszenia prywatności, incydenty bezpieczeństwa czy ataki phisingowe i skimmingowe. Mamy też inne incydenty jak np. ujawnienie danych, błędy w oprogramowaniu i podobne, ale niesklasyfikowane w powyższych kategoriach. Widać więc wyraźnie, że nadal najsłabszym ogniwem jest po prostu człowiek, a nie zawodność systemów IT.
Warto zwrócić uwagę na to, że przestępcy coraz częściej wykorzystują te kanały, które dotąd były uznawane za bardzo bezpieczne, jak np. komunikaty SWIFT. Nie oznacza, że tracą one swoją wartość, natomiast pokazuje to skalę problemu i coraz większą „świadomość” cyberprzestępców. Ważne jest więc nieustanne edukowanie użytkowników i zwiększanie świadomości odnośnie cyberzagrożeń. Warto pomyśleć także o bardziej rozbudowanych rozwiązaniach w zakresie wykrywania fraudów (o ciekawym pomyśle wykorzystania uczenia maszynowego i metod behawioralnych pisałem tutaj).
Wpływ chmury obliczeniowej?
Coraz częściej mówi (pisze) się o potencjale chmury obliczeniowej i tym jak może przyśpieszyć transformację sektora finansowego (klik1; klik2). Czy jednak szersze wykorzystanie cloud computing przyniać się do wzrostu (nie)bezpieczeństwa sektora finansowego?
Po pierwsze, chmura to szansa dla środowiska ze względu na niższe zużycie energii czy mniejszy ślad węglowy. Jest to więc niewątpliwie korzyść wykraczająca poza sektor finansowy. Nie to jednak jest tutaj najważniejsze.
Chmura niesie za sobą pewne ryzyka. Poczynając od asymetrii pomiędzy dostawcą usługi chmurowej (brak pewności co do tego „gdzie” przetwarzane i przechowywane są dane), poprzez dużą zależność od tych dostawców (również w zakresie zarządzania ryzykami cyberbezpieczeństwa), aż do zwiększonego zainteresowania przestępców dostępem do chmury.
Szczególnie ważne jest tutaj ryzyko koncentracji, na które wskazuje też Strategia Komisji (UE) w sprawie danych (pisałem o niej m.in. tutaj). Fakt, że na rynku „znaczących” dostawców chmury jest tylko kilku powoduje, że „wywalenie się” infrastruktury dużego gracza w tym zakresie może wywołać efekt domina i wpłynąć na funkcjonowanie wielu instytucji finansowych.
Z drugiej strony, analiza przeprowadzona przez autorów raportu wykazuje, że zwiększenie zależności od chmury przy jednoczesnym inwestowaniu w te rozwiązania (na poziomie organizacji) powoduje, że ewentualne cyberataki wywołują mniejsze szkody dla użytkowników (i mniejsze koszty po stronie instytucji). Od razu uwaga – pod warunkiem, że mówimy o małych atakach, które jest w stanie „wyłapać” system cyberbezpieczeństewa dostawcy chmurowego. Jeżeli więc będziemy mieli do czynienia ze złożonym atakiem, który może przełamać te zabezpieczenia, to możemy mieć duży problem…
Ostatnia uwaga
Nie wyczerpałem wszystkich zagadnień, ale chciałbym wskazać na jeszcze jeden obszar opisany w raporcie. Generalnie fakt, że poszczególne instytucje finansowe są ze sobą połączone może stanowić zagrożenie ze względu na wspomniany już efekt domina. Z drugiej strony, niekiedy takie współzależności mogą przyczynić się do ogólnej odporności systemu.
Jednocześnie autorzy raportu wskazali na słaby punkt całej infrastruktury, tj. coraz częstsze wykorzystanie pośredników w procesach płatności czy rozliczeń. Ci „pośrednicy” mogą nie być już tak odporni na cyberzagrożenia jak banki, a to już może być poważny problem. Jest to więc obszar to zaadresowania na poziomie systemowym.