IT@BANK 2017: Cloud computing: nieunikniona perspektywa i wielkie szanse

Jerzy Rawicz

Główne bariery dla upowszechniania się rozwiązań chmurowych nad Wisłą, możliwe konsekwencje zbyt późnego przejścia polskich banków do chmury i perspektywy out­sourcingu przetwarzania danych bankowych w obliczu takich regulacji, jak PSD 2 czy ogólne rozporządzenie o ochronie danych – to tylko niektóre wątki omawiane w trakcie debaty eksperckiej, towarzyszącej tegorocznej edycji konferencji IT@BANK 2017. Dyskusję poprowadził zastępca redaktora naczelnego „Miesięcznika Finansowego BANK” dr Janusz Grobicki, a uczestniczyli w niej: Włodzimierz Kiciński, wiceprezes Związku Banków Polskich; Tomasz Piwowarski, dyrektor Departamentu Inspekcji Bankowych, Instytucji Płatniczych i Spółdzielczych Kas Oszczędnościowo-Kredytowych Urzędu Komisji Nadzoru Finansowego, Andrzej Wolski, wiceprezes zarządu Centrum Prawa Bankowego i Informacji oraz liczni reprezentanci instytucji finansowych: Henryk Baniowski, CIO w Alior Banku; Krzysztof Jasiński, dyrektor Departamentu Infrastruktury Teleinformatycznej w Banku Handlowym w Warszawie; Marcin Kotarba, dyrektor Departamentu Analiz i Strategii w Deutsche Banku Polska; Łukasz Kuc, dyrektor Biura Projektów Mobilnych i Internetowych w PKO Banku Polskim; Andrzej Leszczyński, dyrektor Pionu Eksploatacji i Infrastruktury w PKO Banku Polskim; Dominik Łukasiewicz, dyrektor bezpieczeństwa wewnętrznego w Departamencie Bezpieczeństwa Euro Banku; Andrzej Mandel, kierownik Departamentu Bezpieczeństwa Informacji w Getin Noble Banku; Wojciech Pantkowski, b. dyrektor zarządzający Departamentem Klienta Detalicznego w Banku Pekao S.A.; Paweł Reichelt, dyrektor Departamentu Bankowości Elektronicznej Plus Banku; Tadeusz Rubin, dyrektor Departamentu Informatyki w Banku Gospodarstwa Krajowego; Tomasz Sobczyk, kierujący Wydziałem Rozwoju Systemów Informatycznych w Departamencie Informatyki i Bezpieczeństwa w mBanku Hipotecznym; dr Krzysztof Spirzewski, dyrektor zarządzający Departamentem Bankowości Transakcyjnej Banku Société Générale. Partnerami debaty były firmy KPMG oraz Microsoft, reprezentowane przez Pawła Jakubika – członka zarządu w polskim oddziale Microsoft, Andrzeja Gibasa – dyrektora sektora finansowego, produkcyjnego i handlu w polskim oddziale Microsoft oraz Leszka Wrońskiego – partnera i szefa działu usług doradczych w KPMG w Polsce i Europie Środkowo-Wschodniej.

28. pozycja, czyli polski biznes z dala od chmury

Niski poziom wykorzystania rozwiązań chmurowych w polskiej gospodarce nie jest wyłącznie domeną sektora finansowego. Dane przedstawione przez moderatora debaty nie pozostawiają wątpliwości: jedynie 8% podmiotów funkcjonujących na krajowym rynku korzysta z cloud computingu. Wynik ten daje Polsce mało zaszczytną, 28. pozycję na rynku wspólnotowym, ze stratą aż 79 punktów procentowych do otwierającej stawkę Finlandii. Nieco lepiej kształtują się statystyki dla przedsiębiorstw zatrudniających powyżej 250 pracowników, jednak i tak od liderów dzieli nas spory dystans. 31% dużych firm działających w chmurze sytuuje Polskę na 25. miejscu w UE, co stanowi rezultat lepszy jedynie od takich krajów, jak Czechy i Słowacja. Liderem również i w tym obszarze pozostaje Finlandia: aż 87% dużych podmiotów działających w tym państwie wykorzystuje w swej działalności rozwiązania chmurowe. – Z drugiej strony należy zwrócić uwagę, że rynek rozwiązań chmurowych w naszym kraju rozwija się nadzwyczaj szybko, a przyrost wynosi kilkanaście procent w skali rocznej – podkreślił dr Janusz Grobicki.

Potwierdzeniem tej tezy są wyniki analiz przeprowadzonych przez globalną firmę doradczą IDC. W roku 2016 na polskim rynku sprzedano rozwiązania chmurowe o łącznej wartości 175 mln dolarów, natomiast potencjał sprzedażowy na obecny rok szacowany jest już na 200 mln dolarów. Jeśli ten trend się utrzyma, wartość rodzimego rynku rozwiązań chmurowych przekroczyć może kwotę 300 mln dolarów już w roku 2019. Tak dynamiczny wzrost generowany jest w pierwszej kolejności przez sektor handlu detalicznego i produkcji przemysłowej, które to branże najchętniej przenoszą swe zasoby do chmury. Na przeciwległym biegunie znajduje się administracja publiczna oraz sektory regulowane: finansowy i energetyczny, a w części również ochrona zdrowia. W przypadku branży finansowej czynnikiem ograniczającym przechodzenie do chmury są przede wszystkim regulacje z zakresu tajemnicy bankowej. – Duże wątpliwości wzbudza ujęta w prawie bankowym zasada nieograniczonej odpowiedzialności outsourcera. Problematyczne są też nieprecyzyjne rozwiązania prawne dotyczące tzw. outsourcingu wielopoziomowego, czyli udzielania podwykonawstwa przez outsourcera – zauważył Paweł Jakubik.

Do tej wypowiedzi odniósł się reprezentant Urzędu Komisji Nadzoru Finansowego, przypominając, iż problematyka cloud computingu stanowi stosunkowo świeży temat zarówno dla regulatora polskiego, jak i wspólnotowego. – Europejski Urząd Nadzoru Bankowego dopiero teraz finalizuje prace nad dokumentem odnoszącym się do rozwiązań chmurowych, który zostanie najprawdopodobniej przyjęty w grudniu tego roku – przypomniał Tomasz Piwowarski. Także na polskim rynku potrzeba szczegółowego uregulowania problematyki chmurowej skonkretyzowała się na przestrzeni ostatnich kilkunastu miesięcy. Przedstawiciel nadzoru zapewnił równocześnie, że regulator pracuje nad zmianami najbardziej kwestionowanych regulacji. Bezwzględną zasadę nieograniczonej odpowiedzialności outsourcera zastąpić mają inne instrumenty gwarancyjne, najpewniej w formie zabezpieczenia pieniężnego. W przypadku outsourcingu wielopoziomowego nowe reguły obejmą w pierwszej kolejności rynek kapitałowy, w ramach implementacji do polskiego porządku prawnego dyrektywy MiFID. – W dalszej kolejności zajmiemy się oczywiście sektorem bankowym i SKOK – podkreślił Tomasz Piwowarski. Nawiązując do licznych zapytań wpływających do KNF, przedstawiciel nadzoru zwrócił uwagę na różnice pomiędzy cloud computingiem a działaniami w zakresie outsourcingu. – Utożsamianie tych dwóch obszarów to wielki błąd – zaznaczył Tomasz Piwowarski.

Rezygnacja z chmury oznacza samoograniczenie

Przyjaźniejsze prawo to nie jedyny czynnik, jaki mógłby skłonić banki do przenosin na serwery zewnętrzne. Krzysztof Spirzewski przypomniał, że obecnie dobiega końca okres amortyzacji systemów teleinformatycznych nabywanych przez banki w początku XXI stulecia. – Rok 2018 przyniesie w wielu instytucjach finansowych decyzje o zakupie nowych technologii. Wybór z pewnością będzie przebiegać pomiędzy rozwiązaniami chmurowymi a systemami instalowanymi na bankowych serwerach – stwierdził przedstawiciel Société Générale. Wierność tradycyjnym technologiom może tymczasem oznaczać poważne ograniczenie w nadchodzących latach. – Już za kilka lat oprogramowanie chmurowe będzie wyposażone w znacznie bogatsze funkcjonalności aniżeli systemy on premise (instalowane na wewnętrznych serwerach banku – przyp. red.). W przypadku rozwiązań CRM trend ten jest dostrzegalny już dzisiaj – nadmienił Andrzej Gibas. Jeszcze bardziej ambitne perspektywy nakreślił Leszek Wroński. – W wielu obszarach w ogóle nie będzie aplikacji dostępnych w innym modelu biznesowym aniżeli application as a service. Dowodem na to, że świat zmierza ku chmurze są tendencje obserwowane na rynku sprzętowym. – Już obecnie większość procesorów Intela kupują trzej globalni potentaci, niedługo tego rodzaju sprzęt nie będzie w ogóle dostępny dla końcowych użytkowników – podkreślił reprezentant KPMG.

Jaki z tego wniosek? – Wolniejszy postęp w dziedzinie aplikacji chmurowych będzie istotnym czynnikiem ograniczającym innowacyjność – zauważył Andrzej Gibas. Należy jednak wziąć pod uwagę, iż perspektywa przeniesienia procesów oraz danych na serwery udostępniane przez stronę trzecią wywołuje już dziś wiele wątpliwości w środowisku bankowym. Łukasz Kuc zwrócił uwagę na fakt, iż niektórzy spośród globalnych dostawców rozwiązań chmurowych prowadzą również samodzielną działalność na rynku finansowym, co u niektórych bankowców stwarzać może obawy odnośnie możliwego konfliktu interesów. Z kolei Andrzej Leszczyński postawił pytanie, jak ewentualna globalna awaria wpłynie na ciągłość funkcjonowania mniejszych podmiotów, i czy w takiej sytuacji zasoby relatywnie niewielkich instytucji nie będą uruchamiane przez outsourcerów w dalszej kolejności, po przywróceniu funkcjonowania globalnych korporacji. Do kwestii tej odniósł się Tomasz Sobczyk. – Siła rozwiązań chmurowych polega na tym, że dane są posegmentowane i rozproszone po różnych serwerach. W takim przypadku nie sposób mówić o aktywacji zasobów poszczególnych firm po kolei – zauważył reprezentant mBanku Hipotecznego.

Do kwestii bezpieczeństwa zasobów chmurowych odniósł się również Paweł Jakubik. – Do pewnego poziomu instytucje są w stanie zabezpieczać się samodzielnie, później wchodzimy w obszar, w którym ochrona globalna będzie nieporównanie skuteczniejsza – powiedział przedstawiciel Microsoftu, przypominając poważne konsekwencje niedawnych ataków ransomware dla podmiotów realizujących strategie bezpieczeństwa na poziomie lokalnym. Również Leszek Wroński z KPMG wskazał, że ataki hakerskie, koncentrujące się na przedsiębiorcach samodzielnie przetwarzających dane, są znacznie bardziej prawdopodobnym ryzykiem aniżeli ewentualna globalna katastrofa skutkująca utratą zasobów chmurowych. – Testy przeprowadzone w różnych częściach świata potwierdzają, że pod względem odporności na ataki chmura broni się znakomicie – dodał Leszek Wroński.

Open banking nie musi być zagrożeniem

Funkcjonowanie sektora finansowego w nadchodzących miesiącach determinować będzie w znacznym stopniu implementacja unijnej dyrektywy PSD2 oraz ogólnego rozporządzenia o ochronie danych osobowych (RODO). W jaki sposób nowe prawo wpłynie na stosowanie rozwiązań chmurowych przez banki? Przedstawiciel Banku Handlowego ocenił, że kluczowe znaczenie będą mieć zapisy w umowach między instytucjami finansowymi a outsourcerami. – Jeżeli dostawcy chmury będą skłonni wypełniać postanowienia RODO i zapewnią mechanizmy zapewniające realizację procedur wynikających z rozporządzenia, wówczas ten akt prawny pozostanie de facto bez wpływu na rozwój cloud computingu – zauważył Krzysztof Jasiński. Paweł Jakubik przypomniał, że zdecydowana większość oferentów technologii chmurowych już obecnie oferuje produkty dostosowane do nowych standardów ochrony danych osobowych.

Wątpliwości związane z przenoszeniem danych do chmury w kontekście RODO wzbudza również perspektywa ich umieszczenia na serwerach funkcjonujących poza obszarem Unii Europejskiej. Wyzwaniem w takim przypadku może być zarówno niski poziom zabezpieczeń oferowanych przez podwykonawcę operującego w kraju trzecim, jak również ryzyka natury geopolitycznej. Tomasz Sobczyk podkreślił, że we współczesnym świecie fizyczna lokalizacja poszczególnych serwerów ma znaczenie drugorzędne. – Należy zwracać uwagę w pierwszej kolejności na siedzibę administratora danych. Jeżeli znajduje się ona w państwie, w którym jesteśmy w stanie dochodzić swych roszczeń z tytułu ewentualnych naruszeń na drodze prawnej wówczas miejsca przetwarzania danych nie powinny budzić naszych obaw – zauważył przedstawiciel mBanku Hipotecznego.

Wykorzystanie cloud computingu może również znacząco ułatwić przebudowę architektury bankowych systemów pod kątem otwartego API. – Być może kanał dostępu powinien być oferowany właśnie z poziomu chmury? – nadmienił Paweł Jakubik. Włodzimierz Kiciński podkreślił, że perspektywa open bankingu powinna być traktowana przez bankowców jako szansa i wyzwanie a nie potencjalne zagrożenie. – Nowe regulacje mają za cel ochronę i wspieranie konkurencji na rynku. Jest to jedno z fundamentalnych zadań społecznej gospodarki rynkowej, stanowiącej podstawę ustroju ekonomicznego zarówno Polski, jak też Wspólnoty Europejskiej – stwierdził wiceprezes Związku Banków Polskich. Owa otwartość powinna obejmować również innowacje technologiczne, które mają kluczowe znaczenie dla pozycji polskiej przedsiębiorczości, w tym w szczególności sektora bankowego, w nadchodzących dekadach.

– Celem naszych działań nie powinno być wykreowanie „polskiego modelu bankowości” tylko włączanie polskich przedsiębiorców w modernizację gospodarki – dodał wiceprezes Związku Banków Polskich. Przypomniał również, że skłonność do szybkiej adaptacji technologicznych nowinek w gospodarce stanowi w znacznej mierze pochodną poziomu zaufania społecznego. – Poziom zaufania pomiędzy Polakami odpowiada w przybliżeniu poziomowi otwarcia na nowe technologie – zauważył wiceprezes Związku Banków Polskich. Do tej wypowiedzi nawiązał przedstawiciel Banku Handlowego. Przypomniał opinię znanego psychologa społecznego, prof. Janusza Czapińskiego, w myśl której niski poziom kapitału społecznego w Polsce stanowi kluczową barierę dla modernizacji kraju.

Technologie ważne i dojrzałe

Jakie wnioski udało się wypracować w toku ponad godzinnej dyskusji? Andrzej Gibas zwrócił uwagę, że wyniesienie ważnej części zasobów do chmury stanowi niezwykle istotną i odpowiedzialną decyzję dla organizacji. – Tak jak w przypadku wielu decyzji, szczególnie instytucja z sektora finansowego musi przeprowadzić dogłębną analizę ryzyka. Jak zwykle w przypadku ważnych decyzji mamy do czynienia ze swoistym konfliktem wartości – trzeba dobrze oszacować, co można zyskać, a co ewentualnie stracić. Zachęcam do większej odwagi i do otwarcia się na cloud computing. Po stronie zysków można zapisać oszczędności, elastyczność i przyspieszenie innowacji. Oczywiście do takich decyzji potrzebne jest zaufanie do dostawcy. Dotychczasowe doświadczenia potwierdzają, że dane przetwarzane przez globalnych dostawców chmury są bezpieczniejsze niż te, które przetwarzane są we własnych centrach przetwarzania. Dlatego zachęcam decydentów do większego zaufania do swoich dostawców, którzy podejmują zobowiązania kontraktowe i własną reputacją chronią tak ważny zasób, jakim są powierzane przez klientów dane – podkreślił. Leszek Wroński, podsumowując debatę, przypomniał, że technologie chmury obliczeniowej rozwijają się w ostatnich latach bardzo dynamicznie. – Są już też na tyle dojrzałe, że weszły do głównego nurtu rozwiązań stosowanych na świecie. Rozważając rozwój systemów IT, warto wziąć je pod uwagę jako rozwiązanie, które dostarcza dzisiaj dużo większą elastyczność, efektywność oraz bezpieczeństwo – ocenił reprezentant KPMG.