Którędy do chmury? Komunikat Chmurowy UKNF z 23 października 2017

Komunikat zaczyna się dość zabawnie

Z jego pierwszych słów …Urząd Komisji Nadzoru Finansowego (dalej: UKNF) identyfikuje konieczność przedstawienia stanowiska nadzoru w odniesieniu do specyfiki korzystania przez podmioty nadzorowane z przedmiotowych usług, można byłoby wnosić, że napisała go sztuczna inteligencja [1]. Ale to jedyna złośliwość, którą można byłoby zaadresować pod adresem tego dokumentu.

Na szczęście szefem praktyki sektora finansowego i regulacji w Gawroński & Partners s.k.a. jest Wojciech Kapica, który sam pracował w UKNF, rozumie język regulatora i w razie czego wszystko mi tłumaczy, w zamian za co ja od czasu do czasu tłumaczę słowa Wojtka osobom, które, eufemistycznie to określając, nie są fanatykami regulacji.

Z racji swoich zainteresowań, praktyki zawodowej i pracy w Grupie Ekspertów Komisji Europejskiej ds. Kontraktów Cloud Computingowych czytałem wiele opracowań na temat cloud computingu (przetwarzania danych w chmurze obliczeniowej), w tym firmowanych przez marki cieszące się największą estymą (jak np. Oxford University), ale żadna z nich nie była tak konkretna i praktyczna jak Komunikat UKNF. Cieszę się, że w wielu punktach Komunikat zbieżny jest z analizami, które przeprowadzałem w publikacjach jak i w opiniach na zamówienie konkretnych instytucji finansowych, jednak poziom szczegółowości tego dokumentu mnie zaskoczył. Praktycznie każde zdanie Komunikatu waży. Jest to skondensowana lista kontrolna i plan postępowania przy wdrażaniu usług cloud computingu. W istocie Komunikat stosować można do każdego typu usługi czy rozwiązania technologicznego – także tych on premise (lokalnych/niechmurowych) i w każdej instytucji – niekoniecznie finansowej ani nadzorowanej przez KNF.

Komunikatem UKNF „nie mówi chmurze nie”, a wręcz wskazuje drogę, którą do tej chmury instytucja może przejść. Jednak UKNF od zawsze zadaje to samo pytanie, znane z filmu Johna Schlesingera „Maratończyk” – Czy jest bezpiecznie? Szczegółowa i udokumentowana odpowiedź na to pytanie dla potrzeb transformacji do chmury może stanowić wyzwanie, szczególnie że trzeba się będzie rozliczyć także ze stanu obecnego.

Outsourcing i tajemnica

Zgodnie z poglądem UKNF cloud computing ma charakter powierzenia wykonywania czynności a co za tym idzie podlega właściwym […] przepisom. Jak wiemy, zwykle będą to przepisy o outsourcingu i tajemnicy. W mojej ocenie Komunikat pozostawia luz interpretacyjny do tego, aby niektóre usługi cloud computingu uznać za niepodlegające reżimowi outsourcingu, wymaga to jednak szczegółowej analizy w oparciu o przepisy dotyczące outsourcingu, a także dopytania UKNF czy ten luz naprawdę istnieje.

UKNF oczekuje, że instytucja finansowa dopilnuje, aby dostawca chmury pochodził z takiego państwa i usługa wykonywana była w takich państwach, gdzie naruszenie tajemnicy obejmującej informacje powierzone do chmury podlega odpowiedzialności karnej.

Wdrożenie

Compliance by design. Oczekiwanie, że podmiot nadzorowany już w fazie planowania wykorzystania Usługi przeprowadzi prace umożliwiające osiągnięcie zgodności z obowiązującymi przepisami prawa i regulacjami zewnętrznymi, nie wymaga komentarza.

Identyfikacja wymagań zgodności. Instytucja powinna zidentyfikować stosujące się wymagania i określić sposób ich spełnienia. Należy zaplanować monitorowanie zgodności dostawcy chmury i raportowanie tego w systemie informacji zarządczej.

SWOT. Należy przeprowadzić analizę SWOT (korzyści i ryzyk) wykorzystania usługi cloudowej. UKNF wymienia takie elementy jak (opcje alternatywne, możliwość upadłości dostawcy lub zamknięcia linii biznesowej i możliwość zaradzenia skutkom tego, kwestie bezpieczeństwa danych z uwzględnieniem klasyfikacji informacji, model wsparcia). Należy znać usługę (konfiguracja), z której zamierza się skorzystać.

Plan wdrożenia. Należy posiadać plan wdrożenia usługi zapewniający rozliczalność ról i działań, zarządzania ryzykiem (RM), zmianą (CM), warunki brzegowe dyskontynuacji wraz z zasadami pomiaru efektywności działań wdrożeniowych.

Zarządzanie ryzykiem

Normy ISO. Wg UKNF, decyzja o „przejściu do chmury” wymaga wcześniejszego kompleksowego oszacowania ryzyka i przygotowania planu postępowania z nim. UKNF odwołuje się tu wprost do norm ISO (ISO/IEC 27005:2011 i PN-ISO/IEC 27005:2011). Sformułowane jest oczekiwanie, że usługa chmurowa będzie włączona do aktualnego systemu zarządzania bezpieczeństwem informacji oraz oczekiwanie, że system ten powinien działać w oparciu o dobre praktyki opisane w ISO/IEC 27001, PN-ISO/IEC 27001:2014-12), choć bez wymogu certyfikacji. UKNF wymienia wprost jedenaście ryzyk specyficznych dla cloud computingu, które w tym systemie powinny być ujęte: rozproszenie geograficzne, dostęp do danych personelu dostawcy i podwykonawców i osób trzecich, ograniczenia wpływu na zmiany usługi, ograniczenia bezpośredniego nadzoru dostawcy i dostępu do jego pomieszczeń, słabość mechanizmów izolacji zasobów dostawcy i podatność interfejsów, sposób usuwania danych i brak bezpośredniej kontroli nad nim, możliwość jednostronnej zmiany umowy przez dostawcę / okres wypowiedzenia, niuanse SLA, dostęp z sieci wewnętrznej instytucji klienta chmury i spoza niej, specyfika mechanizmów integracji chmury z systemami klienta, dostęp z urządzeń mobilnych.

Nieakceptowalne ryzyko braku zgodności.  Należy zarządzać ryzykiem braku zgodności. Pada tu stanowcze stwierdzenie, że ryzyka braku zgodności z przepisami prawa, regulacjami zewnętrznymi i wewnętrznymi oraz przyjętymi przez podmiot nadzorowany standardami […] nie mogą być akceptowane ani transferowane.

Porównanie ryzyk. W ramach analizy ryzyka ustalone poziomy ryzyka dla chmury należy porównać z ryzykami rozwiązań alternatywnych.

Ciągłe zarządzanie ryzykiem. Proces zarządzania ryzykiem usługi chmurowej powinien mieć charakter ciągły, przegląd ryzyka powinien być prowadzony minimum raz w roku. Powinniśmy dysponować wiedzą o systemie zarządzania bezpieczeństwem informacji dostawcy chmury i jego podwykonawców, oraz wglądem w ocenę tych systemów przez niezależnych ekspertów, wewnętrzne kontrole i audyt dostawcy i podwykonawców. Ten wgląd powinien być dokumentowany za pomocą wykazów obowiązków, certyfikatów, raportów z audytów, plany ciągłości działania i zapobiegania skutkom katastrof.

UKNF oczekuje także udokumentowania oceny zapewnienia przez dostawcę odpowiedniej ochrony wykorzystywanych centrów danych, urządzeń komputerowych i telekomunikacyjnych. Brzmi to nieco tajemniczo, zapewne chodzi o odpowiedni raport o poziomie ochrony fizycznej.

UKNF oczekuje także ustalenia, za pomocą opinii prawnej, warunków przymusu ujawnienia danych przez dostawcę na żądanie organów czy innych podmiotów według reżimów prawnych stosujących się do danej usługi chmurowej, odwołując się też pośrednio do long arm effect orzecznictwa Stanów Zjednoczonych.

Umowa chmurowa. Komunikat zawiera cały alfabet (24) oczekiwań UKNF co do spisu treści umowy cloudowej. Jest to lista zbyt skondensowana, żeby ją tu powtarzać czy detalicznie komentować. Nadaje się ona całkiem dobrze do każdej umowy dotyczącej systemu istotnego, nie tylko dla umowy chmurowej.

Ciekawe jest oczekiwanie, aby umowa zawierała zgodne z przepisami prawa określenie zakresu odpowiedzialności za szkody wyrządzone klientom. Niezależnie od mojego osobistego przekonania o nadinterpretacji przepisów UE, w wyniku której w 2004 roku wprowadzono do Prawa bankowego nieograniczoną odpowiedzialność dostawców usług outsourcingowych, obecnie taka odpowiedzialność funkcjonuje w Prawie bankowym i w kilku innych ustawach sektorowych. Wynieść można, że UKNF oczekuje podejścia head-on, czyli wprost ustalenia świadomości dostawcy o zakresie odpowiedzialności względem klientów banku lub innego odpowiedniego podmiotu nadzorowanego np. TFI, zamiast pozostawiania tego w niedomówieniach. Jak wskazywałem w wywiadzie, który ukazał się w październikowym miesięczniku Bank [1], warto zauważyć, że art. 82. ust. 2 zd. 2 RODO wprowadza w praktyce identyczną bezpośrednią odpowiedzialność przetwarzającego względem klienta administratora danych.

Oczywiście znajdziemy więcej analogii do RODO. W szczególności Komunikat wyczerpuje większość oczekiwań względem powierzenia i podpowierzenia danych zawartych w art. 28 RODO.

Funkcjonowanie

Spośród zasad korzystania z usługi chmurowej opisanych w Komunikacie, warto zwrócić uwagę na te, które nie stanowią rozwinięcia kwestii wcześniej wspomnianych. UKNF oczekuje, że korzystając z usługi chmurowej podmiot nadzorowany zapewni właściwy poziom eksperckiej wiedzy i umiejętności po swojej stronie ale i stały kontakt z upoważnionymi i kompetentnymi pracownikami dostawcy. UKNF zwraca uwagę na kwestie ochrony transmisji danych wskazując na potrzebę szyfrowania, silnego uwierzytelnienia i wysoką dostępność i przepustowość łącz. UKNF podkreśla potrzebę posiadania niezależnych od usługi chmurowych kopii zapasowych danych krytycznych.

Komunikat zawiera szczegółowe reguły dotyczące zarządzania incydentami. Można je potraktować jako listę kontrolną nie tylko dla instytucji finansowych ale i dla każdej większej organizacji wdrażającej RODO.

Wyjście

Komunikat poświęca na zakończenie sporo miejsca zaplanowaniu już na wstępie wyjścia z usługi chmurowej oraz oszacowaniu i monitorowaniu ryzyka wystąpienia takiej potrzeby. Zasady opisywane przez UKNF odpowiadają dobrym standardom według wiedzy, którą zaczerpnąłem z mojej praktyki [2].

Podsumowując

Jak wskazałem już na początku tego tekstu, Komunikat Chmurowy UKNF to szczegółowa, skondensowana lista kontrolna działań, których UKNF oczekuje od podległej jego nadzorowi instytucji, która zamierza skorzystać z usług przetwarzania chmurowego. Komunikat to również doskonała ściągawka dla tych, którzy KNF nie podlegają lub dla tych, którzy wprawdzie nie mierzą w chmury ale wprowadzają w organizacji zmianę technologiczną lub organizacyjną – jak na przykład, długo się nie zastanawiając, wdrożenie RODO.

O jednej lub dwóch niedopowiedzianych kwestiach mam nadzieję, że będę miał okazję z UKNF podyskutować aby zidentyfikować możliwość uzgodnienia stanowiska w odniesieniu do specyfiki korzystania przez konkretne podmioty nadzorowane z konkretnych usług chmurowych. Niezależnie od tego, wszystkim zajmującym się IT, RODO, cloud computingiem, ciągłością działania i cyberbezpieczeństwem – gorąco Komunikat Chmurowy UKNF polecam.

Maciej Gawroński

Warszawa, 16 listopada 2017

O autorze
Maciej Gawroński jest partnerem zarządzającym kancelarii Gawroński & Partners s.k.a., radcą prawnym, jednym z czterech ekspertów prawa Technologii Mediów i Telekomunikacji rekomendowanych przez Ranking Kancelarii Prawniczych 2017 Dziennika Rzeczpospolita, od lat rekomendowanym przez międzynarodowe i krajowe rankingi prawnicze, konsultantem Grupy Roboczej Art. 29 projektu Standardowych Klauzul Umownych podpowierzenia z rekomendacji GIODO i pomysłodawcą i współtwórcą obowiązków dla podprzetwarzającego (RODO 28.2 i 4), współliderem prac nad zasadami przenoszalności danych (RODO 20) w Grupie Ekspertów Komisji Europejskiej ds. Kontraktów Cloud Computingowych, wykładowcą studiów podyplomowych Szkoły Głównej Handlowej. Od dwudziestu lat doradza przy prawnych aspektach informatyki i technologii, w tym przy krajowych i międzynarodowych kwestiach ochrony danych osobowych. Odpowiadał za obsługę prawną pełnego cyklu życia największego wdrożenia IT w polskim sektorze finansowym.

[1] Wyniesie Banki w chmury? Karol Jerzy Mórawski, Miesięcznik Finansowy BANK, październik 2017

[2] Analizowałem plany wyjścia z usług outsourcingowych dużych zagranicznych podmiotów publicznych i prywatnych. Opracowywałem też odpowiedniki dla instytucji polskich, niestety uzgodnione wersje ostateczne okazywały się czasem mocno okrojone.