Cyberbezpieczeństwo | Komentarze ekspertów

Nowe zasady korzystania z chmury w firmie inwestycyjnej lub banku

Michał Nowakowski
Nowe zasady korzystania z chmury w firmie inwestycyjnej lub banku
Fot. stock.adobe.com / arrow
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
3 czerwca 2020 r. Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) opublikował projekt Wytycznych w sprawie outsourcingu dla dostawców chmury obliczeniowej otwierając tym samym puszkę... konsultacje, które potrwają do 1 września.

#MichałNowakowski: Jeżeli mamy #outsourcing na funkcje krytyczne/istotne, to zakres ocen obejmuje ocenę stabilności politycznej, bezpieczeństwo, system prawny, w tym upadłości i egzekucje należności oraz bezpieczeństwo informacji #CloudComputing #Cyberbezpieczeństwo @FinregtechPL @uknf

Projekt wytycznych ma bardzo przejrzystą strukturę, co znacznie ułatwia przygotowanie się do wykorzystania chmury w ramach outsourcingu inwestycyjnego.

To na co warto zwrócić uwagę, to podkreślenie przez ESMA, że powszechne wykorzystanie chmury powiązane z ryzykiem koncentracji może stanowić pewne zagrożenie dla stabilności finansowej ‒ to temat, który poruszyła Komisja przy okazji publikacji Strategii dla danych.

Przejdźmy szybko przez najważniejsze elementy dokumentu. Do czasu wydania finalnych wytycznych omówienie w dużym skrócie. Dzisiaj trzy pierwsze wytyczne, które już dość istotnie różnią się od tego „co widzieliśmy wcześniej”.

Bardzo pomocna jest lista na początku dokumentu, która zawiera wykaz wszystkich aktów prawnych, które potencjalnie mogą mieć zastosowanie w przypadku korzystania przez określone podmioty z chmury obliczeniowej.

Jeżeli chodzi o zakres podmiotów, do których mają mieć zastosowanie wytyczne, to jest on dość szeroki i obejmuje poza firmami inwestycyjnymi oraz bankami, m.in. CCP czy agencje ratingowe.

Ważna definicja

Na plus zasługuje stosunkowo elastyczna definicja usług chmurowych. W projektowanej wersji dokumentu mamy wskazanie, że za chmurę należy uznać (pozwalam sobie na pozostawienie anglojęzycznej wersji, bo inaczej połamię sobie „język”):

„Paradigm for enabling network access to a scalable and elastic pool of shareable physical or virtual resources (for example servers, operating systems, networks, software, applications, and storage equipment) with self-service provisioning and administration on- demand”

Od razu widać, że definicja ta nie pokrywa się z podejściem zaprezentowanym przez EBA w wytycznych dotyczących outsourcingu, ale już jest zbliżona do tej w stanowisku UKNF w sprawie stosowania chmury. Jeżeli chodzi o modele chmury wskazane w projekcie, to mamy standard, tj. chmurę społecznościową, publiczną, prywatną i hybrydową.

Czytaj także: Jak rozumieć komunikat KNF w sprawie chmury obliczeniowej?

Pozostałe definicje nie odbiegają zasadniczo od tych prezentowanych we wspomnianych wytycznych EBA czy stanowisku UKNF, w szczególności w odniesieniu do funkcji krytycznych czy istotnych.

Wytyczna 1, czyli organizacja i compliance

Ciekawe jest to, że ESMA wymagać chce od firm inwestycyjnych stworzenia i stosowania „data cloud outsourcing strategy”, która ma być oddzielną „polityką”, ale skorelowaną z innymi dokumentami jak np. strategią w zakresie informacji i komunikacji, technologii, bezpieczeństwa informacji i strategią zarządzania ryzykiem operacyjnym oraz wewnętrznymi politykami i procesami.

Uff…, a więc mamy kolejny dokument do kolekcji, szkoda tylko, że bez bardziej konkretnych wytycznych co do zakresu, ale jak zakładam chodzi o ogólne założenia dotyczące tego gdzie, kiedy i jak podmiot zamierza korzystać z chmury.

ESMA zakłada wymóg wyznaczenia tzw. „outsourcing oversight function”, która ma być przypisana do osoby z personelu wyższego szczebla, która odpowiada bezpośrednio do zarządu i jest odpowiedzialna za zarządzanie ryzykami chmurowymi. Wszystko oczywiście z uwzględnieniem zasady proporcjonalności, pewne odstępstwa są dla mniejszych podmiotów.

Mamy też risk-based approach i monitoring KPIs czy KTL. Standardowo należy utworzyć rejestr, na wzór tego, który opisują wytyczne EBA w sprawie outsourcingu. Szczególne wymagania mamy dla umów na chmurę, w kontekście rejestru. Co ciekawe w rejestrze powinny znaleźć się też takie informacje na temat przewidywanego rocznego budżetu (bez VAT!) dla danej umowy.

Wytyczna 2. Due diligence

Raczej standard. Najpierw mamy 4-stopniową ocenę czy:

1. Umowa będzie na funkcje krytyczne/istotne;

2. Przenalizowane zostały wszystkie ryzyka związane z umową;

3. Zostało przeprowadzone badanie dostawcy (due diligence) oraz

4. Nie występuje konflikt interesów.

I tutaj bomba. Jeżeli mamy outsourcing na funkcje krytyczne lub istotne, to zakres dodatkowych ocen i analiz jest dużo szerszy i obejmuje m.in. ocenę stabilności politycznej, bezpieczeństwo i system prawny (w szczególności w zakresie upadłości i egzekucji należności oraz bezpieczeństwa informacji) i to niezależnie czy mówimy o UE czy nie.

Czytaj także: Będziemy mieć unijną chmurę obliczeniową? Strategia KE ws. danych osobowych

Mamy też informację odnośnie lokalizacji danych, kwestię podoutsourcingu czy ryzyko koncentracji, ale w odniesieniu do dostawcy usług chmurowych, w ramach grupy i poza nią. To niewątpliwie krok naprzód i jasny sygnał, że takie ryzyko może się zmaterializować.

Z istotnych elementów due diligence warto wymienić konieczność sprawdzenie jak chronione są dane czy jak wyglądają plany awaryjne, w tym sposób kontaktu z usługami wsparcia, ale także wszelkie rozwiązania w zakresie BCP czy DRP. Nie zaszkodzi też dodatkowy audyt.

Wytyczna 3, czyli umowa

Oczywiście umowa pisemna ‒ to dość dziwne, że ESMA nie dopuszcza formy cyfrowej w odniesieniu do usług cyfrowych, ale pewnie chodzi o bezpieczeństwo. Jako niezwykle istotny element unijny nadzorca wskazuje, że firma powinna mieć jasno określone prawo do wypowiedzenia umowy, jeżeli zachodzi taka konieczność.

Dla umów na funkcje krytyczne/istotne EMSA przewiduje pewne minimum postanowień, które powinny się tam znaleźć. Nie ma tutaj nic nadzwyczajnego i wykraczającego poza to, co już jest np. w stanowisku UKNF w sprawie chmury.

Czytaj także: Bank z umową na chmurę obliczeniową w egzotycznym kraju? Co na to komunikat KNF?

Oczywiście nadal najbardziej istotne jest prawo do inspekcji, choć tutaj określono jest szerzej, wskazując, że chodzi m.in. o kontrolę systemów i nośników, a także ksiąg i siedziby ‒ lokalizacji centrów danych.

Pierwsze wrażenia?

Wydaje mi się, że nie wszystkie elementy tam zawarte się utrzymają, jako nieco nadmiarowe. Niemniej jednak dobrze, że ESMA podjęła się opracowania projektu wytycznych, bo te niewątpliwie są potrzebne.

Problemem może być jednak konieczność opracowania dodatkowych rejestrów, polityk i procedur związanych z wykorzystaniem chmury. Z drugiej strony mówimy (myślimy) o szerszym wykorzystaniu chmury w sektorze finansowym, więc może taka przyszłość nas czeka?

Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl.

Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.

Źródło: FinregtechPl