Raport Horyzonty Bankowości 2021 | TECHNOLOGIE – GFT POLAND | Cloud Security & Compliance w czasach pandemii – o higienie technologicznej w chmurze
GFT to międzynarodowa firma specjalizująca się w tworzeniu rozwiązań technologicznych dla biznesu, wspierających rozwój sektora finansowego, ubezpieczeń i przemysłu. Zespół światowej klasy specjalistów łączy umiejętność pracy w regulowanych środowiskach z kompetencjami w obszarze chmury, sztucznej inteligencji czy internetu rzeczy. Zatrudniamy ponad 6000 osób w 15 krajach, z czego niemal 1000 w Polsce – w Łodzi, Poznaniu, Warszawie i Krakowie.
Marcin Kowalski, CHIEF TECHNOLOGY OFFICER, GFT POLAND
Jednocześnie pandemia COVID-19 przyśpieszyła digitalizację, a ta jest dziś nierozłącznie związana z chmurą obliczeniową. Widać to po rosnącym zainteresowaniu klientów i, z drugiej strony, po odważnych inwestycjach operatorów chmury publicznej, również w naszym regionie.
Branża finansowa, będąca pod presją konkurencji działającej w warunkach asymetrii regulacyjnej, ma przed sobą trudne zadanie: musi przynajmniej dotrzymać kroku fintechom. Pośpiech we wdrożeniach IT nie jest jednak najlepszym doradcą, szczególnie z perspektywy wymagań niefunkcjonalnych. Jakie możliwości daje chmura w rozwiązywaniu problemów bezpieczeństwa i zgodności?
Bezpieczna automatyzacja
Każdy z liczących się operatorów chmury dostarcza narzędzia pozwalające kontrolować bezpieczeństwo i zgodność z normami regulacyjnymi w zautomatyzowany i powtarzalny sposób. Nie są to wciąż gotowe rozwiązania dostępne na zasadzie „out-of-the-box”, ale mimo to, możliwości i ułatwienia, które oferują już dziś, są znaczące.
Nie chodzi o kosztowne narzędzia. Kluczem jest API chmury. Za pomocą tego mechanizmu możliwe jest monitorowanie zasobów, ich konfiguracja oraz wprowadzanie zmian w infrastrukturze w sposób w pełni powtarzalny i zautomatyzowany. Takie podejście, w odniesieniu do infrastruktury, kryje się pod nazwą IaC (Infrastructure as Code).
Ma to fundamentalne znaczenie z perspektywy zgodności i bezpieczeństwa, ponieważ maszynowe reguły mogą dotyczyć zagadnień, do których bezpośrednio nawiązuje chociażby zeszłoroczny komunikat KNF o przetwarzaniu w chmurze. Zasady „minimum koniecznego” czy „secure-by-default” można zapisać w definicji środowiska, zapewniając sobie kontrolę, powtarzalność i przejrzystość działania zgodne z wymogami regulatora.
Skupienie się na dostarczaniu efektywnej infrastruktury to oczywiście nie wszystko. Należy pamiętać, że przytłaczająca większość naruszeń bezpieczeństwa jest możliwa dzięki lukom właśnie w tym obszarze.
Jak to zrobić dobrze?
Kluczowym czynnikiem wpływającym na koszt i szybkość dostosowania się do wymogów regulacyjnych w podejściu IaC jest wypracowanie szablonów gwarantujących zgodność z określonymi wymaganiami, np. wspomnianym komunikatem KNF. Dzięki temu unika się powielania pracy i sprawia, że wymagania compliance adresowane są do dobrze określonej komórki technicznej, odpowiedzialnej za opracowanie specyfikacji infrastruktury.
Dużym wyzwaniem w nadzorowaniu procesów bezpieczeństwa i zgodności jest zapewnienie, że wytyczne zespołów GRC (Governance, Risk, Compliance) znajdą odzwierciedlenie w rzeczywistości. Infrastruktura tworzona jest w początkowych fazach projektów. Zadbanie o bezpieczeństwo na tym etapie oznacza, że problem będzie adresowany możliwie wcześnie, zwiększając szanse na uwzględnienie pracy zespołu GRC. Podejście to nazywamy „shift left”. W praktyce dobrze sprawdza się bliska współpraca zespołu GRC z zespołami DevOps/DevSecOps oraz architektami cloud, którzy odpowiadają za dopasowanie wymagań zgodności i bezpieczeństwa do realiów określonego dostawcy chmury publicznej.
Zagrożenia
Jeśli infrastruktura może być zdefiniowana w kodzie (IaC), to oznacza to, że nieformalne procesy związane z kodem będą jej dotyczyć tak samo jak każdego oprogramowania. Inżynierowie będą więc np. korzystać z publicznych repozytoriów, żeby przyspieszyć pracę. Rodzi to duże ryzyko. Warto pamiętać o tym, że przy zastosowaniu metody „szablonowej” – błąd popełniony w szablonie będzie skutkował jego replikacją na potencjalnie dużą część infrastruktury. Z tego względu szczególnie ważna jest dbałość o jakość.
Na szczęście, ta sama cecha chmury (API) pozwala zaopiekować się obszarem compliance z drugiej strony – weryfikowania zgodności istniejących rozwiązań. Służy do tego koncepcja Compliance as Code. Narzędzia tej klasy odpowiadają za aktywne monitorowanie infrastruktury pod kątem spełniania reguł określonych na etapie Infrastructure as Code. Jest to podejście analogiczne do znanego ze świata programistów testowania automatycznego.
Przewaga konkurencyjna
Chmura umożliwiła rozkwit wielu instytucji stanowiących dzisiaj realną konkurencję dla silnie regulowanych graczy z branży finansowej. Jednocześnie warto pamiętać, że technologiczne zalety chmury są dostępne dla każdego – nie tylko dla fintechów – nie sprowadzają się jedynie do robiących wrażenie i wymagających obłędnej mocy obliczeniowej algorytmów AI. Chmura to przede wszystkim automatyzacja na każdym etapie. Jeśli instytucje finansowe będą z tych zalet mądrze korzystać, wymogi regulacyjne zamiast hamować, będą umacniać ich przewagę konkurencyjną jako godnych zaufania partnerów.
Dowiedz się jak sprostać największym wyzwaniom przy wdrażaniu chmury w instytucjach sektora finansowego. Poznaj doświadczenia ekspertów GFT Poland w 10 historiach projektów dla najbardziej wymagających klientów: gft.com/cloudcasebook
Przemysław Kulesza, CYBERSECURITY EXPERT, GFT POLAND
KOMENTARZ EKSPERTA
JAKIE WYMAGANIA COMPLIANCE DAJE SIĘ AUTOMATYZOWAĆ W CHMURZE I JAKIE BOLĄCZKI BANKÓW W TYM OBSZARZE MOŻNA ZAADRESOWAĆ NAJSZYBCIEJ?
W odniesieniu do wdrażania nowoczesnych technologii w sektorze bankowym, chętnie parafrazuję tytuł kultowego filmu z 1967 r. o przygodach Jamesa Bonda: „Banki boją się tylko dwa razy”. Pierwszy raz, kiedy wdrożenie nowoczesnej technologii wyprzedza istnienie regulacji krajowych (co jest normą w Unii Europejskiej), przez co banki żyją w niepewności o działanie poza granicami prawa. Drugi raz, kiedy regulatorzy (jak KNF czy EBA) „doganiają” nowinki techniczne i publikują szczegółowe, ale czasem niejasne rekomendacje, i uczestnicy rynku finansowego żyją w lęku o zgodność z nimi. Prawda jest oczywiście jeszcze inna, ponieważ w UE każdego dnia powstaje nawet ponad 200 różnych zmian w regulacjach branży bankowej (dane ekspertów Akademii Leona Kuźmińskiego). Nie wszystkie odnoszą się do obszaru IT czy bezpieczeństwa, ale jednak pokazuje to, jak wiele uwagi banki muszą przykładać do procesu utrzymania zgodności już po wdrożeniu podstawowych regulacji.
Jeśli chodzi o nowoczesne technologie związane z chmurą publiczną, to odwieczne ryzyko braku zgodności można rzeczywiście istotnie zniwelować i sprowadzić do wspomnianych dwóch przypadków: „przed istnieniem regulacji” i „po zaistnieniu regulacji”, bez nadmiernego wysiłku w przyszłości, gdy publikowane są kolejne zmiany przepisów. Jak tego dokonać?
Trzeba mianowicie zdefiniować kluczowe dla regulatora obszary, które można w miarę łatwo automatyzować, a potem dostarczać jako gotowe, bezpieczne i zgodne z przepisami implementacje środowiska IT. Hasła takie jak: DevSecOps, Secure SDLC, Compliance as Code powinny w tym momencie zadźwięczeć głośno w naszych uszach.
Świetnym przykładem wymagania regulacyjnego, dającego się szybko automatyzować we wdrożeniach chmurowych, jest wymóg szyfrowania danych kluczami generowanymi i zarządzanymi przez podmiot nadzorowany (komunikat UKNF z 23 stycznia 2020 r. dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze publicznej). Automatyzacja może obejmować: generowanie kluczy, parametryzowanie ich długości i czasu ważności, wymuszanie rotowania. Inne „low hanging fruits” automatyzacji, na które agent z licencją na bankowanie z pewnością się skusi to:
- Wymuszanie użycia protokołu TLS 1.2 wraz z bezpiecznymi „cipher suits”;
- Separacja sieciowa usług od sieci publicznej Internet i nieautoryzowanych sieci;
- Nadawanie uprawnień zgodnych z zasadą „least privileges”;
- Uwierzytelnianie z użyciem dedykowanych kont technicznych i centralnego systemu IdM/IAM;
- Wymuszanie logowania zdarzeń „control plane” i „data plane”.
Kolejny etap to standaryzacja bezpiecznych konfiguracji i tworzenie gotowych do użycia „katalogów z szablonami”, kiedy to, podobnie jak w katalogu z projektami domów, wybieramy już kompletny projekt dostosowany do naszych preferencji, ale także ograniczeń wynikających z planu zagospodarowania przestrzeni.
Zdecydujcie więc Państwo sami, czy chcecie, podobnie jak filmowy Q, spędzać długie godziny, wysadzając swoje „deploymenty” w powietrze, czy może niczym Bond odlecieć daleko od konkurencji w chmury na pokładzie żyrokoptera Little Nelly WA-116 Agile (tak, Agile)!