Raport Specjalny | Horyzonty Bankowości 2023 – Tameshi | Migracja do chmury to przede wszystkim zmiana kulturowa
Rozwiązania chmurowe są jednym z kamieni milowych digitalizacji. Na ile polskie banki dostrzegają korzyści wynikające z implementacji rozwiązań cloudowych i czy owo spojrzenie przekłada się na poziom migracji instytucji finansowych do chmury? Jeśli nie, to gdzie należy szukać przyczyn takiego stanu rzeczy?
– Moim zdaniem, banki dostrzegają rozległe korzyści płynące z adopcji chmury publicznej. Wychodzą one z założenia, że daje ona dostęp do szeregu narzędzi, umożliwiających dynamiczne dostosowywanie oferty pod kątem szybkich i nie zawsze przewidywalnych zmian realiów rynkowych, a w konsekwencji – wykreowanie silnej przewagi konkurencyjnej. Ostatnie lata potwierdzają rosnące zainteresowanie tym modelem, przy czym kluczowymi czynnikami są możliwości technologiczne i chęć spełnienia wymogów regulacyjnych. Migracja polskich banków do chmury dopiero się rozpoczyna. Jedną z głównych barier są zaszłości technologiczne dotychczas używanych systemów. Banki zdają sobie sprawę z konieczności zaadresowania wyzwania, jakim jest istniejący dług technologiczny. Modernizacja przestarzałych rozwiązań może być elementem procesu migracji. Część instytucji decyduje się jednak na inną strategię, czyli przeprowadzenie modernizacji przed wejściem do chmury. W takim wypadku, migracja po prostu przesuwa się w czasie. Natomiast istnienie długu technologicznego nie jest samo w sobie przeszkodą do wejścia do cloudu – to problem, z którym prędzej czy później każda z instytucji będzie musiała się zmierzyć, a chmura może w tym realnie pomóc.
Redukcja kosztów, wyższy poziom odporności cyfrowej, wreszcie większa elastyczność architektury to główne argumenty za wykorzystaniem chmury publicznej. Jakie jeszcze korzyści można przynieść bankowi migracja do cloudu?
– Chmura umożliwia diametralną zmianę kultury pracy. W przypadku własnej serwerowni (czyli modelu on premise) bank, decydując się na wprowadzenie nowego produktu, musi przeprowadzić szereg procedur, poczynając od zakupu sprzętu, macierzy dyskowych czy peryferiów. To generuje koszty, bez poniesienia których nie sposób ocenić, na ile pomysł sprawdzi się w praktyce. Bank – jeśli odstąpi od wdrożenia produktu, bo stwierdzi, iż jest on nietrafiony – pozostaje z drogim sprzętem i oprogramowaniem, które to zasoby najpewniej nie będą optymalnie wykorzystane. W chmurze istnieje możliwość testowania nowych pomysłów biznesowych i szybkiego wycofania, jeśli okaże się, że nie zostaną one dobrze przyjęte przez rynek. W ten sposób znacznie łatwiej stymulować innowacyjność. Istotą innowacji i wynalazczości od niepamiętnych czasów jest eksperymentowanie i popełnianie błędów, dzięki chmurze nieuniknione błędy nie obciążają w sposób nadmierny bankowych budżetów, zasobów ludzkich bądź teleinformatycznych. Należy też zwrócić uwagę, że wiele współczesnych narzędzi IT, zwłaszcza tych bazujących na sztucznej inteligencji, w ogóle nie występuje w wersji on premise. Wdrożenie chmury publicznej jest zatem niezbędnym warunkiem wykorzystania olbrzymiego potencjału współczesnych technologii.
Jak pan słusznie zauważył, problemem może się okazać dług technologiczny. Czy w tym przypadku wielkość banku ma znaczenie?
– Większy bank dysponuje większą ilością systemów informatycznych, co przekłada się w jakimś stopniu na poziom długu technologicznego, jednak nie jest to prosta zależność. Można wskazać przykłady naprawdę olbrzymich organizacji, jak choćby ukraiński PrivatBank, które podjęły decyzję o migracji do chmury i przeprowadziły z powodzeniem ten proces w krótkim czasie. W przypadku PrivatBanku trwał on zaledwie 45 dni. Było to możliwe m.in. dlatego, że instytucja ta działała w oparciu o nowoczesną architekturę – tzw. mikroserwisy, nie miała więc obciążenia w postaci przestarzałych systemów. Jak widać, mentalna i technologiczna gotowość na adopcję chmury ma znacznie większe znaczenie niż wielkość instytucji finansowej.
Przykład PrivatBanku ma charakter szczególny. Migracja odbywała się tam pod presją wojny, stąd rekordowe tempo, później zresztą dokonywano wielu korekt. Na ile czas wdrażania architektury bazującej na chmurze przekłada się na decyzje banku, szczególnie w bardziej standardowych warunkach?
– W PrivatBanku czas faktycznie był kluczowym czynnikiem, chodziło o zabezpieczenie systemów przed możliwością fizycznego ich unicestwienia. W normalnych warunkach przygotowania do migracji powinny nieco potrwać. Bank powinien przeprowadzić analizę obecnych systemów IT czy opracować business case, z reguły we współpracy z partnerami, również dostawcami usług chmurowych. Na tej podstawie migracja powinna być zaplanowana w odpowiedni sposób. W przypadku chmury AWS występują programy typu MAP (Migration Acceleration Program), które wspierają banki w tworzeniu business case’ów czy systemów typu landing zone, czy też model operacyjny, który pozwala spojrzeć nie tylko na kwestie technologiczne, ale również konieczność zmian w ramach kultury danej jednostki, w ramach procesów i sposobu obsługi, tak by migrację zrealizować jak najefektywniej. Tak wszechstronna analiza pozwala znacząco przyspieszyć proces wejścia do chmury.
Jak zatem trafnie odczytać sygnał, że dla banku nadszedł optymalny moment na migrację?
– Kluczowa wskazówka to rosnący dług technologiczny po stronie banku: kontrakty serwisowe na sprzęt, który ma już wiele lat, czy też konieczność jego odświeżania skłaniają, by rozważyć chmurę publiczną. Drugi czynnik to innowacyjność, coraz silniejsza konkurencja, zwłaszcza spoza sektora finansowego, dysponująca dostępem do narzędzi w chmurze publicznej. Oczywiście, wiele startupów nie jest w stanie zagrozić bankom, niemniej obserwacja tego segmentu i narzędzi, jakimi się posługuje, może skłaniać banki do migracji.
Jeśli już ten moment nastąpi, co powinna zrobić instytucja, by proces ten przebiegał jak najskuteczniej?
– Przede wszystkim skorzystać z pomocy dostawców usług chmurowych oraz ich partnerów przy budowie business case’a dla wybranych systemów. Posiadają oni gotowe rozwiązania, które pomagają przeanalizować infrastrukturę banku oraz określić co należy wykonać od strony technologii, aby migracja zakończyła się sukcesem. Analizy nie powinny skupiać się wyłącznie na aspektach technicznych, ale również biznesowych – czyli jakie procesy w ramach banku, jego systemów monitoringu, compliance, governance, bezpieczeństwa należy dostosować do chmury. Odpowiedzi na takie pytania uzyskujemy właśnie poprzez współpracę z doświadczonym partnerem.
Kolejnym krokiem jest wybór odpowiednich rozwiązań, które w ramach chmury powinny funkcjonować. Migracja związana jest ze zmianą kultury oraz systemów, absolutnie nie powinniśmy dążyć do przenoszenia rozwiązań i sposobu myślenia on premise do chmury, takie podejście często prowadzi do znaczącego wzrostu kosztów funkcjonowania w chmurze lub nieosiągnięcia celów migracji. Szkolenia obecnego zespołu, powołanie Cloud Center of Excellence oraz jego prowadzenie wspólnie z dostawcą usług chmurowych i/lub partnerem znacząco pomaga w procesie adopcji chmury publicznej.
A co jest sygnałem, że bank może mieć problemy z wdrożeniem chmury, albo że proces będzie trwał nieco dłużej?
– W pierwszej kolejności inwentaryzacja systemów, wykorzystywanych przez bank pod kątem konieczności ich migracji do chmury publicznej. Jak wspominałem, niektóre z nich mogą być bardzo stare, wówczas ich przeniesienie bywa utrudnione bądź wręcz niemożliwe, czy to z przyczyn stricte technologicznych, czy też z uwagi na ograniczenia w zapisach umów licencyjnych. Nie zawsze migracja dotychczasowych zasobów do cloudu w niezmienionej postaci jest optymalnym rozwiązaniem. Można dokonać ich transformacji czy też przenieść dane do bardziej nowoczesnych systemów, funkcjonujących już w środowisku chmury publicznej. Tam może być utworzona infrastruktura, która pozwala na wspieranie tego typu inicjatyw. Modernizacja tych przestarzałych rozwiązań nie musi wymagać dużych inwestycji kosztowych.
Zniwelowanie luki technologicznej to główna korzyść z migracji. Czy równocześnie mamy do czynienia z redukcją kosztów, a może przynajmniej w pierwszej fazie tego procesu eliminacja długu technologicznego musi pochłaniać większe fundusze?
– Na samym początku mamy do czynienia z inwestycją, która wymaga poniesienia wydatków w celu eliminacji długu technologicznego. W dłuższej perspektywie obserwujemy obniżkę kosztów, choćby z uwagi na możliwość wykorzystania usług, zarządzanych przez chmurę. Zasoby ludzkie banku mogą być oddelegowane do rozwiązywania innych problemów niż te, generowane przez środowisko on premise, w tym do realizacji celów stricte biznesowych. Dlatego rozważając migrację do chmury publicznej od strony kosztowej należy brać pod uwagę nie tylko nakłady na zasoby IT, ale również pozostałe koszty, w tym kapitał ludzki, który uwalniamy i możemy przenieść na zupełnie inne obszary.
W którym momencie klient banku odczuje korzyści, wynikłe z wdrożenia cloudu, i czy będzie to gruntowna zmiana user experience, czy sukcesywna poprawa jakości świadczonych usług?
– Przede wszystkim w toku migracji klient nie powinien obserwować obniżonej jakości działania systemów informatycznych banku. Przejście od on premise ku chmurze publicznej powinno być wykonane w sposób płynny, bez długich przerw serwisowych, podobnych do tych związanych z aktualizacją systemów informatycznych. Chmura zapewnia narzędzia, wpływające na skrócenie przerw, zatem klient powinien doświadczyć lepszej dostępności serwisów bankowych. Podobnie dostęp do całego szeregu narzędzi optymalizujących w chmurze przekłada się na szybkość działania stron internetowych lub dostępność produktów, których bank wcześniej nie mógł wdrożyć przez ograniczenia wynikające z działania w obrębie własnych centrów danych. W chmurze są one dostępne nierzadko po wykonaniu kilku kliknięć.
Czy migracja do chmury skutkuje radykalnym podwyższeniem poziomu cyberbezpieczeństwa, a może obydwa modele są narażone na odmienne zagrożenia, specyficzne dla każdego z nich?
– Zagrożenia dotykają zarówno rozwiązań on premise, jak i cloudowych, jednak w drugim modelu ochrona przed atakami DDoS czy innymi cyberzagrożeniami jest dużo prostsza. Mamy dostęp do specjalistów i wsparcie ze strony dostawców usług chmurowych, którzy wspólnie z bankiem są w stanie przeciwdziałać wszelkim atakom, występującym po stronie ich systemów. Dodatkowo w chmurze mamy do czynienia z tzw. shared responsibility model, w ramach którego dostawca usług chmurowych dba o bezpieczeństwo infrastruktury, natomiast bank o bezpieczeństwo aplikacji. Dostawca usług chmurowych dostarcza narzędzia, umożliwiające ochronę tych aplikacji w sposób efektywny i zgodnie z najnowocześniejszymi trendami.
W jakim stopniu proces zarządzania ryzykiem i compliance w chmurze różni się od tego stosowanego w klasycznym modelu z własnym data center?
– Bezpieczeństwo, compliance oraz zarządzanie ryzykiem w świecie chmury działają zupełnie inaczej niż w środowisku on premise. Każde zdarzenie występujące w ramach chmury jest rejestrowane, każde powołanie nowego serwera, dostęp do wybranej aplikacji, jej wdrożenie pozostawia ślad cyfrowy, który w trybie rzeczywistym może nieść za sobą odpowiednią akcję-reakcję. Można zaprogramować i wdrożyć metodykę znaną pod nazwą continuous compliance, co zapewnia zgodność wszelkich systemów bankowych ze standardami wyznaczonymi przez działy compliance, bezpieczeństwa, governance – w przypadku aplikacji które mają zbyt „niski” poziom bezpieczeństwa lub nie przestrzegają reguł korporacyjnych możemy wpływać na ich konfigurację oraz informować developerów, że nie przestrzegają zasad i uniemożliwiać rozprzestrzenianie się takich praktyk na wyższe środowiska. Z uwagi na fakt, że cała chmura AWS jest oprogramowaniem, realizacja audytu na takim oprogramowaniu jest uproszczona (oczywiście w sytuacji, gdy jesteśmy na niego przygotowani). AWS posiada narzędzia takie jak AWS Audit Manager, który upraszcza sposób gromadzenia dowodów na potrzeby audytów oraz w sposób automatyczny sprawdza zgodność z wybranymi normami bezpieczeństwa typu PCI-DSS w zakresie dostępnych systemów na chmurze.
Na ile w ostatnich latach zmieniło się podejście regulatora wobec cloudu? Czy poczynając od komunikatu KNF ze stycznia 2020 r. można powiedzieć, że regulator uchylił furtkę dla rozwiązań chmurowych?
– Regulator chce przede wszystkim zapewnić bezpieczeństwo środkom, gromadzonym w instytucjach finansowych. Wydając komunikat chmurowy, KNF chciał zapewnić, by banki podejmujące decyzję o migracji dochowały wysokich standardów bezpieczeństwa. Żeby zdawały sobie sprawę, z czym wiąże się migracja do chmury, były w stanie zapewnić zaadresować wszelkie ryzyka, związane z utrzymaniem systemów po stronie chmury publicznej i dysponowały odpowiednio przeszkoloną kadrą. Takie kwestie, jak szyfrowanie, exit plan czy uniknięcie uzależnienia od dostawcy powinny być uwzględniane przez banki jeszcze przed podjęciem decyzji o adopcji cloudu.
Czy zatem proces migracji należy traktować jako ustawiczny, a może da się wskazać moment, w którym można powiedzieć, że zakończył się on sukcesem?
– Chmura zmienia się dość dynamicznie, podobnie jak dostęp do usług chmurowych. Transformacja, która powinna występować w ramach systemów bankowych czy aplikacji udostępnianych przez bank, ma charakter ciągły. Za każdym razem dostosowujemy się do potrzeb klienta, staramy się zrobić coś lepiej, szybciej i w bardziej innowacyjny sposób. Chmura to przede wszystkim zmiana kulturowa, zmiana sposobu wytwarzania. Jesteśmy w stanie szybciej osiągać cele, które nakłada na nas biznes i potrzeby rynkowe. Dopiero po przejściu do chmury jesteśmy w stanie optymalnie wykorzystywać innowacje.
Jak w tym kontekście wygląda wykorzystanie danych, które banki już posiadają? Na ile one pozwalają udoskonalać relację z klientem, produkty czy time to market? Spożytkowanie danych przez sztuczną inteligencję to niełatwy proces, czy banki sprawnie wykorzystują posiadane dane o kliencie, tak żeby dzięki chmurze optymalizować relację z nim, a może tę lekcję musimy dopiero odrobić?
– Uważam, że jest to lekcja, którą banki w tym momencie odrabiają. Pamiętajmy o tym, że dostęp do uczenia maszynowego w ramach chmury publicznej jest łatwiejszy niż on premise. Jesteśmy w stanie doszkalać AI czy budować widok klienta 360 stopni, by mieć lepszą wiedzę na temat produktów, które jesteśmy w stanie zaoferować klientowi końcowemu. Dzięki chmurze publicznej możemy w sposób ciągły dostosowywać nasze systemy i produkty do klienta. Ta niesamowita moc obliczeniowa pozwala na dużo lepszą responsywność modeli i podejmowanie decyzji na podstawie danych, którymi dysponujemy. Pamiętajmy że zasoby dużych banków liczone są w petabajtach, w ramach chmury obliczeniowej można je zatem wykorzystać najefektywniej.
Czy polska bankowość pozycjonuje się wśród liderów europejskich i światowych, jeżeli chodzi o kwestię rozwiązań chmurowych, a może raczej jesteśmy outsiderem i to, co na świecie jest standardem, w Polsce dopiero wchodzi do użytku?
– Zdecydowanie jesteśmy na początku naszej drogi do chmury publicznej. W najważniejszych organizacjach europejskich i światowych bardzo duża część systemów bazuje na cloudzie od pierwszego dnia. Mamy zatem sporo do zrobienia, szczęśliwie możemy czerpać doświadczenie od innych, jesteśmy zatem w stanie dogonić światowy rynek bankowy, który decyzję o migracji do chmury podjął już jakiś czas temu.
A jak wygląda sytuacja w zaawansowanych technologicznie polskich firmach spoza branży finansowej, czy tam chmura jest popularna, czy też one dopiero uczą się tych rozwiązań? Jest to istotne, gdyż być może w najbliższej przyszłości bankowość będzie rywalizowała z firmami technologicznymi, dostarczającymi różnego rodzaju produkty dla konsumentów…
– Podmioty spoza sektora bankowego nie miały ani ograniczeń regulacyjnych, ani zaszłości technologicznych, co bardzo uprościło i przyspieszyło adopcję chmury. W efekcie firmy te używają systemów, występujących w ramach chmury publicznej, już od pewnego czasu. Banki aktualnie uczą się, w jaki sposób adoptować chmurę, mogą zatem nauczyć się czegoś od jednostek, które już się znajdują w cloudzie i z niego w sposób aktywny korzystają, by zwiększać swoją innowacyjność.
Czy multicloud też jest modelem dedykowanym bankom, czy powinniśmy się koncentrować na jednej chmurze?
– Każda chmura ma do zaoferowania produkty dla banków. Kiedy chcemy, żeby aplikacja była multicloudowa, musimy ją tworzyć w sposób jak najbardziej vendor agnostic, czyli nie związywać się z dostawcą. To zaś ogranicza nas z punktu widzenia usług zarządzalnych, które występują w ramach poszczególnych dostawców usług chmurowych, i przekłada się na zwiększenie kosztów związanych z obsługą tych systemów. Więc jeżeli mamy pojedynczą aplikację, to sugerujemy, by jednak wiązać się z jednym dostawcą usług chmurowych i w jego kierunku przenosić aplikacje. Banki powinny wybierać usługi chmurowe w oparciu o swoje konkretne potrzeby i możliwość szybkiego osiągnięcia celów postawionych przed biznesem.
Na zakończenie nasuwa się pytanie, czy docelowo banki powinny być w 100% w chmurze, a może nie jest to optymalny model?
– Moim zdaniem, banki powinny w stu procentach działać w chmurze publicznej. Tą opinię wydają się podzielać przedstawiciele polskiego sektora finansowego. Kiedy w czasie tegorocznej edycji Europejskiego Kongresu Finansowego zapytano uczestników sesji poświęconej Cloud 2.0., czy w przypadku kiedy budowaliby bank od zera, przeznaczyliby jakiekolwiek środki na budowę własnego data center – 100% z nich odpowiedziało, że wybrałoby chmurę. Pytanie nie powinno więc brzmieć „czy”, a raczej „kiedy”.