BANK 2023/04

Raport Specjalny | Nowe Technologie – Comarch SA | Inwestycje w obszarach technologii to swoisty wyścig zbrojeń

Paweł Minkina | Miesięcznik Finansowy BANK
Raport Specjalny | Nowe Technologie – Comarch SA | Inwestycje w obszarach technologii to swoisty wyścig zbrojeń
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Można się zastanowić, czy lepiej mieć bardziej intuicyjną stronę mobilną, czy najpierw zainwestować w rozwiązania chmurowe, a może w zabezpieczenie dostępu dla klientów, by nie mieć problemu z fraudami czy wyłudzeniami tożsamości? Im trudniejsza sytuacja, tym inwestycje powinny być bardziej intensywne, ale też znacznie lepiej przemyślane – podkreśla Andrzej Przewięźlikowski, wiceprezes zarządu, dyrektor Sektora Finanse w Comarch SA, w rozmowie z Pawłem Minkiną.

Większość klientów banków twierdzi, iż nie muszą troszczyć się o obszar cyberbezpieczeństwa, gdyż gwarantem w tym zakresie powinien być bank. Czy faktycznie obszar klienta jest tym słabym ogniwem?

– Niedawno przeprowadzone analizy wykazały, że najsłabszym ogniwem łańcucha bezpieczeństwa w instytucji finansowej faktycznie jest człowiek, ale niekoniecznie klient. Niemal połowa incydentów spowodowana jest przez pracowników, nieprzestrzegających polityk dostępu do danych ani regulaminów wewnętrznych. Nie mają wiedzy, nie szkolą się, a przez to są podatni na kampanie phishingowe. W ten sposób dochodzi do wyłudzania informacji, także tożsamości pracowników banku. To z kolei zwiększa podatność na ataki typu ransomware, których częstotliwość w pierwszej połowie 2021 r., podczas rozkwitu pracy zdalnej i hybrydowej, wzrosła o ponad 1300%. Tak potężny wzrost był spowodowany tym, że instytucje finansowe nie były wewnętrznie przygotowane do zmiany modelu wykonywania pracy. Bezpieczeństwo klientów pozostaje sprawą priorytetową, jednak tu wiele można osiągnąć, wdrażając innowacje technologiczne, w tym uwierzytelnianie wieloskładnikowe, do czego zobowiązuje sektor finansowy dyrektywa PSD2, analitykę behawioralną w oparciu o systemy regułowe czy AI. Natomiast edukacja jest kluczowa; możemy mieć dowolne zabezpieczenia i systemy, ale jeśli pracownik nie będzie przestrzegać reguł, a klient poda złodziejowi dane karty kredytowej, to niewiele jesteśmy w stanie zrobić.

Na ile zatem banki w ostatnich latach wzmocniły wykorzystanie technologii w ochronie swoich systemów? Myślę tu o sztucznej inteligencji bądź rozwiązaniach behawioralnych. Czy rzeczywiście wyprzedzają pewne ryzyka w tej sferze?

– Wydaje się, że tak. Wymuszanie dwuskładnikowego uwierzytelniania przez regulacje prawne jest krokiem w tym kierunku. Stosuje się coraz więcej rozwiązań z zastosowaniem analityki behawioralnej, opartych na regułach lub sztucznej inteligencji. Przypomnę, że każde rozwiązanie AI wymaga dostępu do danych. System musi się nauczyć na danych transakcyjnych, danych logowania, danych o zachowaniach klientów, musi rozpoznać, co jest zachowaniem bezpiecznym, i wymusić na kliencie dodatkową weryfikację tożsamości w momencie, kiedy jest podejrzenie, że dana osoba nie jest tą, za którą się podaje.

Czy istnieje ryzyko, jak w przypadku COVID-19, że globalny wirus zarazi cały sektor, nie tylko bankowy, ale np. energetyczny, blokując trwale możliwość działania? Mieliśmy już stress testy związane z wojną w Ukrainie, jeżeli chodzi o sektor bankowy…

– Tworząc system energetyczny, bazujący na siłowniach jądrowych, można zastosować dwie strategie. W pierwszej z nich buduje się bliźniaczą kopię głównej elektrowni, działającą w oparciu o te same procedury i komponenty. Alternatywą jest uruchomienie drugiego obiektu w nieco innej technologii, co ma zabezpieczyć przed symultanicznym pojawieniem się analogicznego incydentu w tym samym momencie. Do takiej awarii doszło swego czasu np. w Kanadzie i we Francji, gdzie w konsekwencji konieczne było wyłączenie kilku innych reaktorów, z uwagi na podejrzenie wystąpienia podobnych zakłóceń. W bankowości na szczęście każda instytucja finansowa ma nieco inne systemy technologiczne, core czy antyfraudowe, korzysta też z innych rozwiązań chmurowych. Oczywiście są centralne huby, służące do wymiany informacji, ale nie ma zagrożenia, że jeden celowany wirus czy konkretny atak ransomware zarazi wszystkie banki, w konsekwencji wszyscy stracą dostęp do środków. To jest praktycznie niewykonalne.

Banki mają spore zasoby danych, czy optymalnie je wykorzystują? Bigtechy oparły swój model funkcjonowania i rozwoju na zbieraniu i przetwarzaniu danych. Z drugiej strony banki na podstawie PSD2 mają obowiązek dzielenia się danymi, więc to jest pewien słaby element wzmacniania przewagi konkurencyjnej…

– Zanim zacząłem zajmować się rozwiązaniami informatycznymi dla sektora bankowego, długo pracowałem nad rozwojem systemów lojalnościowych, gdzie gromadzenie i przetwarzanie danych pozwala zrozumieć, jak się zachowa klient w przyszłości i zbudować dla niego lepszą ofertę. Banki z początku nie były skłonne do wykorzystywania danych klientów w ten sposób, obawiano się reakcji klientów na monitorowanie ich aktywności zakupowej. Banki mają potężne zasoby danych o kliencie, w tym historii jego transakcji, a sektor coraz lepiej monetyzuje te zasoby. Należy pamiętać, iż w Europie dane osobowe podlegają restrykcyjnym regulacjom w ramach RODO. W Stanach Zjednoczonych czy Azji regulacyjny gorset jest luźniejszy, nieprzypadkowo wyścig o sztuczną inteligencję wygrywają firmy z USA i Chin, a nie polskie, niemieckie czy francuskie. Nie obawiałbym się o bezpieczeństwo danych klientów banków, mamy odpowiednie rozwiązania technologiczne i regulacje, także PSD2, która przecież nie pozwala na niekontrolowany dostęp do danych. Dyrektywa wskazuje określone poziomy bezpieczeństwa, które należy spełnić, by móc udostępnić zasoby podmiotom trzecim, te zaś podlegają regulacjom w zakresie bezpieczeństwa dostępu do danych. Wyzwaniem od strony technologicznej jest zaprojektowanie odpowiedniej architektury dostępu do informacji zarówno dla klientów, pracowników, jak i aplikacji, bo coraz więcej danych jest automatycznie udostępnianych przez AI. To nie jest zadanie proste, niemniej istnieją systemy, które potrafią takie dostępy autoryzować, trzeba się tylko do tego odpowiednio przygotować w ramach organizacji.

W kwestii migracji danych do chmury zwrot nastąpił w okresie wojny w Ukrainie. Bankowość, także polska, była podzielona w opiniach, czy funkcjonować na własnych serwerach, czy migrować do chmury. Zmiana rozpoczęła się wraz z komunikatem KNF z początku 2020 r., a doświadczenia banków ukraińskich ugruntowały ten trend. Na ile przyszłość banków i w ogóle gospodarki wyznaczać będzie migracja danych do chmury?

– Rozwiązania chmurowe nie są nowością, niemniej jeszcze trzy-cztery lata temu w rozmowach z CIO banków, także polskich, dominował pogląd, że nie da się przenieść wszystkich danych poza bank. To się bardzo zmieniło, zwłaszcza wskutek wojny w Ukrainie, która jednoznacznie potwierdziła możliwość migracji banku do środowiska cloud. PrivatBank w półtora miesiąca przeniósł całość infrastruktury, była to jedyna możliwość, by w warunkach wojennych bezpiecznie świadczyć usługi finansowe. Technologicznie jest możliwe przeniesienie całego banku do chmury, czy to publicznej, czy prywatnej, niekoniecznie trzeba migrować do Microsoft, Google czy Amazon, można zbudować prywatną chmurę w swojej lub cudzej serwerowni. Coraz więcej instytucji zaczyna poważnie myśleć, by przenieść do środowiska cloud jeżeli nie całe zasoby, to przynajmniej mniej krytyczne aplikacje. Polski ING chwali się pierwszym rozwiązaniem dostępnym w chmurze publicznej. Regulator otworzył drzwi, powstał Operator Chmury Krajowej, który jest bardzo ciekawym przedsięwzięciem, bo nie dość, że oferuje mix usług różnych dostawców chmurowych, to jeszcze buduje świadomość wśród reprezentantów instytucji finansowych, że da się wynieść część operacji bankowych do chmury. Największym problemem są tak naprawdę systemy core banków, które czasami mają kilkanaście, a nawet kilkadziesiąt lat. Ich migracja jest zadaniem trudnym i niewdzięcznym, a zysk biznesowy ostatecznie może się okazać niewielki. Technologicznie jednak nic nie stoi na przeszkodzie, prędzej niż później zobaczymy coraz większą część aplikacji bankowych przenoszoną do chmur, również tych publicznych.

Jak zatem powinna wyglądać wzorcowa migracja do chmury?

– Powiem krótko: nie ma takiego procesu. Wszystko zależy od tego, czym dana instytucja dysponuje i co chce osiągnąć. Każdy bank ma swój cykl technologiczny, ale też różne cele biznesowe, które chce osiągnąć w najbliższym czasie. Nikt nie zdecyduje się zatrzymać rozwoju aplikacji biznesowych, by przez najbliższe 6 czy 12 miesięcy migrować do chmury, dlatego mamy rozliczne strategie, które pozwalają rozłożyć w czasie ten proces. Jedna z nich nazywa się ice cream scooping, wówczas w ramach starych aplikacji po prostu przenosimy je kawałek po kawałku, dzielimy na mikroserwisy i migrujemy do chmury. Inna opcja pozwala na budowę aplikacji wyłącznie w oparciu o współczesne technologie. W ciągu kilku lat jesteśmy w stanie przenieść większość operacji banku do chmury bez zamykania się na innowacje biznesowe, które są potrzebne, bo nikt nie jest w stanie zatrzymać postępu.

Kolejnym etapem jest multicloud. Czy są to rozwiązania szyte również pod polską bankowość, a może na razie nie są potrzebne w sektorze?

– Zasadność multicloudu ujawnia się, kiedy zaczynają się problemy. Mulitcloud oznacza mniejsze uzależnienie od jednego dostawcy, bo pozwala na przerzucanie aplikacji krytycznych pomiędzy dostawcami w ramach potrzeb. Ja się nie obawiam, że któryś z wiodących dostawców usług chmurowych w całości wyłączy swoje serwery, raczej chodzi o to, że polityki cenowe czy polityki dostępności komponentów poszczególnych dostawców mogą ulec zmianie. Warto mieć cały czas z tyłu głowy, że kiedyś zmiana chmury może być niezbędna, dlatego budując tego typu rozwiązania, nie należy wiązać się np. z natywnymi komponentami technologicznymi, dostępnymi tylko u konkretnego operatora. To jest nieco droższe rozwiązanie, bo płaci się więcej za dostęp, przestrzeń czy wykorzystanie serwerów, natomiast jest absolutnie niezbędne dla aplikacji krytycznych, jak systemy frontendowe dla klientów czy systemy core, które kiedyś będą przenoszone.

Czy pomimo problemów w sferze zyskowności sektora bankowego, jedyną drogą pozostaje cyfryzacja oraz inwestycje i rozwój posiadanych technologii?

– Inwestycje w obszarach technologii to jest wyścig zbrojeń – przeciwko hakerom, ale i konkurencji. Budujemy przewagę konkurencyjną w oparciu o technologie. Szukamy nowych źródeł przychodu, ale i oszczędności. Jak w każdym biznesie, są dwie szkoły: jedni mówią, że w kryzysie ograniczamy się do niezbędnego minimum, dla innych stanowi on okazję, żeby przyspieszyć, nawet lewarując się olbrzymimi kredytami, po to, żeby transformację zrealizować. Redukcja długu technologicznego jest potrzebna, podobnie jak inwestycje w bezpieczeństwo. W Polsce w ostatnich kilku latach mieliśmy do czynienia z daleko posuniętą cyfryzacją kanałów kontaktu z klientem. W ciągu ostatnich dwóch lat niemal cały ruch, tak detaliczny, jak i korporacyjny czy SME, przeniósł się do internetu, co oznacza, że inwestycje były potrzebne. Teraz można się zastanowić, czy lepiej mieć bardziej intuicyjną stronę mobilną, czy najpierw zainwestować w rozwiązania chmurowe, a może w zabezpieczenie dostępu dla klientów, by nie mieć problemu z fraudami czy wyłudzeniami tożsamości? Im trudniejsza sytuacja, tym inwestycje powinny być bardziej intensywne, ale też znacznie lepiej przemyślane.

Na które zatem obszary IT banki powinny zwrócić szczególną uwagę, jeśli chodzi o modernizację i rozwój?

– Obsługa klienta to jeden z kosztowniejszych elementów działalności. Przyspieszenie cyfrowe, częściowo spowodowane pandemią, zmusiło banki do wdrażania systemów self service, jednak nie zawsze zostały one implementowane wystarczająco dobrze. Spodziewam się, że redukcja długu technologicznego czy bezpieczeństwo są tymi elementami, na które banki powinny zwrócić uwagę. Kolejny obszar to migracja w kierunku rozwiązań chmurowych, w tym refaktoryzacja pod kątem mikroserwisów, wreszcie wszelkie kwestie związane z dostępem do danych i zarządzaniem nimi, czyli przede wszystkim systemy oparte na sztucznej inteligencji. Systemy te na bazie wnioskowania są w stanie zaproponować ofertę klientowi, a algorytmy na podstawie zachowania użytkownika są w stanie stwierdzić, czy mamy do czynienia z klientem, czy ze złośliwym botem. To przykładowe obszary, na które warto zwracać uwagę w najbliższej przyszłości.

Na koniec zostawiłem pytanie kadrowe. Ostatnie lata wykazały, jak duże są braki w tej dziedzinie. Pojawiły się rozwiązania low code, outsourcujące część zadań IT na pracownika niewykwalifikowanego. Czy w najbliższych latach banki zdecydują się na rozbudowę albo edukację własnych grup specjalistów, a może jedynym rozwiązaniem jest pozyskiwanie specjalistów poza sektorem bankowym?

– Słyszałem opinie, że w związku z wprowadzeniem GPT-4 w 2030 r. w ogóle nie będzie potrzeba programistów. Podobne opinie słyszane były już w świecie IT, na przykład wprowadzenie rozwiązań low code miało być odpowiedzią na brak wykwalifikowanej kadry, ale mimo to od wielu lat zapotrzebowanie na informatyków niezmiennie rośnie. Coraz więcej obszarów gospodarki się cyfryzuje i przenosi do świata wirtualnego, w konsekwencji zapotrzebowanie na specjalistów zwiększa się właściwie od początku istnienia informatyki. Obecne zwolnienia w bigtechach amerykańskich to tylko korekta, wynikająca z przeszacowania zapotrzebowania na development, związany z przyspieszeniem cyfrowym w dobie pandemii, ale i tak zatrudnienie w bigtechach jest większe niż było przed COVID-19. W Polsce szacuje się, że brakuje ok. 50 tys. informatyków i to jest największa liczba od kilku lat, w całej UE mamy permanentny deficyt blisko 250 tys. informatyków. Oczywiście pojawiają się rozwiązania sztucznej inteligencji, które są w stanie pisać pojedyncze procedury, testy, a nawet całe gry, natomiast samo zaprojektowanie systemu architektury w kontekście danego przedsiębiorstwa, w tym banku i jego potrzeb, to nie jest rzecz, którą AI jest w stanie samodzielnie zrobić. To wymaga sporego doświadczenia, przenoszenia doświadczeń pomiędzy różnymi projektami i produktami. Budowa takich kompetencji wewnątrz organizacji to jest ta przewaga, jaką firmy informatyczne mają nad instytucjami finansowymi. Realizujemy projekty w różnych warunkach, dla różnych instytucji finansowych, jesteśmy w stanie przenosić doświadczenia pomiędzy projektami, a dodatkowo inwestujemy nawet kilkaset milionów złotych rocznie w budowę nowych wersji aplikacji. Gdyby każdy bank, czy firma ubezpieczeniowa musiały ponieść koszty budowania rozwiązania od podstaw, byłyby one nieporównywalnie większe niż wykorzystywanie frameworków czy produktów, które już zbudowaliśmy.

Źródło: Miesięcznik Finansowy BANK