Technologie: Odmiejscowienie usług informatycznych

Zagadnieniom tym poświęcono jedną z debat eksperckich – „Odmiejscowienie usług informatycznych źródłem oszczędności i metodą wsparcia procesów biznesowych w banku” – podczas dorocznej konferencji „IT@BANK 2011”. W debacie uczestniczyli: Jacek Więcki, dyrektor Departamentu Wsparcia Użytkownika (Pion Eksploatacji i Infrastruktury) – Bank PKO BP; Robert Ratajczak prezes zarządu Centrum Operacyjnego Sp. z o.o.; Piotr Polka, dyrektor zarządzający Pionu Informatyki Banku Pocztowego; Andrzej Boczar, zastępca dyrektora Departament Eksploatacji Systemów BIK S.A.; Robert Midura, dyrektor zarządzający, Alior Bank; Grzegorz Szczepański, p.o. dyrektora Biura Informatyki IPN; Krzysztof Klimczak, członek zarządu Toyota Banku Polska; dyrektor Pionu Wsparcia Biznesu i Procesów; Maciej Gawroński, radca prawny, partner Bird&Bird LLP, partner zarządzający Bird & Bird Maciej Gawroński sp.k.; dr inż. Janusz Zawiła- -Niedźwiecki z Zakładu Informatyki Gospodarczej Wydziału Zarządzania Politechniki Warszawskiej; Tomasz Wesołowski i Mariusz Sowiński z Centrum Outsourcingu Informatyki Instytucji Finansowych w firmie Bazy i Systemy Bankowe Sp. z o.o. oraz Tomasz Jaworski z Data Center Transformation Hewlett-Packard Polska. Debatę moderował Bohdan Szafrański z „Miesięcznika Finansowego BANK”.

Bohdan Szafrański: Czy odmiejscowienie usług informatycznych to dziś dostępna realnie oferta dla banków?

Mariusz Sowiński: W BSB już od kwietnia 2011 r. realizujemy nową strategię biznesową. W outsourcingu szczególny nacisk kładziemy na rozwój usług cloudowych. Jest to trend modny na świecie, choć nie tak nowy, jak by mogło się wydawać. Usługi tego rodzaju były świadczone już w latach 60. ub.w. Nie było tylko technologii dostępowej, takiej jak obecnie, czyli internetu, przez który usługobiorcy łączą się z centrami obliczeniowymi. Usługi oferujemy, wykorzystując HP Cloud System Matrix, na którym zbudowaliśmy pierwszą prywatną chmurę obliczeniową dedykowaną dla sektora finansowego w kraju.

Bohdan Szafrański: Czy – biorąc pod uwagę wymagania stawiane przez instytucje finansowe – przetwarzanie w chmurze jest bezpieczne?

Maciej Gawroński: Wymaga się, aby outsourcing, czyli wydzielenie na zewnątrz jakichś procesów lub czynności w bankowości, był bezpieczny. To zaś zakłada poufność, niezmienność, dostępność oraz rozliczalność informacji. To, co jest obecnie w prawie polskim elementem trudnym, to kwestia odpowiedzialności. Tam, gdzie wydziela się na zewnątrz czynności, bez których nie mógłby funkcjonować bank – tam jest zakaz ograniczania odpowiedzialności. Chodzi o to, by minimalizować ryzyko. W tym celu trzeba wiedzieć, jakie ma się ryzyko, trzeba je monitorować i minimalizować, a wydzielenie czynności na zewnątrz nie powinno go zwiększać. Powinniśmy mierzyć własne ryzyko wewnętrzne – zgodnie z aktualnymi wymaganiami regulacyjnymi w bankowości. Jak to stosuje się do cloud computingu? W przetwarzaniu w chmurze nie ma w zasadzie nic prawnie nowego. Jest to tylko nowy model biznesowy.

Mariusz Sowiński: Chciałbym dodać, że nowe uregulowania prawne poszerzają katalog usług, które bank może oddać na zewnątrz. Zmniejszono wymogi administracyjne związane ze zgłaszaniem do KNF każdej umowy outsourcingowej. Bankom będzie łatwiej odciążyć się od ciężkich procesów back office.

Bohdan Szafrański: Jak w praktyce możliwość przetwarzania w chmurze widzą dzisiaj banki?

Jacek Więcki: Aspekt bezpieczeństwa jest dla nas najbardziej istotny i leży on w dużej mierze po stronie banku. Bank odpowiada za dane i nie jest to tylko kwestia tego, że dostaniemy zapewnienie od dostawcy usług o tym, że rozwiązanie jest bezpieczne. Wchodzą tu wymogi prawne i w szczególności odpowiedzialność prawna zawsze leżąca po stronie banku w stosunku do klienta. W praktyce Główny Inspektor Danych Osobowych, w ramach obowiązujących regulacji, wymaga, by podać, gdzie zbiór danych fizycznie się znajduje. W przypadku umieszczenia ich w cloudzie chodzi o ich umiejscowienie w danym czasie, a ośrodki obliczeniowe przełączają się pomiędzy różnymi miastami, państwami itp. W praktyce lokalizacja nie jest możliwa do jednoznacznego zdefiniowania w sensie oczekiwanym przez wspomniane regulacje. Moim zdaniem przepisy nie są tu jednoznaczne i wymagają weryfikacji pod kątem możliwości ich zaadoptowania dla nowo powstających technologii.

Maciej Gawroński: Według mojej wiedzy o interpretacji przepisów przez GIODO umiejscowienie ośrodka, w którym dane przebywają, jest wystarczające. Ścisła lokalizacja danych w danym momencie jest mniej istotna. Nasz GIODO co do zasady dopuszcza cloud, a to znaczy, że już aktualna polska regulacja nie wyklucza możliwości przetwarzania danych w tzw. chmurze.

Piotr Polka: Przetwarzanie w chmurze niekoniecznie musi się wiązać z czymś, co jest zupełnie odmiejscowione. Chmura może być w określonej lokalizacji – i w tym rozumieniu wiadomo, gdzie są te dane. W jakim budynku i na jakich konkretnych serwerach. Jestem zwolennikiem oddawania ciężkich procesów poza bank, ale problem widzę gdzie indziej. Co się stanie, jeśli będę chciał wybrać inną firmę świadczącą usługi? Jest to problem z migracją i integracją danych, jeśli część z nich mam u siebie, a część u innego partnera. Tu pojawia się problem techniczny i technologiczny. Dlatego moim zdaniem ważniejszym problemem jest wyjście z chmury, a nie samo do niej wejście.

Mariusz Sowiński: Z punktu widzenia technologicznego, każda migracja i rozwiązanie problemów integracji systemów informatycznych przetwarzanych w chmurze z innymi jest technicznie do zrealizowania. Myślę, że jest to tylko kwestia dobrej umowy outsourcingowej.

Maciej Gawroński: Ten, kto wydziela proces (banku), oczekuje, że partner nie tylko będzie polegał na umowie, ale będzie w realny sposób monitorował jej ryzyko i wykonanie. Narzędziem do tego jest sama umowa i regulacje prawne. Istotne jest tu oczywiście ustalenie szczegółów. Np. procedura wyjścia wymaga kooperacji kogoś, z kim się właśnie rozstajemy. Uwaga z innej perspektywy – warto wydzielać na zewnątrz rzeczy generyczne i nie marnować zasobów na coś, co można dostać na rynku z różnych źródeł, ale te procesy, które budują naszą przewagę konkurencyjną warto zatrzymać dla siebie.

Tomasz Jaworski: Jeśli chodzi o wejście i wyjście z chmury, to technologia jest gotowa od lat. W 1974 r. Goldberg i Popek napisali artykuł, w którym określili wymagania teoretyczne. Pojawiły się rozwiązania (w latach 70. na platformie mainframe, w latach 90. na popularnej platformie x86), które odmiejscowienie środowisk informatycznych umożliwiają. Jesteśmy obecnie na takim etapie rozwoju, na jakim dwa wieki wcześniej znajdowało się wytwarzanie prądu – czyli brakowało regulatora.

Andrzej Boczar: Dla mnie cloud dzisiaj jest też odwzorowaniem okresów rozwoju energetyki. Najpierw były prywatne elektrownie, potem zaczęto budować ...