Żadna instytucja finansowa nie uniknie przejścia do chmury

Robert Lidke: Mamy nowy komunikat Komisji Nadzoru Finansowego dotyczący chmury obliczeniowej. Poprzedni był ogłoszony trzy lata temu. Czym się różnią oba komunikaty?

Marcin Maruta: Różnią się zasadniczo, i w szczegółach, i w podejściu. Jeśli chodzi o podejście, to przede wszystkim nowy komunikat KNF jest oparty na bardzo widocznej zasadzie ryzyka i proporcjonalności środków dla analizy ryzyka. Jest to fundamentalna zmiana, która teraz bardzo ostro wybrzmiała, i która pokazuje, że obowiązkiem instytucji nadzorowanej jest przygotowanie się wewnętrzne do migracji chmurowej.

Musi ona odpowiednio ocenić zarówno procesy, które chce umieścić w chmurze, jak i dane które mają tam trafić, i zastosować odpowiednie środki. W praktyce oznacza to dużą racjonalizację. Będziemy mogli unikać wykonywania czynności tak naprawdę zbędnych, a tylko formalnie wymaganych przez KNF, tak było w 2017 roku.

Z drugiej strony będziemy musieli mieć dogłębny, naprawdę dobry namysł nad tym, co my od tej chmury chcemy i gdzie są ryzyka.

Czyli teraz to od danego podmiotu zależy w jaki sposób chce wprowadzać rozwiązania chmurowe. Poprzednio należało wykonać określoną liczbę działań przewidzianych w komunikacie KNF. Teraz KNF będzie sprawdzać sposób wprowadzenia rozwiązań. I ta ocena jest ryzykiem podmiotu.

− To ryzyko było zawsze, i jest to ryzyko zupełnie innej kategorii. Do tej pory mogliśmy formalnie spełnić wymagania, co prawda było ich sto kilkadziesiąt, ale jak je spełniliśmy, to teoretycznie w dużej mierze mogliśmy uważać, że jesteśmy bezpieczni.

A teraz przede wszystkim będzie oceniany nasz model. Ale ten model nie jest w żaden sposób weryfikowany formalnie. To jest po prostu udowodnienie, że jest to dobry model, np. kryptograficzny.

I teraz bez wątpienia instytucja nadzorowana musi być wewnętrznie gotowa i musi móc wewnętrznie odpowiedzieć na szereg pytań typu: jak zarządziliście ryzykiem? Jakie alternatywy widzieliście, żeby móc sprawnie przejść potencjalny proces nadzoru, kontroli, wyjaśnień w stosunku do KNF.

Czytaj także: Jak rozumieć komunikat KNF w sprawie chmury obliczeniowej?

Czy jest to większy problem dla dużych banków, firm ubezpieczeniowych czy dla mniejszych podmiotów?

− Duże instytucje są z jednej strony lepiej przygotowane infrastrukturalnie, w sensie zasobów, wiedzy, doświadczenia, działów IT. Ale z drugiej strony myślą one o poważniejszych przedsięwzięciach w chmurze. W związku z czym ich analiza ryzyka będzie bardziej restrykcyjna.

Z małymi podmiotami mamy dwa problemy. Pierwszy dotyczy tego, czy potrafią one zrobić profesjonalne podejście, co zależy oczywiście od zasobów, jakie mają.  Jednak ciekawszym problemem jest to, że wiele podmiotów nie zorientowało się jeszcze, że albo jest w chmurze, albo że podlega tym regulacjom. To np. agenci ubezpieczeniowi. Czyli mamy takie fragmenty życia biznesowego, które faktycznie funkcjonują gdzieś „obok” tego komunikatu KNF, co jest nie do utrzymania. Te podmioty będą musiały się dostosować do nowych regulacji.

Czy mała lub średnia firma może „zapomnieć” o tym, że istnieje chmura obliczeniowa i funkcjonować dalej według starych zasad? Jakie jest ryzyko?

− Jako prawnik – nie mam pojęcia. Jako osoba zajmująca się prawem i technologiami – nie wierzę w to, z wielu powodów. Ponieważ dla mniejszych firm chmura to będzie jedyna możliwość długofalowego zapewnienia cyberbezpieczeństwa na odpowiednim poziomie.

Z kolei dla dużych, średnich firm coraz większa oferta rozwiązań biznesowych jest tylko rozwiązaniami chmurowymi. Dlatego absolutnie nie wierzę w taki model, gdy możemy powiedzieć, że chmura nas nie interesuje, nawet w perspektywie najbliższych kilku lat, nie mówiąc o strategii dziesięcioletniej. Po prostu część aktywności będzie tylko w chmurze.

O ile wyobrażam sobie, że kupimy dużo serwerów i wydajnościowo opanujemy ten problem w ramach instytucji, to ze względu na nowoczesne rozwiązania typu scoring, profilowanie i miliard innych rzeczy, które instytucje finansowe będą musiały w nowoczesnym świecie robić, większość z nich będzie dostępna tylko w chmurze. Dlatego chmury nie unikniemy.

Czytaj także: Co zmienia komunikat KNF w sprawie chmury obliczeniowej?

Na horyzoncie mamy fintechy, mamy PSD2. Wspomniane fintechy rozpoczęły swoje życie w świecie cyfrowym − a teraz zaczynają konkurować z sektorem finansowym, z bankami. I to też jest zagrożenie.

− Jest to zagrożenie dla sektora. Faktycznie wiele z tych instytucji „urodziło się” w chmurze. Wiele z nich nie podlega tak ostremu nadzorowi jak banki i w związku z tym tu jest pewna nierównowaga, że chociażby przez PSD2 mogą współdzielić pewne informacje, jedni i drudzy.

Natomiast bez wątpienia ten świat technologiczny, który „dotyka” finansów, ma dzisiaj prościej.

Ale im głębiej będzie wchodził w świadczenie usług związanych z finansami, tym bardziej będzie podlegał nadzorowi. Jednak na pewno w tej chwili jest tam cień nierównowagi.

Więcej informacji na temat dyrektywy PSD2>>>

Komunikat KNF jest skierowany do firm sektora finansowego. Ale też firmy z innych sektorów, np. energetycznego są zainteresowane tym komunikatem KNF i starają się go wykorzystać w swojej działalności.

− Komunikat KNF, poprzez podejście oparte na ryzyku, zawiera dużo mądrości analitycznej. Pokazuje on pewną drogę postępowania, proces oceny, analizy.

I pomijając pewne wymogi wynikające z przepisów stricte sektorowych, np. nieograniczonej odpowiedzialności w przypadku banków, to zasadniczo jest to absolutnie do przeszczepienia np. do sektora medycznego, energetycznego, do każdego sektora, który myśli o usystematyzowanym podejściu do ryzyka chmurowego. Dlatego jest to dość uniwersalny komunikat.

Czytaj także: Chmura obliczeniowa w 2020 roku: Internet Rzeczy i sztuczna inteligencja zwiększą poziom zaawansowania cyberataków