środa, Kwiecień 24

Bankowość w chmurze? Co zrobić, aby zacząć działać w wirtualnym środowisku?

Google+ Pinterest LinkedIn Tumblr +

Postęp wymusza zmiany. Z kolei zmiany są naturalnym bodźcem do stosowania bardziej elastycznego podejścia, nawet w tak uregulowanej działalności jako bankowość. Otoczenie prawne niekiedy nie nadąża za postępem technologicznym i zmieniającymi się oczekiwaniami rynków. Jednym z takich obszarów, które mogą wpłynąć pozytywnie na dalszy rozwój sektora jest możliwość przenoszenia części działalności operacyjnej do chmur obliczeniowej (cloud computing).  Takie rozwiązanie pozwalające istotnie ograniczyć koszty powoli staje się pewnym standardem, np. HSBC współpracuje z Google przy wdrażaniu systemu AML, ale również Citi Group. W Polsce nadal czekamy na przepisy, które zliberalizują dostęp do chmur (zgodnie z informacją przekazaną przez UKNF po pierwszym spotkaniu Międzyresortowej Grupy Roboczej ds. Fintech), co pozwoli na szersze zastosowanie technologii w działalności banków. Jak więc wygląda otoczenie regulacyjne dla usługi cloud computing i gdzie można poszukiwać pewnych rozwiązań, które mogą do tego się przyczynić?

Stosowanie cloud computing w bankowości nie jest obecnie uregulowane. Duże znaczenie mają jednak przepisy dotyczące outsourcingu bankowego, które znajdują się w prawie bankowym (w szczególności art. 6a i następne) oraz komunikat UKNF z 23 października 2017 r. Nie bez znaczenia pozostaje również rekomendacja D z 2013 r., chociaż wydaje się ona nieco outdated.

Czym jest chmura obliczeniowa?

To sposób na przetwarzanie danych w oparciu o usługę dostarczaną przez zewnętrznego dostawcę, np. Amazon (w ramach usługi AWS) czy Google. Takie rozwiązanie pozwala ograniczyć koszty poprzez rezygnację (lub częściową rezygnację) z utrzymywania własnej infrastruktury IT i/lub zakupu znaczącej liczby licencji na oprogramowanie. Podmiot, który decyduje się na powierzenie świadczenia usług cloudowych nadal pozostaje właścicielem danych, jednakże ich przetwarzanie jest przekazane „na zewnątrz”.

Zasadniczo wyróżnia się trzy rodzaje chmury obliczeniowej: (i) prywatne; (ii) publiczne oraz (iii) hybrydowe.

Czy banki mogą stosować chmurę?

Mogą, ale dyskusyjne jest to czy w obecnym stanie prawnym jest to opłacalne? Wymogi w zakresie outsourcingu są spore i wymagające dużego zaangażowania kosztowego i operacyjnego. W przypadku wykorzystania cloud computing jest to uzasadniane m.in. koniecznością ochroną danych szczególnie chronionych, jak np. obowiązkiem utrzymania tajemnicy bankowej, szczególnie wobec faktu, że większość dostawców chmurowych ma swoje siedziby poza strefą EOG, co może utrudniać dochodzenie roszczeń i sprawowawnie faktycznego nadzoru nad taką działalnością.

Powoduje to, że instytucja, która zdecyduje się na skorzystanie z rozwiązania w chmurze obliczeniowej, musi przeprowadzić bardzo dokładny due diligence, aby uniknąć ewentualnych negatywnych konsekwencji ze strony nadzoru. Wskazuje na to również sam regulator. Ważne jest, aby taka analiza obejmowała również sprawdzenie stanu prawnego obejmującego ochronę informacji wrażliwych (na wzór tzw. confidentiality assessments, które są prowadzone przez unijnych nadzorców w stosunku do regulatorów z państw trzecich).

Czy mi się to opłaca?

No właśnie. Pierwszą czynnością przed podjęciem decyzji o skorzystaniu z usługi chmurowej powinno być przeprowadzenie analizy SWOT, która to analiza powinna być bardzo szczegółowa i powinna uwzględniać m.in. potencjalne negatywne scenariusze związane z dostawcą, jak jego upadłość czy regulacyjne zmiany. W jej ramach należy również wziąć pod uwagę inne opcje, które są dostępne na rynku, w tym porównać koszty zastosowania każdego z tych rozwiązań.

Bardzo istotne jest również sprawdzenie wymogów w zakresie bezpieczeństwa i wspomnianej już wcześniej ochrony danych wrażliwych (w tym „na przyszłość”). Nie bez znaczenia pozostają również kwestie dostępu do wsparcia technicznego, które może mieć szczególne znaczenie w przypadku awarii usługi (w tym czy takie rozwiązanie jest dostępne 24h/7 dni w tygodniu – zwłaszcza, gdy dostawca znajduje się po drugiej stronie globu).

Dokumentacja biznesowa i techniczna

Bank musi posiadać bardzo szczegółową wiedzę techniczną z zakresu funkcjonowania usługi chmurowej. Konieczne jest również opracowanie dokładnej specyfikacji technicznej i biznesowej, w której określone zostaną m.in. rodzaje informacji, które będą przedmiotem przetwarzania. Nie mniej istotne jest również określenie funkcji, ról i odpowiedzialności za poszczególne elementy usługi. Jest to szczególnie istotne w kontekście ryzyk, które mogą pojawić się w związku z korzystaniem z chmury, np. ryzyko cyberataku czy awarii serwerów.

Dokumentacja przygotowana przez bank powinna być bardzo szczegółowa i powinna uwzględniać specyfikę danego dostawcy rozwiązania chmurowego, jak i zakres oraz przedmiot powierzanych czynności. Istotne jest tutaj zaangażowanie komórki ds. Compliance, która może sprawować nadzór nad spełnieniem odpowiednich wymogów regulacyjnych.

Zarządzanie ryzykiem bardzo istotne

Podstawowym zadaniem banku przed powierzeniem jakichkolwiek czynności, może za wyjątkiem tych naprawdę podstawowych, jest właściwa ocena ryzyka. W przypadku rozwiązań chmurowych potencjalnych ryzyk jest dużo. Z tego względu przed wdrożeniem bank powinien przeprowadzić identyfikację, analizę i ocenę ryzyk, które mogą zaistnieć.

Taka analiza powinna uwzględniać szereg czynników, w tym m.in. ograniczenia związane z położeniem geograficznym dostawcy, realne możliwości sprawowania nadzoru nad dostawcą czy kwestie dotyczące retencji danych.

Bank musi również uwzględnić te ryzyka w swojej polityce zgodności, outsourcingu czy polityce zarządzania ryzykiem, a także wszelkich procedurach i innych dokumentach wewnętrznych, w tym regulaminach organizacyjnych. Jest to o tyle istotne, że pomimo powierzenia dostawcy pewnych czynności odpowiedzialność za ewentualne naruszenia pozostają po stronie instytucji. W ramach zarządzania ryzykiem bank powinien przeprowadzać regularne audyty, a także – o ile to możliwe i konieczne – on-site inspections. Ważne jest również stworzenie odpowiednich mechanizmów raportowania ryzyk i reagowania na te ryzyka.

Największa bolączka – umowa z dostawcą

Umowa z dostawcą rozwiązań chmurowych musi zapewniać możliwość sprawowania kontroli nad działaniami dostawcy. Basta. Nie ma odstępstwa. Efektywna kontrola jest niezbędna dla zapewnienia bezpieczeństwa ciągłości świadczenia usług przez bank, a także zabezpieczenia danych wrażliwych. Komunikat KNF wymienia szereg kwestii, które w takiej umowie powinny się znaleźć i trzeba przyznać, że ten katalog jest imponujący.

Mamy tutaj postanowienia dotyczące odpowiedzialności dostawcy (w tym kary umowne etc.), obowiązkowego raportowania czy zasad wymiany i ochrony informacji, a także sposób komunikacji.

W praktyce negocjowanie umów z dostawcami cloud computing jest bardzo trudne. Wiele z tych umów, to umowy „adhezyjne”, które są narzucane przez dostawcę. Ma to oczywiście związek z ryzykiem jakie niesie ze sobą przetwarzanie danych wrażliwych. Jeżeli jednak bank, w obecnym stanie prawnym, zamierza skorzystać z cloud computing, to musi wynegocjować odpowiednie zapisy. Nierzadko spotka się jednak ze „scianą”. UKNF wydaje się w tym aspekcie nieprzejednany. Bezpieczeństwo przede wszystkim. Na pewne odstępstwa regulator pewnie mógłby pójść, o ile dostawca rozwiązań chmurowych zlokalizowanych byłby w w EOG. Gorzej z państwami trzecimi.

Na marginesie należy wskazać, że taka umowa powinna również zawierać tzw. exit plan, czyli sposób zapewnienia ciągłości usługi po rezygnacji ze współpracy pomiędzy podmiotami, a także wykaz wszystkich usług i zakresu danych wykorzystywanych do realizacji usługi. Nie bez znaczenia jest również przekazanie informacji odnośnie polityk i procedur, które powinny być stosowane przez dostawcę (o ile się na to zgodzi).

Kontrola dostawcy

O ile w przypadku klasycznego outsourcingu kontrola nad działaniami dostawcy jest stosunkowo prosta, to w przypadku rozwiązań chmurowych może być to trudniejsze. Sprowadzać się będzie to de facto analizy czy dane są w odpowiedni sposób przechowywane, czy zapewniona jest ciągłość usługi oraz czy podmioty trzecie nie mają dostępu do danych wrażliwych. Kontroli podlegać mogą również stosowane rozwiązania w zakresie bezpieczeństwa.

W kontekście efektywności usługi ważne jest wyznaczenie odpowiednich KPI, które będą stanowiły wartość referencyjną i podlegały będą odpowiedniej ocenie. Nie mniej istotne jest również monitorowanie dostępu do supportu technicznego. To oczywiście pewne uproszczenie, ale niewątpliwie są to najbardziej istotne obszary.

Co można zmienić?

Obecnie obowiązujący stan prawny uwzględniający podejście UKNF sugeruje, że zastosowanie rozwiązań typu cloud computing może być szczególnie utrudnione. Niewielkie możliwości negocjacyjne z dostawcami powoduje, że niewiele instytucji decyduje się na skorzystanie z tego typu rozwiązań i w dalszym ciągu utrzymuje kosztowną infrastrukturę IT. Faktem jednak jest, że pewne ograniczenia związane z możliwością sprawowania efektywnej kontroli w państwach trzecich istnieją i UKNF słusznie może mieć obawy.

Z drugiej strony rozwój rynków finansowych i świadomości konsumentów, a także financial inclusion, które nabierze rozpędu wraz z rozwojem otwarte bankowości, powoduje że banki muszą szukać sposobów na ograniczenie kosztów i zwiększenie efektywności, a cloud computing może niewątpliwie w tym pomóc.

Z zadowoleniem przyjąłem informację odnośnie planów zliberalizowania przepisów w tym zakresie, choć projekt nie jest ogólnodostępny, więc trudno dokonać oceny. Wydaje się jednak, że konieczne jest uwzględnienie specyfiki umów zawieranych z dostawcami rozwiązań chmurowych, w tym w zakresie odpowiedzialności i możliwości sprawowania kontroli przez instytucję czy regulatora. Nowe przepisy powinny również uprościć sposób przeprowadzania analizy SWOT, a także zmniejszyć wymogi w zakresie kosztownego i długiego due diligence prawnego (można np. stworzyć listę „zaufanych” partnerów – państw, a może nawet samych dostawców). Ustawodawca projektując nowe przepisy powinien uwzględnić specyfikę usługi chmurowej i ograniczone możliwości sprawowania efektywnej kontroli przez Bank, która często ogranicza się do wględu do systemu. Czas pokaże w którym kierunku pójdziemy. Faktem jest, że w zakresie wykorzystania chmury w sektorze bankowym nadal jesteśmy w tyle. Czas to zmienić.

Udostępnij.

Zostaw komentarz