Z dużej chmury, mały deszcz, czyli chmura obliczeniowa w wytycznych EBA oraz KNF

Rozwój otoczenia finansowego jest ściśle powiązany ze zmianami technologicznymi. Technologia pozwala na automatyzację, personalizację oraz ograniczenie kosztów wykorzystania lokalnej infrastruktury do świadczenia określonych usług, jak i samej działalności operacyjnej. Przykładem takich rozwiązań, które niewątpliwie zmieniają sektor finansowy jest chmura obliczeniowa, która może częściowo „zastąpić” infrastrukturę IT w formule „on-site” i znacznie przyśpieszyć wykorzystywanie dużych zbiorów danych (Big Data) przy użycia chociażby uczenia maszynowego (Machine Learning). Wykorzystanie cloud computing w sektorze bankowym (i płatniczym) jest jednak obecnie dość ograniczone ze względu na wymogi regulacyjne stawiane przez ramy prawne oraz regulatorów. Pewne „rozluźnienie”, a przynajmniej większa pewność, pojawiło się wraz z wydaniem Wytycznych Europejskiego Urzędu Nadzoru Bankowego (EBA) w sprawie outsourcingu. Czytane razem z Komunikatem Komisji Nadzoru Finansowego (KNF) w sprawie chmury dają one wyraźne wskazówki dla banków i dostawców usług płatniczych, jak i dostawców usług chmurowych. Skupię się dzisiaj na elementach charakterystycznych dla chmury (zainteresowanych tematem outsourcingu zapraszam do tego artykułu). O samej chmurze i podstawowych wymaganiach pisałem również tutaj.

Problematykę wykorzystania cloud computing w sektorze bankowym i płatniczym regulują ww. dokumenty oraz oczywiście art. 6a-6e Prawa bankowego oraz art. 86-88 ustawy o usługach płatniczych. Istotna jest również rekomendacja D KNF, która jest już jednak nieco „wiekowa” i niekoniecznie dostosowana do nowych wyzwań technologicznych. Nie należy również zapominać o innych dokumentach, które mają znaczenie, tj. wytyczne EBA w sprawie ryzyk operacyjnych i bezpieczeństwa oraz wytyczne EBA w sprawie zarządzania wewnętrznego. Bardzo istotne jest również spełnienie warunków Rozporządzenia 2016/679 (RODO) oraz Rozporządzenia 2018/1807 (w sprawie danych nieosobowych). Dla pewnych kategorii podmiotów znaczenie będzie miała również ustawa o cyberbezpieczeństwie (operatorzy usług kluczowych) i projektowane rozporządzenie w sprawie wymagań organizacyjnych.

Czym jest chmura obliczeniowa i czym jest chmura dla sektora?

Generalnie jest to model przetwarzania danych oferowanych przez określonego usługodawcę. Wyróżnia się zasadniczo cztery modele przetwarzania w chmurze:

  1. Infrastructure as a Service (IaaS) – bank otrzymuje dostęp do całej infrastruktury (serwery, dyski twarde), którą zarządza wirtualnie. Opłaty ponoszone są zazwyczaj za całkowity koszt wykorzystania; przykładem może być AWS dostarczany przez Amazona;
  2. Platform as a Service (PaaS) – bank dostaje dostęp do platformy (na jego żądanie), która oferuje środowisko do tworzenia, testowania i zarządzania aplikacjami (można je wykorzystać np. do testowania nowego produktu). Dostęp odbywa się również wirtualnie; przykładem jest Microsoft Azure;
  3. Container as a Service (CaaS) – generalnie można stwierdzić, że jest to środowisko, w którym udostępniana jest infrastruktura, aplikacje oraz systemy komunikacji. Często wykorzystuje się CaaS do oferowania chatbotów czy zautomatyzowanych call-center;
  4. Software as a Service (SaaS) – usługodawca udostępnia jedynie “wtyczki” do aplikacji, która (wraz z bazą danych) jest przechowywana (i przetwarzana) na serwerach dostawcy usługi. Za pomocą SaaS można zarządzać np. sklepami internetowymi czy usługami marketingowymi.

Poza powyższym podziałem, chmurę obliczeniową dzielimy na:

  1. Publiczną – dostępną dla wszystkich i udostępniania przez sieć publiczną (nie nadaje się raczej do wykorzystania w bankowości ze względu na zwiększone ryzyko ataków hackerskich);
  2. Prywatną – która zlokalizowana jest w budynku (budynkach) usługobiorcy, np. banku. Umożliwia zastosowanie bardziej spersonalizowanych zabezpieczeń, w tym zapór sieciowych, a także skraca czas reakcji na ewentualne incydenty. Jest jednak bardziej kosztowna (najbardziej odpowiednia dla sektora bankowego/płatniczego);
  3. Hybrydową – łącząca funkcje chmury prywatnej i publicznej. Pozwala przykładowo na wyodrębnienie bardziej wrażliwych aspektów działalności w ramach chmury prywatnej oraz niezawierających danych osobowych (tajemnicy bankowej/zawodowej) w ramach chmury publicznej.

Jak widzi to KNF?

Z punktu widzenia KNF zawarcie umowy z dostawcą usług chmurowych musi być uzasadnione biznesowo. Bank powinien więc przeprowadzić analizę SWOT, która wykaże, czy zawarcie takiej umowy jest rzeczywiście konieczne, czy też możliwe są rozwiązania alternatywne. W ramach tej analizy wziąć pod uwagę należy szereg potencjalnych ryzyk związanych z (nie)możliwością szybkiego wdrożenia rozwiązań awaryjnych, np. na skutek „odcięcia” od usługi chmurowej. Podejmując się analizy podmiot zainteresowany powinien przeprowadzić dokładne rozeznanie w zakresie wymagań technicznych i regulacyjnych (inne wymagania stawiane będą dla danych osobowych, a inne dla nieosobowych).

Ponadto, ważne jest właściwe oszacowanie ryzyka, w szczególności operacyjnego i cyberbezpieczeństwa. Takie ogólne postanowienia znajdują się w polityce outsourcingu oraz wszelkich procedurach i politykach w zakresie zarządzania ryzykiem, ale KNF dodatkowo wymaga przygotowania szczególnego planu postępowania z ryzykiem związanym z wykorzystaniem cloud computing. Ma to oczywiście związek z bardzo specyficznym sposobem świadczenia usług chmurowych, które wymaga specjalnego „traktowania”. Warto dodać, że większość dostawców tego typu usług ma siedziby poza Europejskim Obszarem Gospodarczym, co ogranicza (a niekiedy uniemożliwia) efektywne zarządzanie ryzykiem. W ramach zarządzania ryzykiem znaczenie ma również odpowiednie „pokierowanie” regulacyjnym compliance (w zakresie wewnętrznym i zewnętrznym), a także odpowiednie określenie i monitorowanie zasad odpowiedzialności oraz eskalacji w ramach organizacji. No i nie zapominajmy o konieczności audytowania tego obszaru outsourcingu.

Dodatkowo KNF wymaga wielu specyficznych, często trudnych do wynegocjowania, zapisów w umowach z dostawcą usług chmurowych. Temu tematowi poświęcę jednak oddzielny artykuł, bo temat jest obszerny i niezwykle istotny.

Innymi ważnym elementami są kwestie dotyczące (nie jest to lista kompletna):

  1. Efektywnego nadzoru nad dostawcą (równie trudne do spełnienia);
  2. Poddania się dostawcy cloud’a nadzorowi i inspekcjom krajowego regulatora;
  3. Wdrażanie tzw. exit planów czy też
  4. Zatrudnienie odpowiednio przeszkolonego personelu oraz
  5. Zobowiązanie dostawcy usług chmurowych do niezwłocznego przekazywania informacji o incydentach.

A co na to EBA?

EBA zwraca uwagę przede wszystkim na konieczność ochrony danych osobowych (a ja pójdę dalej – tajemnicy bankowej/zawodowej). W sytuacji, w której podmiot zamierza powierzyć wykonywanie usług w zakresie IT lub przetwarzania danych, niezwykle istotne jest posiadanie odpowiednich planów ciągłości działania, tzw. Business Continuity Plan oraz planów wyjścia, tzw. Exit Plan. Dostawcy usług chmurowych powinny być zobligowani do stosowania wymagań RODO (szczególne znaczenie ma tutaj art. 28 i 30) lub przynajmniej równoważnych Rozporządzeniu 2016/679.

Unijny nadzorca podkreśla w swoich wytycznych na potencjalne ryzyka związane z wykorzystaniem usług chmurowych. Nawet pomimo zapewnienia odpowiednich rozwiązań w zakresie bezpieczeństwa i integralności danych, niezwykle istotne jest wdrożenie procesów, które pozwolą na „śledzenie” aktywności w zakresie powierzonych usług (oraz ich audytowania w aspekcie technologiczno-regulacyjnym).

Dodatkowo, na co zwracałem już uwagę, wielu dostawców zlokalizowanych jest poza Europejskim Obszarem Gospodarczym, co może utrudniać sprawowanie efektywnej kontroli nad powierzonymi danymi (w szczególności biometrycznymi). Z tego względu tak ważne jest, aby zapewnić odpowiednie uprawnienia po stronie instytucji, jak i organu nadzoru, co do możliwości przeprowadzania inspekcji oraz prawa żądania danych dotyczących wykorzystania i przetwarzania danych.

Dodatkowe wymogi

W aspekcie bardziej specyficznych wymogów (względem „klasycznego” outsourcingu) warto wskazać na:

  1. Konieczność uwzględnienia w rejestrze umów outsourcingowych informacji odnośnie stosowanych modeli cloud computing (publiczna/prywatna/hybrydowa), specyfiki danych oraz lokalizacji przechowywanych danych;
  2. Określenie specyficznych wymogów technicznych oraz regulacyjnych dla przetwarzania danych w chmurze obliczeniowej;
  3. Stosowanie risk-based approach (art. 35 Rozporządzenia 2016/679) do przetwarzania danych osobowych;
  4. Zapewnienie odpowiedniego poziomu wiedzy i doświadczenia audytorów (wewnętrznych i zewnętrznych) odpowiedzialnych za cloud computing;
  5. Uwzględnienie szczególnego rodzaju ryzyk związanych z przetwarzaniem w chmurze w odpowiednich politykach i procedurach;
  6. Po stronie nadzorczej – konieczność posiadania odpowiedniego memorandum o współpracy pomiędzy regulatorem instytucji oraz regulatorem dostawcy usługi chmurowej (nie tylko w kontekście nadzoru finansowego, ale przede wszystkim w zakresie ochrony danych osobowych);
  7. Po stronie regulacyjnej – dla dostawców z siedzibą poza EOG – dokonanie analizy równoważności środowiska regulacyjnego, tj. czy odpowiada ono standardom unijnym.

Należy zwrócić uwagę na jeszcze jeden aspekt. Dodatkowe wymogi będą pojawiały się w przypadku outsourcingu w ramach cloud computing funkcji operacyjnych o charakterze istotnym. W takiej sytuacji po stronie banku/dostawcy usług płatniczych pojawią się jeszcze bardziej surowe wymagania.

Jak więc „poradzić” sobie z wymogami regulacyjnymi?

To bardzo trudne pytanie, na które jeszcze trudniej odpowiedzieć. Obecnie KNF pracuje nad modelem referencyjnym dla sektora bankowego. Trudności jakie pojawiają się najczęściej w przypadku dostawców spoza Europejskiego Obszaru Gospodarczego, co wynika z niechęci do poddawania się tych dostawców nadzorowi innych regulatorów, jak i stosowaniem praktycznie nienegocjowalnych umów (na zasadzie take it or leave it), co spowalnia proces migracji nawet części działalności operacyjnej banków do chmury. Wiele zależeć będzie też od podejścia regulatora i jego ewentualnej elastyczności. Trudno jednak oczekiwać wielkiej rewolucji, gdy chodzi o wrażliwe dane klientów. Może z pomocą przyjdzie chmura krajowa?

 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *