Chmura obliczeniowa w sektorze finansowym

Migracja firm i instytucji do chmury trwa w najlepsze, już ponad 64% przedsiębiorstw w Polsce wykorzystuje tego typu rozwiązania, a kolejnych 26% planuje to w najbliższej przyszłości. Tymczasem chmura obliczeniowa w sektorze finansowym, choć nie jest nowością, wciąż pozostaje niewykorzystana w pełni swoich możliwości. Dlaczego tak się dzieje?   

Czym właściwie jest chmura? 

Według NIST (amerykański National Institute of Standards and Technology) chmura obliczeniowa to „model umożliwiający wszechobecny, wygodny, dostęp na żądanie do wspólnej puli konfigurowalnych zasobów obliczeniowych (np. sieci, serwerów, pamięci masowej, aplikacji i usług), które mogą być szybko dostarczane i udostępniane przy minimalnym wysiłku w zakresie zarządzania lub interakcji z dostawcą usług”. Dla instytucji finansowych, podlegającym różnym restrykcjom i regulacjom, zarówno na poziomie międzynarodowym, jak i krajowym, adopcja chmury nie była dotychczas łatwa.  

Według badania „Transformacja cyfrowa firm 2020”, przeprowadzonego przez EY Polska, większość polskich firm korzysta już w różnym zakresie z rozwiązań chmurowych. Najczęściej wskazywanymi zaletami są chęć poprawy komunikacji i współpracy zespołów (54%), obniżenie kosztów (34%) czy zwiększenie bezpieczeństwa danych (29%). Jednocześnie, badanie przeprowadzone przez PWC wśród firm z branży finansowe pokazuje, że aż 65% firm z tego sektora ocenia dojrzałość chmurową swojej instytucji jako niską.  

Tymczasem to właśnie dla firm finansowych, chmura oznaczać może wymierne korzyści. To nie tylko zwiększone bezpieczeństwo zasobów (tych, które regulacje pozwalają na umieszczenie w chmurze) i zwiększenie ich dostępności np. dla pracowników terenowych czy obniżenie kosztów dzięki automatyzacji. To także zwiększenie przewidywalności i odporności na nieprzewidywalne zdarzenia (jak katastrofy naturalne czy budowlane) oraz, co może z perspektywy finansowej najważniejsze, możliwość znacznego rozszerzenia pola działalności i łatwego budowania całego ekosystemu partnerów także dzięki rozwiązaniom typu Embedded Finance. 

Jednocześnie warto pamiętać, że branża ta jest jedną z najbardziej narażonych na cyberataki. Według jednego z raportów Związku Banków Polskich (ZBP) dotyczącego wpływu pandemii COVID-19 na bankowość w Polsce w II kwartale 2020 roku, liczba użytkowników aktywnie korzystających z bankowości elektronicznej przekroczyła łącznie 19 milionów.  To łakomy kąsek dla cyberprzestępców, w sektorze o tak rozwiniętych kanałach zdalnych dla klientów, będącego jednocześnie tak bardzo narażonym na zagrożenia – potrzebne i oczekiwane są więc odpowiednie wymagania i wytyczne ze strony organów regulujących. Poniżej omówimy pokrótce, jak sytuacja kształtuje się obecnie, na przykładzie rozwiązań w Polsce.  

Regulacje dotyczące chmury obliczeniowej w sektorze finansowym na przykładzie Polski 

Zasady, dotyczące chmury, określone są na poziomie Unii Europejskiej oraz przez regulatorów krajowych. Jednym z takich organów jest Komisja Nadzoru Finansowego (KNF), który nadzoruje sektor bankowy, rynek ubezpieczeniowy, kapitałowy i inwestycyjny; odpowiada także za regulowanie rynków związanych z płatnościami elektronicznymi, instytucją pieniądza elektronicznego czy kasami spółdzielczymi.  

Ten szeroki wachlarz obszarów podlegających kontroli KNF ma jasno zdefiniowane reguły działania - zarówno od warstwy biznesowej, ryzyka operacyjnego, jak i tych, dotyczących systemów informatycznych, realizacji projektów oraz bezpieczeństwa tych systemów. W ramach swoich uprawnień, regulator wydaje szereg rekomendacji, które ułatwić mają zapewnienie bezpiecznego wykorzystania chmury przez sektor  

Tego typu dokumentem jest tzw. Rekomendacja D, dotycząca „zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach”. Składa się ona z dwóch głównych części: listy rekomendacji oraz rozdziałów opisujących w sposób dokładny wdrożenie rekomendacji z przedstawionej listy. Dokument ma na celu wskazanie oczekiwań nadzoru, czyli przekazuje dobre praktyki jakich oczekuje organ nadzorujący instytucje finansowe. 

Główne założenia, płynące z rekomendacji, określają, że każdy z systemów bankowych i każda z instytucji w tym sektorze powinna posiadać sformalizowane procedury zarządzania systemami informatycznymi, współpracy z dostawcami, realizacji projektów informatycznych czy szczegółowo opisaną i udokumentowaną architekturę systemów. Rekomendacje także wskazują, że zasady bezpieczeństwa systemów powinny być opisane, systemy sklasyfikowane według ryzyka, a działanie w zakresie bezpieczeństwa informacji powinno być związane  
z identyfikacją zagrożeń, kontrolą, przeciwdziałaniem, monitorowaniem i raportowaniem ryzyka.  

Dopełnieniem całej listy rekomendacji jest ostatnia Rekomendacja 22, która wskazuje, że obszar technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego powinien być przedmiotem niezależnych systematycznych audytów – co w praktyce można rozumieć jako zlecanie przeprowadzania takich kontroli zewnętrznym firmom specjalizującym się w tym zagadnieniu. Banki i instytucje finansowe powinny więc posiadać własne polityki bezpieczeństwa i listy kontrolne dla prowadzonych wdrożeń i projektów IT. 

Referencyjny model wdrażania chmury w finansach 

Rekomendacje i wytyczne zawarte przez Komisję Nadzoru Finansowego pozwalają zarówno branży finansowej jak i dostawcom rozwiązań dla tego sektora usług w sposób ustrukturyzowany przeprowadzić ocenę ryzyka i klasyfikację wykorzystania i przetwarzanymi informacjami. Choć sama Rekomendacja D wydana została w 2013 roku, jej zalecenia zostały ponownie przeanalizowane, a na początku 2020 roku Urząd Komisji Nadzoru Finansowego opublikował specjalny komunikat, dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. UKNF wyróżnia w nim pięć podstawowych obszarów modelu referencyjnego, określając: 

• wytyczne stosowania,  
• wytyczne do klasyfikacji i oceny informacji, 
• wytyczne do szacowania ryzyka,  
• minimalne wymagania dla przetwarzania informacji w chmurze obliczeniowej, 
• zasady informowania UKNF o zamiarze przetwarzania lub przetwarzaniu informacji w chmurze obliczeniowej. 

Rozdział, opisujący wytyczne stosowania w sposób klarowny określa więc konieczność stosowania modelu referencyjnego; od etapu przygotowań poprzez realizację do momentu zakończenia przetwarzania informacji w chmurze obliczeniowej.  

To niezwykle istotne dla instytucji finansowych. Wytyczne te wymuszają wykonanie odpowiednich kroków, także przed rozpoczęciem realizacji samego projektu. Wymagania zawarte w komunikacie muszą być spełnione jeszcze przed rozpoczęciem przetwarzania informacji w chmurze obliczeniowej w środowisku produkcyjnym. Zwróćmy jednak uwagę, że komunikat nie dotyczy środowisk testowych i rozwojowych. Warto także zapoznać się z wymaganiami, w zależności od rodzaju wykorzystywanej chmury obliczeniowej, poszczególne rodzaje definiowane przez UKNF, znaleźć można w dokumencie. Ogólnie stwierdzić można, że według niego: 

• chmura obliczeniowa publiczna jest środowiskiem w posiadaniu lub bezpośrednio zarządzana przez dostawcę usług chmur obliczeniowej, 
• chmura obliczeniowa prywatna jest w posiadaniu lub bezpośrednio zarządzana przez podmiot nadzorowany (czyli instytucję finansową), 
• chmura hybrydowa to środowisko składające się z różnych rodzajów chmury obliczeniowej, które z wykorzystaniem odpowiednich technologii pozostaje wspólnie zintegrowane a czynności przetwarzania informacji zachodzą pomiędzy nimi.  

Bezpośrednie regulacje zawarte w komunikacie dotyczą jedynie środowisk chmury obliczeniowej publicznej oraz hybrydowej (w części publicznej). Powyższe wymaganie w sposób jasny wskazuje na konieczność opracowania do wdrożenia hybrydowego jasnej rozdzielności przechowywanych danych i sposobu ich przetwarzania już na pierwszym etapie trwania projektu.  

Zalety wdrożenia systemu w chmurze obliczeniowej 

Wdrożenie rozwiązania w chmurze obliczeniowej pozwala na: 

• łatwiejszą skalowalność rozwiązania – rozwiązania chmurowe pozwalają na skalowanie rozwiązań horyzontalnie i wertykalnie na żądanie bez rozbudowy własnej infrastruktury, 
• szybsze wdrażanie rozwiązań – dzięki dostępności wielu rozwiązań w modelach platform (PaaS), infrastruktury (IaaS) czy oprogramowania (SaaS) jako usługa, możliwa jest szybka integracja wielu elementów w jeden działający ekosystem - pozwalając tym samym na szybkie wdrożenie rozwiązania, 
• oszczędności związane z utrzymaniem własnej infrastruktury – korzystając z chmury organizacja nie ponosi kosztów dodatkowych związanych z utrzymaniem własnej infrastruktury, dedykowanych zespołów do monitorowania i zarządzania nią, wymiany sprzętu czy jego serwisowania, 
• elastyczne modele rozliczania – rozwiązania chmurowe umożliwiają rozliczanie się z rozwiązania zgodnie z użyciem, wykorzystaniem systemu, dzięki czemu organizacja może płacić za rozwiązanie zgodnie z faktycznym wykorzystaniem,  
• bezpieczeństwo danych – rozwiązania chmurowe dostarczają wysokiej klasy narzędzia, zapewniające bezpieczeństwo przechowywanym danym od szyfrowania i kluczy API, po gotowe rozwiązania klasy SIEM (łączone rozwiązania dotyczące bezpieczeństwa informacji i zdarzeń) pozwalające na dokładny monitoring incydentów zachodzących w systemie, będących potencjalnym zagrożeniem dla bezpieczeństwa.  

Gotowość Fintin do chmury obliczeniowej 

Fintin jest zaprojektowany z myślą o wdrożeniu w dowolnym wybranym środowisku zarówno on-premise, ale także w modelach hybrydowych oraz z wykorzystaniem chmury obliczeniowej. Dzięki elastycznej architekturze przygotowanej z myślą o spełnieniu stawianych wymagań regulacyjnych, doświadczeniu zespołu wdrożeniowego rozwiązanie jest gotowe do wdrażania zgodnego z wymaganiami KNF, spełniając najwyższe standardy bezpieczeństwa.