Przewodniczący KNF Jacek Jastrzębski
INFRASTRUKTURA INNOWACJE

Sektor finansowy zmierza do chmury. Nadzorca pomoże zrobić to bezpiecznie

Rozmowa z Jackiem Jastrzębskim, Przewodniczącym Komisji Nadzoru Finansowego, w której podejmujemy temat wizji i planowanych przez Urząd działań w zakresie wsparcia sektora finansowego w bezpiecznym korzystaniu z publicznej chmury obliczeniowej.

Sektor finansowy, szczególnie bankowy, w Polsce uchodzi za jeden z najbardziej otwartych na innowacje, z powodzeniem wprowadzając rozwiązania bankowości mobilnej czy płatności zbliżeniowych szybciej i efektywniej niż to ma miejsce na rynkach dojrzałych, otwiera się też na współpracę ze startupami Fintech. Jedynym wyłomem w tym wizerunku jest awersja sektora bankowego do korzystania z usług chmury publicznej. Owszem, adopcja usług chmurowych przez banki na rynkach rozwiniętych również postępuje wolno i z ostrożnością, niemniej tamtejsze instytucje są jednak bardziej zaawansowane w testowaniu różnych podejść i wdrażaniu PoC (Proof-of-Concept). Stymulująca rola nadzorcy (UKNF) może być tutaj kluczowa, korzyści dla instytucji z wykorzystania chmury publicznej leżą nie tylko w sferze kosztów ale przede wszystkim innowacyjnych modeli biznesowych, zdolności do szybszej adaptacji i integracji z rozwiązaniami np. startupów. Banki nie skorzystają z fintechowej (r)ewolucji trzymając się z dala od chmury.

Panie Przewodniczący, podczas niedawnego Kongresu Prawa Bankowego i Technologii Finansowych stwierdził Pan, że polski sektor bankowy jest pod wieloma względami bardzo zaawansowany technologicznie, jednak ten obraz nie dotyczy wykorzystania chmury obliczeniowej, gdzie odstajemy od innych rozwiniętych rynków. Jakie są Pana zdaniem przyczyny tego rozdźwięku?

Jacek Jastrzębski, Przewodniczący KNF: – Banki muszą dbać w sposób szczególny o bezpieczeństwo danych swoich klientów i właśnie to jest głównym zagadnieniem podnoszonym przy wdrażaniu chmury. Sektor bankowy musi zmierzyć się z przeniesieniem danych przetwarzanych wewnątrz banku z wykorzystaniem odpowiednio zabezpieczonych sieci do innego podmiotu, ze szczególnym uwzględnieniem przepisów prawa obowiązującego dla tego sektora usług finansowych.

Czy polski sektor finansowy Pana zdaniem straci, w stosunku do państw-liderów, na ostrożnym podejściu do chmury? Czy może ta ostrożność jest wyrazem odpowiedzialnego podejścia do zarządzania ryzykiem i pozwoli uniknąć błędów prekursorów?

– W chwili obecnej systemy bankowe są zbudowane w architekturze „on-premises”. Jednak w sytuacji banków, które wprowadzając na rynek nowe usługi lub modyfikując obecne (w szczególności wytwarzając aplikacje w architekturze mikroserwisów) taka różnica może okazać się zauważalna. Odpowiedzialne podejście do zarządzania ryzykiem to element fundamentalny, jednak nie może być jedynym, branym pod uwagę przy ocenie tego typu rozwiązań.

Zapowiedział Pan utworzenie stanowiska doradcy do spraw bezpieczeństwa danych w chmurze. Dla wielu obserwatorów jest to czytelny sygnał dla rynku, że sektor finansowy nie powinien już zastanawiać się „czy” korzystać z chmury, ale „jak” z niej korzystać. Czy zgadza się Pan z tą opinią?

– Nad tym właśnie będziemy w najbliższym czasie pracować. Naszym celem jest przygotowanie takiego materiału, który pozwoli sektorowi zrobić krok naprzód w obszarze przenoszenia wybranych procesów do chmury obliczeniowej.

Czy powstanie Operatora Chmury Krajowej i zaangażowanie PKO BP tak w jego powstanie jak również w roli pierwszego klienta może być punktem przełomowym dla wzrostu wykorzystania chmury w sektorze bankowym?

– Wszelkie inicjatywy w zakresie powstawania w naszym kraju dostawców usług chmurowych należy postrzegać jak szansę na wzrost wykorzystania chmury i to nie tylko w sektorze bankowym. Na rynku istnieje już wiele dostawców tego typu usług, więc pojawienie się kolejnego operatora może, choć nie musi podnieść poziom wykorzystania chmury w sektorze bankowym. Zależy to miedzy innymi od tego, jak kolejny dostawca będzie spełniał wymagania dotyczące przetwarzania danych w chmurze.

Jakie będą kompetencje doradcy do spraw bezpieczeństwa danych w chmurze? Jakich działań rynek może oczekiwać w krótszym oraz dłuższym horyzoncie czasowym?

– W ramach niedawno powołanych struktur w UKNF powstały departamenty odpowiedzialne za infrastrukturę teleinformatyczną, cyberbezpieczeństwo i innowacje. Planowane stanowisko doradcy ds. przetwarzania danych w chmurze będzie stanowiło w szczególności formę pojedynczego punktu kontaktu. Natomiast nad przygotowaniem materiału w tym zakresie będą pracować nie tylko wybrani przedstawiciele departamentów związanych z IT, ale również i innych komórek organizacyjnych UKNF.

Dziękuję za rozmowę.

 

Dla rynku to wyczekiwany krok do przodu

Wg Przewodniczącego KNF głównym wyzwaniem dla sektora bankowego we wdrażaniu chmury jest bezpieczeństwo przechowywania danych.

Marcin MarutaRozwiązanie kwestii bezpieczeństwa danych finansowych banków nie leży wyłącznie w technologii, którą dostawcy usług hiperskalowych oferują na najwyższym poziomie. Jak wskazuje Marcin Maruta, Senior Partner w kancelarii Maruta Wachta, niezwykle ważne są także aspekty poza czystą technologią:

– Jest to kwestia posiadania kontroli nad danymi, czyli co może się stać w sytuacji utraty dostępu do rozwiązania chmurowego; to także kwestia dostępu dostawcy do danych, gdyż jeśli wczytać się w warunki umów, są sytuacje, kiedy dostawcy mogą kontrolować nasze dane (choćby weryfikacja naruszeń własności intelektualnej), co może stać w sprzeczności z obowiązującymi przepisami w zakresie tajemnicy zawodowej. Do tego trzeba dodać regulacje typu amerykańskiego Cloud Act, który może budzić obawę, choć raczej w ekstremalnych przypadkach. Tak czy inaczej, chmura w finansach to wielowątkowe wyzwanie, na pewno nie tylko technologiczne.

Co nie zmienia faktu, że inicjatywa KNF powołania pełnomocnika ds. bezpieczeństwa to ważny i potrzebny krok. Na etapie dyskusji o technicznych aspektach bezpieczeństwa (w tym wymagania co do kryptografii, bezpiecznej komunikacji etc) opisanie standardów będzie pomocne. Na dziś można polemizować nawet w tak fundamentalnych sprawach, jak ta kto powinien kreować klucz prywatny i jak ma wyglądać taka infrastruktura. Jakikolwiek konkretny głos ze strony nadzoru jest bardzo pożądany.