Bezpieczne rozwiązania dla finansów

Sektory finansowy, bankowy i ubezpieczeniowy to po administracji publicznej największe motory rozwoju IT w Polsce. Branża BIFS (Banking, Insurance, Financial Services) chętnie korzysta z zaawansowanych usług IT.

Jak wskazuje opublikowany w maju br. raport ABSL „Usługi biznesowe dla sektora finansowego. Success story of Poland”, polski sektor usług dla branży BIFS zajmuje obecnie pozycję lidera w regionie Europy Środkowo-Wschodniej, a największą popularnością cieszą się właśnie procesy z obszaru outsourcingu IT (ITO). Instytucje finansowe coraz częściej korzystają z rozwiązań cloud computing. Tak się dzieje także w Polsce, choć na razie instytucje stosują chmurę w ograniczonym zakresie i dopiero w perspektywie kilku lat możemy spodziewać się zmian na szeroką skalę.

„Według danych Gartnera z 2013 r., 80% organizacji na świecie planuje wykorzystać chmurę w ciągu kolejnych 12 miesięcy. Obserwujemy rosnące zainteresowanie cloud computingiem także wśród banków czy firm ubezpieczeniowych w Polsce. Korzystają one z tego rozwiązania w zakresie m.in. systemów płatniczych czy archiwów dokumentów. Skłaniają je do tego takie korzyści, jak: mniejsze koszty, brak konieczności inwestowania w infrastrukturę i zatrudniania dodatkowych specjalistów, dostęp do najnowszych technologii, również tych, które dotyczą bezpieczeństwa IT” – mówi Maciej Nuckowski, dyrektor Działu Usług, Xerox Polska.

Raport Accenture „A new era in banking. Cloud Computing changes the game” z 2013 r. przedstawia trzy główne trendy zastosowania cloud computingu w sektorze bankowym. Przede wszystkim instytucje finansowe będą wykorzystywać chmurę, by odpowiadać na nowe potrzeby konsumentów korzystających z serwisów społecznościowych i urządzeń mobilnych. Accenture prognozuje również, że w najbliższym czasie chmura prywatna oparta na wirtualizacji stanie się osią infrastruktury centralnych systemów transakcyjnych banków, oferując elastyczność w skalowaniu rozwiązań przy jednoczesnym zachowaniu pełnej kontroli nad lokalizacją wrażliwych danych. Co więcej, chmura publiczna i centra usług wspólnych wykorzystujące rozwiązanie chmurowe już w perspektywie kilku lat zdominują niekrytyczne i niedające przewagi konkurencyjnej funkcje instytucji finansowych – od rozwiązań współpracy biurowej, poprzez zarządzanie dokumentami, aż po obsługę płatności, co już dzisiaj jest rozwiązaniem stosowanym na świecie – przyjęły je takie banki, jak Urban Cooperative Banks, Commonwealth Bank of Australia.

Istnieje jednak kilka barier, które ograniczają większe zainteresowanie outsourcingiem i tego typu rozwiązaniami. Przede wszystkim są to ograniczenia prawne związanie m.in. z ochroną wrażliwych informacji. W polskim prawodawstwie nie ma przepisów odnoszących się bezpośrednio do rozwiązań chmurowych, stąd interpretacja prawa bywa wyzwaniem.

„Afera towarzysząca ujawnieniu dostępu amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA) do danych przetwarzanych przez największych dostawców usług internetowych (program PRISM) znacznie nadwyrężyła zaufanie do rozwiązań chmurowych. Paradoksalnie jednak, skandal ten może przyspieszyć wprowadzenie standardów i technologii chroniących istotne dane znajdujące się w chmurze i w efekcie ułatwić adaptację chmury w sektorze bankowym” – wyjaśnia Artur Józefiak, Manager w dziale IT Strategy, Infrastructure and Security, Accenture Polska.

Według eksperta, zmiany w polskim sektorze finansowym w kierunku większego wykorzystania chmury są nieuchronne, dlatego że wynikają z konkretnych korzyści, które obiecuje i umożliwia cloud computing. Już teraz polskie organizacje powinny szykować się do wprowadzenia nowych rozwiązań na szerszą skalę, np. poprzez wdrażanie cloud computingu wewnątrz organizacji, w modelu Private Cloud. Na wprowadzenie rozwiązań chmurowych w instytucjach finansowych w Polsce powinni przygotowywać się też regulatorzy.

Komenatrz
Wojciech Mach, dyrektor zarządzający, Luxoft Poland

Polska pod względem rozwoju usług IT jest zieloną wyspą w regionie EMEA. W naszym kraju firmy odnotowują stałe zainteresowanie usługami z tego obszaru. Za wzrosty w polskich przedsiębiorstwach i zlokalizowanych w kraju centrach zagranicznych organizacji w dużej mierze odpowiadają zlecenia z zagranicy. Jak wynika z tegorocznych badań [email protected] przeprowadzone przez Antal International wraz z Polską Agencją Informacji i Inwestycji Zagranicznych, dzięki dostępności mobilnych i zdolnych kadr Polska może stać się europejskim centrum zaawansowanych usług IT. Jednym z kluczowych obszarów jest obsługa instytucji finansowych, w tym banków inwestycyjnych. O popularności informatycznych rozwiązań outsourcingowych świadczą statystyki. Wydatki instytucji finansowych na usługi ITO na całym świecie wynoszą ok. 75–80 mld USD. Oznacza to, że stanowią one aż 70% rynku usług outsourcingowych dla banków inwestycyjnych, międzynarodowych domów maklerskich, banków powierniczych oraz innych instytucji finansowych.

W procesie przekazywania przez instytucje finansowe danych zewnętrznemu partnerowi kwestie bezpieczeństwa są na tyle istotne, że dostawcy usług stosują w tym zakresie specjalne, wypracowane praktyki dedykowane branży. Można do nich zaliczyć m.in. dokładne określanie odpowiedzialności za określone obszary i koncentrację stron na powierzonych im zadaniach w zakresie bezpieczeństwa IT. Niebagatelną rolę odgrywa reputacja danej instytucji oraz fakt, że banki są instytucjami zaufania publicznego. Wiąże się to z tym, że w przypadku instytucji finansowych nacisk na zapewnienie bezpieczeństwa informacji jest dodatkowo wzmocniony regulacjami prawnymi dotyczącymi tajemnicy bankowej.

„Instytucje z sektora finansowego są często traktowane jak jednostki zaufania publicznego, dlatego też przedstawiciele tej branży z reguły samodzielnie zarządzają najbardziej newralgicznymi obszarami operacyjnymi swoich organizacji. Z kolei obsługa procesów przekazanych dostawcy usług biznesowych jest regulowana szczegółowym kontraktem outosurcingowym. Określa on restrykcyjne procedury bezpieczeństwa, których musi przestrzegać dostawca usług – mówi Michał Bielawski, Financial Controller, Infosys BPO Europe.

Komentarz
Mec. Bartosz Tomaszewski, radca prawny, Baker & McKenzie

Odbiorca usług cloud computingu powinien mieć świadomość i dokonać odpowiedniej kalkulacji ryzyka związanego z korzystaniem z usług chmury obliczeniowej, zwłaszcza jeżeli są one świadczone spoza terytorium Polski. Wynika to z faktu, że wciąż barierę stanowią przepisy prawa ograniczające możliwość przekazywania pewnych danych w ramach sektora finansowego innym podmiotom, w tym zagranicznym. Są to przede wszystkim przepisy branżowe, związane z działalnością ubezpieczeniową oraz bankową, np. ograniczenia w zakresie outsourcingu usług bankowych (outsourcing działalności informatycznej). Jednak największe potencjalne problemy związane z cloud computingiem, również w ramach sektora finansowego, związane są z ochroną danych osobowych. Na poziomie unijnym kwestia różnych standardów ochrony danych osobowych i usług świadczonych w ramach chmury została już zauważona i była przedmiotem wielu wypowiedzi, w tym Europejskiego Inspektora Danych Osobowych. Również i prace Komisji Europejskiej pozwalają z optymizmem patrzeć na możliwość ograniczenia barier (prawnych) dla korzystających z usług oferowanych za pośrednictwem chmury obliczeniowej.

Komentarz
Radosław Odrobina, Senior Manager, Accenture Polska

W wiekszosci krajów na swiecie brakuje jednoznacznego podejscia regulatorów do chmury, nie ma wiec stabilnej przestrzeni do jej rozwoju pozwalajacej na fundamentalne zmiany czy duze inwestycje. Technologia przynosi jednak tak wiele korzysci w postaci efektywnego wykorzystania zasobów, wysokiego poziomu zarzadzania, automatyzacji i elastycznosci rozwiazan biznesowych, ze wdraza ja coraz wiecej podmiotów. Charakterystyczne dla sektora jest to, ze ze wzgledu na percepcje wyzszego bezpieczenstwa i lepszej kontroli nad lokalizacja danych wieksza popularnoscia ciesza sie chmury prywatne. Z tego tez powodu w znakomitej wiekszosci sa to rozwiazania w modelu IaaS (Infrastructure as a Service – infrastruktura jako usługa), który, w pewnym sensie, jest wirtualizacja o bardzo wysokiej dojrzałosci. Z drugiej strony instytucje finansowe z takich krajów jak Szwajcaria czy Meksyk podejmuja juz ostrozne próby wdrazania chmurowych Bankowych Systemów Centralnych. Inicjatywy pokazuja, ze mozna próbowac dostarczyc w chmurze fundamentalne funkcje banku, gdy nie sa one czynnikiem wyrózniajacym rynkowo. W Stanach Zjednoczonych pojawiaja sie chmury społecznosciowe (ang. community cloud) – juz nie prywatne, ale sa one udostepniane tylko członkom okreslonych społecznosci (np._ pracownikom banków). Chmury te pozwalaja osiagnac ekonomike skali z zachowaniem wysokich standardów bezpieczenstwa.

Komentarz
Michał Zelazowski, Project Manager Sii, członek ABSL

Doswiadczenia firmy Sii wskazuja na opisane ponizej obszary istotne dla bezpieczenstwa przetwarzania danych w chmurze:

Wymogi prawne. Dostawca usługi realizowanej w modelu cloud computing musi zapewniac w szczególnosci mozliwosc sprawowania przez bank i KNF efektywnego nadzoru nad wykonywaniem powierzonych działan poprzez uprawnienie KNF do przeprowadzania kontroli. Ponadto na kazdym etapie przetwarzania musi byc jasno okreslona fizyczna lokalizacja danych, w tym kopii zapasowych.

Ochrona przesyłanych danych. Nalezy zapewnic poufnosc i nienaruszalnosc danych wedrujacych pomiedzy infrastrukturami zamawiajacego oraz outsourcera. Oczekiwane jest stosowanie wydzielonych fizycznie podsieci lub tuneli VPN z ruchem w całosci szyfrowanym sprawdzonymi algorytmami (np. MD5, SHA256), redukujace ryzyko ataków man-in-the-middle. Elementy aplikacji działajacej w chmurze powinny byc poddane hardeningowi oraz przedstawiac sie certyfikatami wystawionymi przez publiczny i zaufany podmiot.

Procedury operacyjne. Dostawca musi miec regularnie weryfikowany plan ciagłosci działania, mozliwosc szybkiego przełaczenia sie do zapasowego centrum danych oraz sprawdzona polityke tworzenia i przechowywania back-upów.

Ochrona danych osobowych. Dane osobowe klientów banku stanowia integralna czesc danych przetwarzanych w chmurze, dlatego profesjonalny outsourcer musi spełniac wymogi ustawy o ochronie danych osobowych.

Audyt zewnetrzny. Coraz czestszym wymaganiem jest weryfikacja bezpieczenstwa usługi zewnetrznej przez wyspecjalizowana komórke zamawiajacego usługe badz przez firme trzecia, której bezstronnosc gwarantuje wiarygodnosc audytu. W audycie stosowane sa symulacje ataków oraz testy


TOP 200