Cyberprzestrzeń w działalności polskich instytucji finansowych: nowe zagrożenia i wyzwania CIO

Cyberprzestrzeń w działalności polskich instytucji finansowych: nowe zagrożenia i wyzwania CIO

12.12.2016
Cyberprzestrzeń w działalności polskich instytucji finansowych: nowe zagrożenia i wyzwania CIO

to wiodący temat spotkania V edycji  IT BREAKFAST for FIN organizowanego przez Fundację IT Leader Club Polska specjalnie dla sektora finansowego w Polsce pod patronatem Komisji Nadzoru Finansowego i Ministerstwa Administracji i Cyfryzacji.

W czwartkowy poranek, 11 czerwca br. odbyło się spotkanie IT Breakfast for FIN dedykowane sektorowi finansowemu w Polsce, którego organizatorem była Fundacja IT Leader Club Polska. Tym razem ponad 40 liderów IT miało okazję rozmawiać o nowych zagrożeniach i wyzwaniach CIO w kontekście działalności polskich instytucji finansowych.

Podczas trzygodzinnego spotkania pojawiły się dwa tematy przewodnie prezentowane przez Głównych Partnerów spotkania, firmę Microsoft i TrendMicro. Zwieńczeniem wydarzenia była debata merytoryczna z udziałem Gości Honorowych:

1. Dyrektora Tomasza Piwowarskiego z Departamentu Inspekcji Bankowych, Instytucji Płatniczych i SKOK Urzędu Komisji Nadzoru Finansowego
2. Dyrektora Janusza Derdy odpowiedzialnego za Obszar IT w Banku BZ WBK SA
3. Dyrektora Roberta Trętowskiego z Departamentu Inicjatyw Informatycznych i Testów w PKO BP SA
4. Dyrektora Sektora Finansowego Andrzeja Gibasa z Microsoft
5. Dyrektora Regionu CEE Michała Jarskiego z Trend Micro.

Debatę fotelową jak również całe spotkanie IT Breakfast for FIN poprowadził dziennikarz Polskiego Radia, Kuba Marcinowicz.

Jako pierwsi, swoją prelekcję zaprezentowali przedstawiciele firmy Microsoft – Dyrektor Sektora Finansowego Pan Andrzej Gibas oraz Manager Platformy Microsoft Azure Pan Maciej Sobianek. Uwaga uczestników została zwrócona na zagadnienia związane z ważnymi etapami optymalizacji i zabezpieczeń infrastruktury IT instytucji finansowych w kontekście przetwarzania w chmurze obliczeniowej. Prelegenci zgodnie przyznali, że adopcja przetwarzania w chmurze, zwłaszcza w instytucjach finansowych posuwa się wolniej niż w innych sektorach gospodarki. Tym bardziej dużym wyzwaniem staje się zaangażowanie kluczowych dostawców IT, takich jak firma Microsoft w szeroką edukację związaną z wyzwaniami sektora finansowego w obliczu zmieniających się trendów, do których należą nowe systemy komunikacji i współpracy, wzrost interakcji z klientami, cyberterroryzm, nowe przepisy i regulacje czy też certyfikacje. Te trendy oznaczają szanse ale i zagrożenia, stąd stabilność systemów IT w instytucjach finansowych jest kluczowa.
Poza wyzwaniami pochodzącymi z rynku, istnieją jeszcze wyzwania mające swoje źródło wewnątrz każdej organizacji. Są to między innymi coraz bardziej ograniczane budżety, redukowane zespoły jak również nacisk na wzrost produktywności. Rozwiązaniem na te wyzwania jest Cloud Computing wdrożony w modelu infrastruktury hybrydowej w oparciu o elementy:

1. chmury prywatnej umożliwiającej współdzielenie lokalnych zasobów IT,
2. chmury publicznej w modelu infrastruktury gwarantującej niezawodność oraz nieograniczone skalowanie
3. chmury publicznej w modelu gotowych usług odciążających działy IT z prac utrzymania i administracji.

Siłą rozwiązania firmy Microsoft jest połączenie wszystkich tych elementów w całość, co w opinii firmy badawczej Gartner jest najlepszym rozwiązaniem technologicznym na rynku. Skąd zatem wątpliwości, które powodują niższą adopcję tego rozwiązania w instytucjach finansowych? To pytanie generuje dodatkowe wątpliwości, na które zwracał uwagę jeden z prelegentów firmy Microsoft Pan Andrzej Gibas, a mianowicie Czy rozwiązanie jest bezpieczne? Gdzie znajdują się dane banku? Kto jeszcze może mieć do nich dostęp? Co z ciągłością działania? I najważniejsze: co na to wszystko Urząd Komisji Nadzoru Finansowego? W dalszej części wystąpienia, uczestnicy mogli usłyszeć, że niemal w każdym z tych zakresów Microsoft jest w stanie zagwarantować bezpieczeństwo danych oferując m.in. bezpośrednie połączenia światłowodowe czy też możliwość zapisywania danych na trzech oddzielnych nośnikach, które zapewniają bezpieczny back-up danych. Uczestnicy dowiedzieli się także, iż Microsoft dysponuje 24 centrami danych zlokalizowanymi na całym świecie, a klient może wykorzystywać każde z nich lub konkretnie wskazać lokalizację przechowywania danych np. na terenie Unii Europejskiej w Dublinie lub Amsterdamie. Dodatkowo sieć datacenter firmy Microsoft spełnia najnowszą normę ISO/IEC 27018, która zabrania usługodawcy wglądu do danych klientów. To właśnie firma Microsoft jako pierwszy duży dostawca usług w chmurze wdrożyła pierwszą na świecie międzynarodową normę dotyczącą przetwarzania danych w chmurze publicznej.

W zakresie ciągłości działania, odpowiedzią firmy Microsoft jest możliwość rozpraszania danych między jednostkami datacenter poprzez tworzenie klastrów (klaster serwerów jest grupą niezależnych systemów komputerowych, zwanych węzłami, współpracujących w formie pojedynczego systemu w celu zapewnienia dostępności podstawowych aplikacji i zasobów dla klientów). To oznacza, że usługi aplikacji Microsoft Azure zostały zoptymalizowane pod kątem zwiększania dostępności i automatycznego skalowania.

A co na to Urząd Komisji Nadzoru Finansowego? Zdaniem prelegentów, oferta firmy Microsoft jest o tyle dojrzała, że stanowi wieloletni dorobek stworzony w oparciu o doświadczenie, wiedzę i czynny dialog z nadzorcami/regulatorami nie tylko krajowymi ale i zachodnimi. Przykładem banków, które zdecydowały się na wdrożenie chmury obliczeniowej oferowanej przez Microsoft jest Kredo Bank z Ukrainy oraz Tangerine Bank z Kanady. Wśród polskich instytucji finansowych znalazły się takie podmioty gospodarcze jak ING czy też Credit Agricole Polska.

Drugi temat, poruszony podczas czwartkowego śniadania IT Breakfast for FIN dotyczył ważnej kwestii z punktu widzenia sektora finansowego, a mianowicie: Czy banki mogą korzystać z chmury pozostając w zgodzie z regulacjami?. Michał Ciemiega z firmy Trend Micro rozpoczął swoje wystąpienie od podkreślenia jak ważne jest podejście do bezpieczeństwa jako wspólnej odpowiedzialności, gdzie często klienci czują się niepewnie myśląc o chmurze właśnie w kontekście bezpieczeństwa. Jak zatem zabezpieczyć chmurę? To pytanie stało się podstawą do dalszej prezentacji, która opierała się na podkreśleniu walorów rozwiązań Trend Micro w obszarze integracji systemów IT. Zdaniem prelegenta ważna jest zmiana podejścia do rozwiązań chmurowych w oparciu o następujące komponenty:

1. adaptacja – inteligentne i dynamiczne przydzielanie polityk,
2. kontekst – świadomość treści i aplikacji,
3. software – system zoptymalizowany dla chmury,
4. platforma – zintegrowany system zabezpieczeń.

Prezentowany materiał był szczególnie istotny z punktu widzenia Rekomendacji D, dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa teleinformatycznego w bankach. Wdrożenie systemu ochrony przetwarzania danych firmy Trend Micro jest całkowicie zgodne z wytycznymi zawartymi w Rekomendacji D, gwarantując przy tym kompleksową ochronę zasobów IT banków poprzez:

1. ciągłe monitorowanie bezpieczeństwa w sieci,
2. moduł firewall,
3. moduł IPS – detekcja i ochrona przed atakami,
4. centralną kontrolę luk,
5. ochronę podatności bez uruchamiania patch’y,
6. szyfrowanie danych,
7. moduł Log Inspection – monitorowanie krytycznych systemów, plików i rejestrów,
8. moduł Antymalware.

Trend Micro, jako partner z ponad 25 letnim doświadczeniem w dziedzinie oprogramowania i rozwiązań zabezpieczających jest obecnie liderem rynku ochrony systemów przetwarzania danych. Zakończeniem prelekcji było pokazanie wspólnej prezentacji multimedialnej dotyczącej platformy Microsoft Azure oraz rozwiązań Trend Micro służących do zapewnienia ochrony i bezpiecznego dostępu do informacji i treści przechowywanych w chmurze. Architekt projektujący rozwiązanie dysponuje zwirtualizowanym środowiskiem oferującym praktycznie nieograniczone możliwości skalowania, olbrzymią wydajność i gigantyczny pojemnik do przechowywania danych. Dostępne w każdej chwili zasoby obliczeniowe wraz z dodatkowymi usługami, firmy mogą wykorzystywać do utrzymywania własnych aplikacji, zwiększenia możliwości posiadanych centrów danych lub jako jedyne, kompletne środowisko informatyczne.

Spotkanie zamknęła debata fotelowa z udziałem Gości Honorowych połączona z dyskusją z prelegentami. Rozmowa ogniskowała się wokół głównego wątku debaty, czyli wyzwań oraz zagrożeń związanych z obszarem IT z perspektywy nadzorczej, zwłaszcza w kontekście Rekomendacji D.

Jako pierwszy głos zabrał Dyr. Tomasz Piwowarski z Departamentu Inspekcji Bankowych, Instytucji Płatniczych i SKOK, Urzędu Komisji Nadzoru Finansowego. W jego opinii Cloud Computing jest technologią coraz bardziej popularną, ale wciąż nie nadzwyczaj popularną w Polsce. W swojej wypowiedzi zwrócił uwagę na trzy bardzo ważne elementy. W pierwszej kolejności to określenie (z punktu widzenia prawa bankowego) czy zakres świadczonych usług w tej technologii mieści się w kategorii outsourcingu czy też nie? Jeśliby bowiem okazałoby się, że usługi te podlegają pod outsourcing, wymogi prawne byłyby bardzo restrykcyjne wobec dostawców tego typu rozwiązań. Drugą ważną kwestią, zdaniem Dyr. Piwowarskiego jest określenie odpowiedzialności dostawcy IT w przypadku niedotrzymania zobowiązań deklarowanych przez dostawcę usługi. Specyfika usługi Cloud Computing powoduje, że to duzi partnerzy z odpowiednią renomą i doświadczeniem powinny taką usługę świadczyć – dodał. Trzecim ważnym elementem, na który zwrócił uwagę to aspekt związany z ryzykiem, zwłaszcza w kontekście bezpieczeństwa świadczenia tej usługi od strony formułowania umów z dostawcami rozwiązań usług IT. Istotną kwestią jest np. możliwość i sposób weryfikowania przez bank statusu usunięcia danych banku z platformy takiego dostawcy na wniosek banku w trakcie współpracy lub w wyniku zakończenia współpracy pomiędzy dostawcą a bankiem. Podkreślił przy tym: „Banki, które rozważały wdrożenie Cloud Computingu podchodziły do tego z pewną rezerwą, co sugerowało, że być może nie są jeszcze w pełni gotowe na tego typu rozwiązanie. Podsumowując, jest to usługa dostępna na rynku, aczkolwiek nie jest ona wciąż szeroko powszechna, przez co doświadczenia UKNF nie są w tym obszarze bogate”.

Jako następny głos zabrał Dyrektor Andrzej Gibas z Microsoft, który podkreślił ważną rolę w przecieraniu szlaków w obszarze oferowania usługi Cloud Computing w sektorze finansowym przez tych dostawców, którzy mają wieloletnie doświadczenie we współpracy z Regulatorem na temat sposobu oferowania tej usługi. Jak podkreślał: „Nauka czerpana od Regulatorów rynku, w jaki sposób dostarczać tę usługę zgodnie z odpowiednimi wymogami trwała kilka lat i ma miejsce do dzisiaj. Jestem pewien, że Microsoft jest gotowy zostać prekursorem takiego wdrożenia na naszym rodzimym rynku posiadając odpowiednią wiedzę, doświadczenie, kwalifikacje i kompetencje potrzebne do uzyskania akceptacji Urzędu Komisji Nadzoru Finansowego dla tego typu usługi w Polsce”.

Temat wywołał żywą dyskusję wśród pozostałych panelistów. W kwestii zainteresowania tą usługą głos zabrał Robert Trętowski – Dyrektor Departamentu Inicjatyw Informatycznych i Testów w PKO BP. Jego zdaniem „Banki nie zastanawiają się czy ale kiedy i do jakich procesów wdrożyć chmurę?” Jednocześnie zwrócił uwagę na ważny aspekt związany z regulacjami na rynku finansowym, gdzie w dobie coraz większej konkurencji o klienta, inni gracze spoza sektora bankowego i ubezpieczeniowego oferujący produkty para-bankowe i para-ubezpieczeniowe nie są objęci wymogami Rekomendacji D, co powoduje że sektor usług finansowych staje przed trudnym pytaniem – z kim za 5 lat będzie konkurował? Graczy oferujących dobra wirtualne jest coraz więcej, którzy ofertę Cloud Computing będą mogli wdrożyć bez tych regulacji, które obowiązują sektor bankowy. Presja na rozwiązania „otwarte”, społecznościowe i mobilne pojawia się także ze strony Klientów – i ten obszar w pierwszej kolejności jest analizowany pod kątem zastosowania chmury - dodał.

W dalszej części merytorycznej dyskusji głos zabrał Janusz Derda – Dyrektor Obszaru IT z BZ WBK, który zgodził się z przedmówcą wskazując jednocześnie na ogromne koszty, jakie muszą ponosić banki w celu wdrożenia określonych regulacji, często sięgające niemal 1/3 kosztów całego budżetu banku. Z tego względu banki muszą wychodzić naprzeciw oczekiwaniom, ale stają się też bardziej ociężałe w stosunku do konkurencji, która takich wymogów regulacyjnych nie ma „Bank nie może ryzykować outsourcingu, który narazi go na utratę reputacji, a przed czym nie uchronią go żadne regulacje. Rozwiązaniem jest metodologiczne podejście do Rekomendacji D, co wiąże się z budowaniem coraz większego zaufania do dostawców IT. Kluczowe jest zatem pytanie: w jakim kontekście dostawcy mają brać odpowiedzialność za powierzenie im danych?”.

Do tej wypowiedzi odniósł się Michał Jarski z Trend Micro, który zwrócił uwagę na ogromną presję jakiej poddawane są banki w kontekście wdrażania nowoczesnych rozwiązań, a które często wychodzą poza usługi stricte telekomunikacyjne, także nie dające gwarancji bezpieczeństwa „Trend Micro pokazał dziś, że macie Państwo gwarancję nadzorowania swoich danych w dowolnym momencie i w określonym czasie, nie oddając przy tym kontroli podmiotom trzecim”.

Debatę podsumował Dyr. Tomasz Piwowarski, który podkreślił iż „Rekomendacja D określa wymogi w przypadku świadczenia przez bank usługi Cloud Computing i nie zabrania stosowania tej technologii, przy czym należy wskazać, że jej zastosowanie przez bank powinno być poprzedzone szczegółową analizą uwzględniającą specyficzne dla tej technologii ryzyka, wymogi Prawa bankowego w zakresie outsourcingu oraz wymogi Rekomendacji D". Niewątpliwie na ilość regulacji miały wpływ dyrektywy unijne, co nie zmienia faktu, że Rekomendacja D jest pozytywnie oceniana, o czym świadczą opinie środowiska finansowego. Do tej opinii przychylił się Dyr. Janusz Derda, który przyznał, że BZ WBK bardzo dobrze przyjął tę regulację. Z kolei zdaniem Dyr. Roberta Trętowskiego, to co może uzasadniać trudność adopcji Cloud Computingu w sektorze finansowym w Polsce, to wciąż brak wzorca, od którego wiedzę przejmą następni „Z pewnością pierwszy podmiot, który zdecyduje się na tę usługę poniesie pewne koszty i to na nim będą wzorować się następni”.

Na kanwie podsumowującej dyskusji zrodziło się także pytanie czy w Polsce jesteśmy zainteresowani aby kreować nasz rynek bankowy? Czy regulacje na to nie pozwolą i w efekcie oddamy go podmiotom zewnętrznym, poza granicami naszego kraju? Być może temat ten będzie inspiracją do kolejnej debaty IT Breakfast for FIN.

Rangę tej inicjatywy zwiększa udział i zaangażowanie Komisji Nadzoru Finansowego, która objęła Patronatem Honorowym cały cykl debat IT Breakfast dla sektora finansowego.

Wszystkich sympatyków IT zapraszamy do udziału w ramach cyklu IT Breakfast. Informacje szczegółowe znajdują się na stronie www.itbreakfast.pl.

Pełna Fotorelacja ze spotkania: http://www.itleader.org.pl/index.php?mact=News,cntnt01,detail,0&cntnt01articleid=234&cntnt01returnid=72


Agnieszka Lefanowicz
Fundacja IT Leader Club Polska
Mail: ##pvcxthozp.atupcdlxro#at#xiatpstg.dgv.ea##
WWW: www.itleader.org.pl
Tel.: 508 437 562

***********************
Fundacja IT Leader Club Polska to niezależna organizacja pozarządowa, której nadrzędnym celem jest integracja Liderów ICT w Polsce celem wzrostu poprawy efektywności i jakości polskiej gospodarki w obrębie stosowania najlepszych światowych praktyk w zarządzaniu informatyką. Ponadto Fundacja jest aktywna w propagowaniu idei odpowiedzialnego podejścia do zarządzania informatyką zgodnie z hasłem „Z nami jesteś odpowiedzialny społecznie w IT” oraz wpływa na kształt rozwoju ICT w Polsce zgodnie z ideą powołania Centrum Myśli Cyfrowych e-państwo, e-gospodarka, e-biznes. Projekty i inicjatywy realizowane przez Fundację prowadzone są w oparciu o niezależny think tank, czyli poza diagnozowaniem i opisywaniem nowoczesnych technologii i trendów w ICT, Fundacja chce wpływać na kształt rozwoju cyfryzacji w Polsce angażując i wykorzystując potencjał środowiska niezależnych ekspertów ICT skupionych wokół Fundacji. Obszar działalności Fundacji to organizacja debat i wydarzeń jak również tworzenie raportów i rekomendacji dotyczących pomysłów i alternatywnych rozwiązań dla rozwoju cyfrowej Polski. Flagowymi projektami Fundacji jest cykl porannych debat technologicznych IT BREAKFAST www.itbreakfast.pl oraz Akademia Zarządzania IT Administracji Publicznej www.akademiait.edu.pl. Więcej o Fundacji i pozostałych inicjatywach na stronie www.itleader.org.pl