Firmy w branży finansowej migrują do chmury coraz częściej. Organizacje z tego sektora, które decydują się na podobny krok, muszą jednak mierzyć się z wyzwaniami natury nie tylko technologicznej, ale również prawnej i budżetowej. Co to za wyzwania i jak sobie z nimi radzić? Rozmawiali o tym przedstawiciele firm z branży finansowej, w tym banków i ubezpieczycieli, uczestniczący w panelu dyskusyjnym w trakcie niedawnego Microsoft Envision Forum 2021.
– Polski rynek nie należy do najłatwiejszych pod względem współpracy z krajowym regulatorem –zastrzeżenia Urzędu Komisji Nadzoru Finansowego budziły w ostatnich latach szczególnie kwestie przetwarzania danych. Cztery-pięć lat temu UKNF był gotów obniżać ocenę badania i oceny nadzorczej banków (tzw. BION) już za sam zamiar przechowywania niektórych danych w chmurze, a dyskusja z urzędnikami prowadziła do konstatacji, że ryzyko dla ich bezpieczeństwa jest każdorazowo wyższe niż w wypadku utrzymywania ich na serwerach lokalnych – wspomina Andrzej Piotrowicz, dyrektor informatyki w Allianz.
– Sytuacja na szczęście znacząco poprawiła się, czego dowodem jest wydany na początku 2020 r. komunikat UKNF, ostatni jak na razie dokument poruszający kwestie chmury w finansach. W porównaniu z pierwszym komunikatem z 2017 r. nastąpiło wyraźne złagodzenie stanowiska UKNF. Dawniej rozmowy były prowadzone na gruncie czysto prawnym. A dziś można toczyć z urzędnikami merytoryczny dialog – nadzór przeszedł drogę od niezrozumienia natury chmury do szerokiej wiedzy w tym zakresie, zarówno w aspektach operacyjnych, jak i bezpieczeństwa – dodaje Arkadiusz Terlikowski, CIO w Aviva.
Nadzór nie taki straszny
O ile poprzednie wytyczne UKNF były trudne w interpretacji, najnowsze cechuje dość daleko idąca szczegółowość. Komunikat zawiera sformułowania zasadniczo sprzyjające popularyzacji technologii chmurowych w branży. Nadzór zaczął patrzeć na chmurę bardziej przychylnym okiem i, jak uważa Joanna Gałajda, Senior Associate w firmie doradczej EY, widać, że chciał ułatwić wdrażanie chmury w bankowości.
Kluczowym etapem realizacji jakiegokolwiek projektu chmurowego w sektorze finansowym jest identyfikacja odnoszących się do niego regulacji albo ustalenie, czy zachodzi konieczność stosowania do niego pewnych regulacji – przekonuje przedstawicielka EY. Jest tak dlatego, że im regulacje bardziej szczegółowe, tym bardziej kosztowny pod względem regulacyjnym będzie projekt.
O ile na przykład w krajach zachodnich powszechna jest tendencja to opisywania projektów w sposób możliwie najbardziej szczegółowy, w Polsce „bezpieczniejsze” może wciąż wydawać się upraszczanie dokumentacji. Ponadto procesy w obrębie usługi chmurowej są układane tak, by zgłaszać ich jak najmniej. Mimo to jednak odpowiednie zgłoszenie do regulatora wymaga należytego zrozumienia wszystkich procesów oraz ustalenia, jakie dane i w jakim zakresie będą przetwarzane w ramach danej usługi.
Dlatego nie wystarczy współpraca działów technologii, bezpieczeństwa i biznesu – w prace powinien być od początku zaangażowany dział prawny organizacji. – Projekt chmurowy jest projektem kompleksowym i tak musimy do niego podchodzić – podkreśla Joanna Gałajda. – Zachęcamy do przygotowania projektu pod wymagania regulatora niezależnie od tego, czy jest lokalny czy multijurydsykcyjny – dodaje.
– Trzeba zrozumieć naturę wymagań KNF co do regulacji. Nie chodzi, by zgłaszać nadzorowi każdą projektowaną aplikację chmurową, ale o to, jakie dane się przetwarza i jakie narzędzia się wdraża do ochrony danych – zarówno organizacji, jak i właścicieli danych, czyli klientów banku lub ubezpieczalni – ocenia Terlikowski. – Trzeba prowadzić otwartą dyskusję: jasno określić założenia projektu i sposób, w jaki chce się spełnić wymogi nadzoru – podpowiada.
Wiedzę na ten temat najlepiej zdobyć używając środowisk testowych, nieprodukcyjnych, gdzie dane klienta z założenia nie powinny trafiać. Ucząc się w bezpiecznym środowisku można pozwolić sobie na większą swobodę eksperymentowania i zebrać doświadczenie niezbędne w zarządzaniu docelową infrastrukturą. – Inaczej słucha się ludzi, którzy mówią o zamiarach, a inaczej tych, którzy mówią, jakie mają doświadczenie i jak rozwiązują swoje problemy – powiedział Szymon Sobczak, dyrektor Wydziału Bezpieczeństwa Informacji w Getin Noble Bank.
Co z kosztami?
Projekty chmurowe w instytucjach finansowych mogą przybierać różnorakie formy. Organizacje mogą używać wybranych „kawałków” chmury – pojedynczych usług jako elementów uzupełniających istniejące rozwiązania on-premises. Inne konstruują całe platformy w oparciu o chmurę publiczną. Można też tworzyć rozwiązania „równoległe”, powiązane z bankowym rdzeniem usługi dodane.
Chmura, w porównaniu ze środowiskami on-premises, zapewnia krótszy czas wprowadzenia rozwiązań na rynek (time-to-market) i jest bardziej atrakcyjna cenowo. Pytanie, czy przejście do chmury należy w ogóle traktować jako projekt optymalizacji kosztów przedsiębiorstwa? Zdaniem Andrzeja Piotrowicza z Allianz – nie. Korzyści z przejścia do chmury nie polegają na tym, że będzie taniej. Cloud to przede wszystkim obietnica nowych modeli biznesowych, sposób na budowanie kapitału innowacyjności, dywersyfikację źródeł przychodu i przyciąganie nowych klientów.
Aspektu kosztowego nie da się jednak całkowicie pominąć. Tomasz Onyszko, CTO w Predica (partner Microsoft w organizacji panelu dyskusyjnego) spodziewa się nawet, że w najbliższych latach znacznie wzrośnie zapotrzebowanie na inżynierów ds. FinOps. To specjaliści zajmujący się analityką architektury i optymalizacją kosztową chmury. Taką analizę trzeba będzie wykonywać regularnie.
– Obecnie budżetowanie najczęściej odbywa się w cyklu rocznym, ale niektóre organizacje robią to już kwartalnie lub miesięcznie. Czasem projekt szybko okazuje się nieperspektywiczny i trzeba budżet przerzucić gdzieś indziej – mówi CTO firmy Predica. – U jednego z klientów firmy tylko przez przejrzenie kodu aplikacji i optymalizację wywołań udało się obniżyć rachunek chmurowy o 10 tys. dolarów – dodaje.
O czym jeszcze pamiętać?
Przede wszystkim – o długofalowej strategii organizacji. Migracja do chmury to nie tylko kwestia technologii, ale przede wszystkim planowania.
Janusz Zdrojewski, Digital Architect w Microsofcie, przypomina, że projekty chmurowe coraz częściej są wynikiem zapotrzebowania działów biznesowych. Biznes oczekuje konkretnych rozwiązań, które pomogą dotrzeć do konkretnej grupy klientów albo lepiej ją obsłużyć. – To biznes finansuje wejście w chmurę i bezpośrednio zyskuje na migracji. Zaangażowanie biznesu wydaje się nieodzowne – im większy jego udział, tym migracja łatwiejsza – ocenia.
Strategia chmurowa, jak wskazuje Tomasz Motyl, CIO w banku Aion, musi obejmować również scenariusze wyjścia. Usługi chmurowe są usługami outsource’ingowymi, należy więc przewidzieć możliwość lub konieczność modernizacji stosu technologicznego jaką może spowodować migracja do innego usługodawcy, kiedy korzystamy z usług przypisanych do danej chmury.
Warto uczyć się chmury od tych organizacji, które migrację czy wdrożenia mają już za sobą – wskazuje z kolei Tomasz Onyszko z firmy Predica. – Architekturę warto budować tak, by można było ją jak najszybciej zmienić jak najniższym kosztem – przekonuje.