D2c art10 frame
D2c art11 Static Frame

Chmury nad sektorami regulowanymi – jak przygotować organizację do transformacji chmurowej?

Jak polskie przedsiębiorstwa wdrażają chmurę w sektorach regulowanych?

Niestety, na tle europejskich konkurentów, decydują się na rozwiązania chmurowe zdecydowanie wolniej. Pandemia Covid-19 oraz szybko postępujący proces digitalizacji na świecie, zwiększyły zainteresowanie rozwiązaniami chmurowymi, a jednak polskie  przedsiębiorstwa rzadko wykorzystują pełen potencjał tej technologii. Poza nielicznymi wyjątkami, przemiany w firmach w dużej mierze sprowadzają się do wykorzystania chmury w pomniejszych, akcesoryjnych procesach biznesowych. 

Ten artykuł jest częścią programu#Drive2Cloud


Niewykorzystany potencjał chmury w Polsce wynika z ogólnej sytuacji ekonomicznej: 

  • pandemii, która mimo przyspieszenia procesu cyfryzacji, negatywnie wpłynęła na zyski przedsiębiorstw oraz uświadomiła firmom brak przewidywalności sytuacji ekonomicznej. W konsekwencji, ograniczono budżety działów ICT.
  • napięć geopolitycznych, które dotknęły także sektor ICT, głównie w obszarze bezpieczeństwa łańcucha dostaw komponentów IT. Dodatkowo, niektórzy dostawcy zostali objęci embargiem.

oraz prawnej/regulacyjnej:

  • brak właściwych regulacji i jasnych stanowisk administracji publicznej na szczeblu krajowym, a także europejskim w zakresie korzystania z nowoczesnych rozwiązań ICT,
  • inflacja legislacyjna, nakładająca nowe obowiązki na dostawców ICT oraz ich klientów. 

Jakie regulacje mają największy wpływ na rozwiązania chmurowe?

O ile przedsiębiorcy nie mają realnego wpływu na rozwój sytuacji geopolitycznej i kolejne kryzysy, tak zdecydowanie mogą przygotować się na zmiany legislacyjne w zakresie technologii chmurowej. W procesie planowania wdrożenia chmury, kluczowa jest wiedza nie tylko o obowiązujących regulacjach, ale również  o planowanych zmianach wpływających na obowiązki firm w zakresie tej technologii.

Kluczowe akty wpływające na rozwiązanie chmurowe na poziomie UE:

  • DORA (Digital Operational Resilience Act) – rozporządzenie skierowane do sektora finansowego oraz dostawców ICT (w zakresie wyznaczonych kluczowych dostawców ICT). Parlament Europejski 10 listopada 2022 r. ostatecznie zatwierdził przepisy Rozporządzenia DORA i będzie bezpośrednio stosowane od 24 miesiąca od dnia publikacji.

    W tym czasie podmioty z sektora finansowego oraz wyznaczeni kluczowi dostawcy ICT będą musieli podjąć działania, by zapewnić wzrost  operacyjnej odporności cyfrowej oraz zgodności z nową regulacją. Sektor finansowy zostanie zobligowany do wzmocnienia i usprawnienia procesu zarządzania ryzykiem związanym z ICT, wprowadzenia dokładnych testów systemów ICT oraz zintensyfikowania procesu zarządzania ryzykiem wynikającym z zależności podmiotów finansowych od zewnętrznych dostawców usług ICT. Co ważne, większość obowiązków będzie doprecyzowana w wydanych Regulacyjnych Standardach Technicznych.

    Więcej o DORA w Raporcie EY i ZBP: Rozporządzenie DORA – rewolucja czy ewolucja w polskim sektorze bankowym?
  • Dyrektywa NIS2 – planowana nowelizacja unijnej Dyrektywy NIS, która w Polsce została wdrożona poprzez ustawę o krajowym systemie bezpieczeństwa. Przy czym, NIS2 będzie wymagała wprowadzona do krajowego porządku prawnego. W efekcie, ostateczny kształt obowiązków będzie wynikał z przyjętych w poszczególnych krajach UE aktów prawych. Niemniej jednak znajomość postanowień dyrektywy pozwoli na szybsze i lepsze przygotowanie do bezpośrednich zmian, które czekają polski system prawny.

Chmura a regulacje prawne. Na jakie aktualnie należy zwrócić uwagę?

Już teraz można zauważyć pewne analogie w regulacjach, które także dotyczą projektów chmurowych. Zarówno NIS2, jak i DORA podkreślają wagę szacowania ryzyka oraz odpowiedniej inwentaryzacji zasobów przedsiębiorstwa w celu zapewnienia zgodnego z regulacjami, a także standardami bezpieczeństwa wdrożenia ICT, także tymi chmurowymi.

Kluczowe elementy, na które każdy podmiot sektora regulowanego powinien zwrócić uwagę w przypadku projektów ICT, w tym cloud:

Inwentaryzacja danych i procesów biznesowych, w ramach których dane/informacje są przetwarzane

Właściwe i precyzyjne opisanie procesów biznesowych pozwoli ocenić, czy dany proces jest krytyczny lub istotny dla organizacji. To niezwykle istotne, ponieważ DORA i NIS/NIS2 rozróżniają obowiązki regulacyjne związane np. z minimalną treścią umowy z dostawcą ICT lub częstotliwością testowania, w zależności od tego, czy dany proces jest krytyczny lub kluczowy z perspektywy konkretnego podmiotu. 

Kolejnym ważnym aspektem jest opisanie, jakie dane są przetwarzane z wykorzystaniem danej usługi ICT. Należy pamiętać, że podmioty z sektora regulowanego w dużej mierze przetwarzają dane stanowiące tajemnicę sektorową (np. tajemnicę bankową, ubezpieczeniową) lub dane wrażliwe (np. dane o stanie zdrowia). W tym przypadku, przetwarzanie kwalifikowanych danych może wpływać na podwyższone wymagania regulacyjne. Przykład? Zasady w zakresie przetwarzania tajemnicy sektorowej przez podmioty finansowe, które skutkują m.in. koniecznością stosowania Komunikatu Chmurowego w sektorze finansowym.

Zarządzanie tożsamością i uprawnieniami

Odpowiednie przypisanie ról w organizacji w zakresie zarządzania infrastrukturą ICT, czyli kontrola dostępów do określonych zasobów, podnosi ogólny poziom bezpieczeństwa. Ważnym aspektem zarządzania uprawnieniami jest stałe monitorowanie potrzeb relewantności uprawnień. Przykładowo, czy uprawnienia nadane na etapie rozwoju środowiska ICT są nadal konieczne do utrzymania w innych fazach, np. w fazie testowej.

Szyfrowanie i zarządzanie kluczami szyfrującymi

Szyfrowanie stanowi fundament bezpiecznego przetwarzania zarówno danych w spoczynku, jak i transmisji danych. Szyfrowanie danych pozwala kontrolować, jakie podmioty uczestniczące w przetwarzaniu mają dostęp do danych, np. w sektorze bankowym kryptografia pozwala na efektywne i zgodne z rekomendacjami nadzoru (Komunikat Chmurowy UKNF z 23 stycznia 2020 r.) korzystanie z outsourcingu usług ICT. 

Przed wyborem metody szyfrowania należy zweryfikować sektorowe wymagania w tym zakresie np. zarządzania oraz generowania kluczy szyfrujących. Warto się odnieść do wspomnianego Komunikatu Chmurowego z 23 stycznia 2020 r. w pkt. VI.2.2. Przed wdrożeniem należy rozważyć konieczność samodzielnego generowania lub zarządzania kluczami szyfrującymi, czy też lepszym wyborem będzie zlecenie tej czynności np. dostawcy. W tej sytuacji, niezbędne będzie oszacowanie i udokumentowanie ryzyka wynikającego z powyższego powierzenia. 

Dodatkowo, ze względu na ograniczenia technologiczne w danej usłudze szyfrowanie danych własnymi kluczami może okazać się niemożliwe.

Wydzielenie środowiska produkcyjnego i testowego

Z praktyki EY wynika, że przed produkcyjnym wdrożeniem, trzeba koniecznie zapewnić wyizolowane środowisko testowe. Jego uruchomienie pozwala na funkcjonalne sprawdzenie, na ile dana usługa oraz jej konfiguracja spełniają potrzeby organizacji. Pozyskane w ten sposób informacje umożliwiają dostosowanie usługi do konkretnych wymagań. 

Równie cenną informacją, która może być uzyskana na tym etapie, jest brak możliwości dostosowania chmury do procesów danego przedsiębiorstwa. Co może oznaczać, że oczekiwana konfiguracja chmury nie jest w stanie sprostać poszczególnym założeniom (np. w zakresie lokalizacji serwerów, przepustowości) lub jest zbyt kosztowna w eksploatacji. 

Taka sytuacja może się wydarzyć, gdy np. planowany rozwój aplikacji w infrastrukturze chmurowej nie będzie możliwy w wybranym serwerze lub regionie ze względu na brak powyższej funkcjonalności. Informacja pochodząca ze środowiska testowego pozwoli na zrezygnowanie z wdrożenia chmury w bezpieczny sposób.

Na co należy zwrócić uwagę przy tworzeniu środowiska testowego lub rozwojowego dla chmury?

  • Zapewnienie bezpieczeństwa danych przedsiębiorstwa oraz klientów (z wyjątkiem wykorzystywania danych testowych)
  • Aktualizacja uprawnień po produkcyjnym uruchomieniu systemu

Landing zone

W przypadku wdrożenia chmury w sektorze regulowanym należy rozważyć przygotowanie landing zone, czyli dostosowania infrastruktury chmurowej do wymagań sektorowych przed jej uruchomieniem w celu zapewnienia zgodności regulacyjnej IT z wymaganiami prawnymi. Jasno określone ramy prawne mogą ułatwić rozwój środowiska chmurowego. 

Lokalizacja danych: przechowywanie danych w Europejskim Obszarze Gospodarczym (EOG) i dostęp aplikacji zlokalizowanych poza EOG 

Na etapie wyboru dostawcy chmurowego lub dostawcy ICT, który wykorzystuje chmurę do świadczenia swoich usług, warto zagwarantować przetwarzanie danych w konkretnych lokalizacjach lub regionach. Większość dostawców ICT oferuje  wybór, gdzie dane będą przechowywane. 

Jednak samo przechowywanie danych nie gwarantuje, że dostęp nich będzie realizowany tylko z obszaru EOG. Warto pamiętać, że niektóre zaawansowane usługi chmurowe będą wymagały dostępu do nich spoza EOG.

Dostęp do danych można uzyskać także spoza EOG w ramach tzw. usług wsparcia. W tej sytuacji, należy przeanalizować wymagania podmiotu w zakresie tzw. usług wsparcia, a także zweryfikować, czy mogą być one realizowane spoza EOG w kontekście ochrony danych osobowych wynikających z RODO lub przepisów sektorowych jak np. art. 6d prawa bankowego.

Niektórzy dostawcy cloud oferują dodatkowe usługi, które umożliwiają kontrolę dostępu zamieszczanych danych. Przy czym, nie zawsze będzie możliwe precyzyjne określenie, z jakiej lokalizacji zgłoszenie dostępu jest realizowane. 

Jak efektywnie wdrożyć chmurę w sektorze regulowanym?

Aby skutecznie wdrożyć chmurę należy zwrócić uwagę przede wszystkim na trzy uzupełniające się aspekty – technologiczny, regulacyjny oraz biznesowy, które nieustannie na siebie wpływają. Zaplanowana strategia wdrożenia  musi uwzględniać zarówno potrzeby danego przedsiębiorstwa, jak i przepisy wpływające na poszczególne obowiązki, np. rozporządzenie DORA czy planowana dyrektywa NIS2. Przejrzyste wymagania przepisów szczegółowych dla konkretnego sektora ułatwią podjęcie decyzji o wdrożeniu usługi. Ponadto, warto skorzystać z rozwiązań IT (np. szyfrowanie czy wydzielenie środowiska testowego), które pozwolą spełnić obowiązki prawne oraz ograniczą ryzyko związane z wdrażaniem chmury w nieodpowiedniej konfiguracji.




Podsumowanie

Właściwa analiza wymagań prawnych, potrzeb biznesowych i dostępnej technologii jest niezbędna w celu bezpiecznego wdrożenia chmury oraz przygotowania landing zone. Odpowiednie zaplanowanie strategii zapewni dostosowanie usługi do konkretnych potrzeb, wygeneruje oszczędności, pozwoli uniknąć problemów natury prawnej i technicznej oraz umożliwi zwiększenie efektywności biznesowej.


Polecane

Chmura to nie tylko sprawa IT

We wdrożenie chmurowe oprócz szefa IT powinien się zaangażować prezes i dyrektor finansowy. Na czym polega ich rola w tym złożonym przedsięwzięciu – mówi Radosław Frańczak, Partner w EY Polska.

Drive2Cloud: Jak szybko budować bezpieczne aplikacje w chmurze dzięki podejściu DevSecOps?

Metodologia DevSecOps pozwala na włączenie wymogów bezpieczeństwa IT w proces deweloperski w sposób minimalizujący ryzyka bez zwalniania tempa dostarczania nowych produktów.

Drive2Cloud: Jak FinOps wspiera zarządzanie kosztami chmury

Wprowadzenie FinOps pozwala organizacjom nie tylko zrozumieć i kontrolować swoje wydatki na chmurę, ale także lepiej dostosować jej wykorzystanie do swoich potrzeb biznesowych - dowiedz się więcej z artykułu.

    Kontakt
    Chcesz dowiedzieć się więcej? Skontaktuj się z nami.

    Informacje