Jak przygotować organizację do transformacji chmurowej?

Czas na dostosowanie

DORA zacznie obowiązywać 17 stycznia 2025 r. W tym czasie sektor finansowy oraz wyznaczeni kluczowi dostawcy ICT, w tym takie organizacje, jak Google, Microsoft i Amazon, będą musiały podjąć działania, by zapewnić zgodność z nową regulacją. 

DORA opiera się na następujących filarach:

• Zarządzanie ryzykiem teleinformatycznym: zestaw kluczowych zasad i wymagań dotyczących ram zarządzania ryzykiem ICT;
• Zgłaszanie incydentów związanych z ICT: harmonizacja i usprawnienie  sprawozdawczości + rozszerzenie obowiązków sprawozdawczych na wszystkie podmioty finansowe;
• Cyfrowe testy odporności operacyjnej: zakres testów będzie zależał od skali prowadzonej działalności testy podstawowe będą dotyczyły wszystkich podmiotów a zaawansowane testy penetracyjne tylko większych podmiotów.
• Ryzyko strony trzeciej: zasady monitorowania ryzyka strony trzeciej, kluczowe postanowienia umowne + ramy nadzorcze dla krytycznych dostawców ICT;
• Udostępnianie informacji: dobrowolna wymiana informacji i danych na temat cyberzagrożeń.

Co ważne, część obowiązków będzie doprecyzowana w regulacyjnych  standardach  technicznych (RTS). Należy spodziewać się, że treść RTS będzie odwoływała się do obwiązujących w UE wytycznych unijnych organów nadzoru jak EBA, ESMA i EIOPA w zakresie outsourcingu i zarządzania ryzykiem.

Charakter prawny 

DORA jest skierowana do sektora finansowego oraz dostawców ICT (w zakresie wyznaczonych kluczowych dostawców ICT, w tym usług chmurowych). DORA jest unijnym rozporządzeniem, będzie więc bezpośrednio stosowana w każdym państwie członkowskim (jak np. RODO) bez konieczności wydawania krajowych ustaw. 

Obowiązki wymienione w DORA będą miały charakter obowiązującego prawa. Jest to jedna z najważniejszych zmian w obszarze ICT poza objęciem wyznaczonych dostawców ICT nadzorem finansowym. 

W polskich realiach oznacza to w praktyce, że dotychczasowe obowiązki opisane w soft law (m.in. Rekomendacja D, M i Z,  Komunikat Chmurowy UKNF z 23 stycznia 2020 r., wytyczne europejskiego nadzoru finansowego) nabiorą mocy ustawowej.

Ewolucja, nie rewolucja

Rozporządzenie DORA powinno wpłynąć na rynek pozytywnie w aspekcie wewnątrzorganizacyjnym – przyspieszy uzgodnienia pomiędzy departamentami cyber/IT/zgodności a zarządem – ograniczy margines dyskusji, czy konkretne wymaganie jest tylko zaleceniem nadzoru, czy wymogiem prawnym. Z powodów wymienionych powyżej będzie miało również pozytywny wpływ na budowanie relacji na zewnątrz.

Analiza przepisów dyrektywy DORA pozwala na stwierdzenie, że nie stanowi ona ewolucji ani rewolucji w świecie finansów. Stanowi raczej zebranie w jednym miejscu dotychczasowych  uregulowań  konkretnych zagadnień. Przykładowo: kwestia oceny apetytu na ryzyko była wskazana w wytycznych EBA w zakresie ram zarządzania lub w rekomendacji MKNF,  minimalna treść umowy – w wytycznych EBA w zakresie outsourcingu lub komunikacie chmurowym, zresztą wzorowanym na tych ostatnich. Dlatego stosowanie już istniejących   regulacji pozwoli na szybsze wdrożenie DORA w organizacji.

Jednolite podejście

Jednym z fundamentalnych założeń DORA jest ujednolicenie podejścia do cyberbezpieczeństwa. Wynika to z kompleksowego zakresu merytorycznego regulacji oraz skierowania jej do niemal wszystkich podmiotów, poza np. mikroprzedsiębiorcami. Realizacja jednolitego podejścia do zarządzania ICT jest kluczowa w polskim sektorze finansowym i mamy nadzieję, że DORA się do tego przyczyni. Przykładowo komunikat chmurowy UKNF wyłącza stosowanie wytycznych outsourcingowych unijnych organów nadzoru, co rodzi problemy organizacyjne dla polskich podmiotów będących częścią międzynarodowych grup kapitałowych.

Dodatkowym problemem są polskie przepisy regulujące tzw. łańcuch outsourcingowy, tj. komu i na jakich warunkach instytucja finansowa może powierzyć wykonywanie czynności. Ujednolicenie wymagań umownych w DORA w zakresie powierzenia (odwołujących się do wytycznych outsourcingowych unijnych nadzorów) prawdopodobnie nie rozwiąże problemu łańcucha outsourcingowego w polskim sektorze finansowym, ponieważ polskie ustawy   sektorowe różnie ustalają warunki tego powierzenia, co utrudnia jednolite zarządzanie outsourcingiem ICT.

Pomimo że DORA reguluje kompleksowo warunki powierzenia czynności, to należy liczyć się z koniecznością stosowania polskich ustaw sektora finansowego. Naszym zdaniem trzeba to  ocenić  krytycznie, biorąc pod uwagę odmienne uregulowanie tej kwestii w poszczególnych  ustawach lub propozycji ich nowelizacji (np. prawa bankowego). W naszej ocenie warto byłoby skorzystać z szansy, jaką stwarza DORA, i kompleksowo ujednolicić outsourcing w polskim sektorze finansowym zgodnie ze standardami unijnymi.

Warto zasygnalizować również wzajemną relację aktów prawnych na poziomie unijnym, np. w zakresie zarządzania danymi/procesami przez DORA i AI Act. Może to rodzić potencjalny problem w ocenie, którą regulację należy stosować.

Znaczenie dla sektora i konsumentów 

Z perspektywy klienta usprawnienie zarządzania usługami chmurowymi w sektorze finansowym także powinno odnieść wymierny pozytywny skutek. Przedmiotem wdrożeń i zarządzania chmury są rozwiązania, które mają zapewnić lepszą obsługę klienta, bezpieczeństwo naszych danych i finansów – jak np. rozwój aplikacji  mobilnych, zapobieganie fraudom lub kradzieży tożsamości.

Na co zwrócić uwagę podczas planowania

Etap projektowania infrastruktury

Przy  projektowaniu infrastruktury chmurowej należy przeanalizować, czy wymagania regulacyjne (np. rezydencja danych) oczekiwanie biznesowe (elastyczność i koszty) i niefunkcjonalne (np. dostępność usług, BCP/DR, szybkość, bezpieczeństwo), są spełnione w ramach definiowanej konfiguracji chmurowej. Oczekiwana konfiguracja chmury musi sprostać poszczególnym założeniom (np. w zakresie lokalizacji serwerów, przepustowości) lub jest zbyt kosztowna w eksploatacji. Taka sytuacja może się wydarzyć, gdy np. planowany rozwój aplikacji w infrastrukturze chmurowej nie będzie możliwy w wybranym serwerze lub regionie ze względu na brak powyższej funkcjonalności. 

Inwentaryzacja danych i  procesów biznesowych, w ramach których dane/ informacje są przetwarzane

Właściwe i precyzyjne opisanie procesów biznesowych pozwoli ocenić, czy dany proces jest krytyczny lub istotny dla organizacji. To niezwykle istotne, ponieważ DORA rozróżnia obowiązki regulacyjne związane  np. z minimalną treścią umowy z dostawcą usług chmurowych lub częstotliwością testowania, w zależności od tego, czy dany proces jest krytyczny lub kluczowy z perspektywy konkretnego podmiotu. 

Kolejnym ważnym aspektem jest opisanie, jakie dane są przetwarzane z wykorzystaniem danej usługi chmurowej. Należy pamiętać, że podmioty z sektora regulowanego w dużej mierze przetwarzają dane stanowiące tajemnicę sektorową (np. tajemnicę bankową, ubezpieczeniową) lub dane wrażliwe (np. dane o stanie zdrowia). W tym przypadku, przetwarzanie kwalifikowanych danych może wpływać na podwyższone wymagania regulacyjne.

Zarządzanie tożsamością i uprawnieniami

Odpowiednie przypisanie ról w organizacji w zakresie zarządzania infrastrukturą chmurową, czyli kontrola dostępów do określonych zasobów, podnosi ogólny poziom bezpieczeństwa. Ważnym aspektem zarządzania uprawnieniami jest stałe monitorowanie uprawnień. Przykła- dowo, czy uprawnienia nadane na etapie rozwoju środowiska chmurowego są nadal konieczne do utrzymania w innych fazach, np. w fazie testowej. Zarządzanie uprawnieniami pozwoli także kontrolować koszty usług  chmurowych – warto ustalić w organizacji, kto jest uprawniony do powoływania nowych środowisk w chmurze.

Szyfrowanie i zarządzanie kluczami szyfrującymi

Szyfrowanie stanowi fundament bezpiecznego przetwarzania zarówno danych w spoczynku, jak i transmisji danych. Szyfrowanie danych pozwala kontrolować, jakie podmioty uczestniczące w przetwarzaniu mają dostęp do danych, np. w sektorze bankowym kryptografia pozwala na  efektywne i zgodne z rekomendacjami nadzoru (komunikat chmurowy UKNF) korzystanie z outsourcingu usług chmurowych. 

Przed wyborem metody szyfrowania należy zweryfikować sektorowe wymagania w tym zakresie np. zarządzania oraz generowania kluczy szyfrujących. Warto się odnieść do komunikatu        chmurowego UKNF w pkt VI.2.2. Przed wdrożeniem należy rozważyć samodzielne generowanie lub zarządzanie kluczami szyfrującymi lub zlecenie tej czynności dostawcy, na  przykład gdy ze względu na ograniczenia technologiczne w danej usłudze szyfrowanie danych własnymi kluczami może okazać się niemożliwe. W tej sytuacji niezbędne będzie oszacowanie i udokumentowanie ryzyka wynikającego z powierzenia szyfrowania dostawcy. 

Planowanie i implementacja

Aby efektywnie implementować powyższe regulacyjne zalecenia, w organizacjach wdrażających chmurę obliczeniową, a szczególnie w instytucjach finansowych, istotne jest zaplanowanie i implementacja tzw. Cloud governance, czyli zasad zarządzania środowiskiem chmurowym. 

Te praktyki zarządcze obejmują między innymi zarządzanie rolami i dostępami, polityki cyberbezpieczeństwa (jak blokowanie wyjścia ruchu na internet), określanie puli zasobów chmurowych, które konkretne role w organizacji mogą powoływać, oraz procesów akceptacji.

Z naszej praktyki rekomendujemy zdefiniowanie zrębów chmurowego governance’u już przy planowaniu pierwszych fundamentów technologicznych, a następnie szybką ich automatyzację, aby  przeciwdziałać niekontrolowanemu rozwojowi środowiska chmurowego. Automatyzacja taka jest wspierana przez natywne narzędzia chmurowe. 

Organizacje sektora finansowego zazwyczaj podchodzą do wdrożenia chmury dwuetapowo,  wyraźnie rozgraniczając fazę analizy i przygotowania oraz implementację. To w fazie przygotowawczej analizowane są obowiązujące regulacje i definiowana jest luka w zakresie regulacyjnym oraz zarządzania ryzykiem związanym z planowaną implementacją chmury obliczeniowej, którą należy zaadresować przed potwierdzeniem planu i rozpoczęciem implementacji.

Poza weryfikacją kwestii regulacyjnych i zarządzania ryzykiem, w celu podjęcia dobrej decyzji i odpowiedniego zaplanowania wdrożenia organizacje już na początku starają się zaadresować kluczowe kwestie związane z podejściem do transformacji chmurowej: 

• Przygotowanie business case’u chmurowego i definicja wskaźników biznesowych (KPIs) pozwalają na uzgodnienie w ramach organizacji, jakie koszty i jakie korzyści biznesowe oczekiwane są z wdrożenia chmury. Ponieważ jest to bardzo istotna i długofalowa transformacja, to kluczowe jest zbudowanie wśród interesariuszy, jak i w szerszej organizacji, świadomości celu i istotności podejmowanych działań.
• Analiza istniejącego stosu technologicznego i aplikacji krytycznych pod kątem przeniesienia do chmury, także z perspektywy wymagań dotyczących ciągłości działania i dostępności usług, pozwala z jednej strony na wybór odpowiedniego dostawcy chmurowego, a z drugiej na oszacowanie pracochłonności i roadmapy wdrożenia. 
• Analiza istniejących w organizacji kompetencji oraz przygotowanie planu na pozyskanie brakujących umiejętności pozwala na płynne przeprowadzenie wdrożenia i tworzy zręby dla przyszłego modelu operacyjnego, który zmieni się  istotnie w trakcie i po wdrożeniu chmury. 
• Przygotowanie założeń odnośnie do sposobu rozliczania kosztów chmurowych (a więc zmiennych) i ich alokacji na jednostki w ramach organiza- cji pozwala na zdefiniowane odpowiedzialności oraz właściwe pogrupowanie i oznaczenie zasobów chmurowych od początku planowania infrastruktury.
• Weryfikacja obecnie posiadanych licencji pod kątem możliwości ich wykorzystania lub przeniesienia na środowisko chmurowe – umożliwia to wyliczenie faktycznych kosztów chmury.

Weryfikacja, negocjacje i podpisanie umowy z wybranym dostawcą chmury obliczeniowej jest krytyczne dla efektywnego korzystania z narzędzi chmurowych oraz pełnego zabezpieczenia organizacji pod kątem regulacyjnym i operacyjnym.

Podsumowanie

Artykuł ukazał się w Rzeczpospolitej 9 maja 2023.