Chmury nad sektorami regulowanymi – jak przygotować organizację do transformacji chmurowej?

Jakie regulacje mają największy wpływ na rozwiązania chmurowe?

O ile przedsiębiorcy nie mają realnego wpływu na rozwój sytuacji geopolitycznej i kolejne kryzysy, tak zdecydowanie mogą przygotować się na zmiany legislacyjne w zakresie technologii chmurowej. W procesie planowania wdrożenia chmury, kluczowa jest wiedza nie tylko o obowiązujących regulacjach, ale również  o planowanych zmianach wpływających na obowiązki firm w zakresie tej technologii.

Kluczowe akty wpływające na rozwiązanie chmurowe na poziomie UE:

• DORA (Digital Operational Resilience Act) – rozporządzenie skierowane do sektora finansowego oraz dostawców ICT (w zakresie wyznaczonych kluczowych dostawców ICT). Parlament Europejski 10 listopada 2022 r. ostatecznie zatwierdził przepisy Rozporządzenia DORA i będzie bezpośrednio stosowane od 24 miesiąca od dnia publikacji.
  
  W tym czasie podmioty z sektora finansowego oraz wyznaczeni kluczowi dostawcy ICT będą musieli podjąć działania, by zapewnić wzrost  operacyjnej odporności cyfrowej oraz zgodności z nową regulacją. Sektor finansowy zostanie zobligowany do wzmocnienia i usprawnienia procesu zarządzania ryzykiem związanym z ICT, wprowadzenia dokładnych testów systemów ICT oraz zintensyfikowania procesu zarządzania ryzykiem wynikającym z zależności podmiotów finansowych od zewnętrznych dostawców usług ICT. Co ważne, większość obowiązków będzie doprecyzowana w wydanych Regulacyjnych Standardach Technicznych.
  
  Więcej o DORA w Raporcie EY i ZBP: Rozporządzenie DORA – rewolucja czy ewolucja w polskim sektorze bankowym?
• Dyrektywa NIS2 – planowana nowelizacja unijnej Dyrektywy NIS, która w Polsce została wdrożona poprzez ustawę o krajowym systemie bezpieczeństwa. Przy czym, NIS2 będzie wymagała wprowadzona do krajowego porządku prawnego. W efekcie, ostateczny kształt obowiązków będzie wynikał z przyjętych w poszczególnych krajach UE aktów prawych. Niemniej jednak znajomość postanowień dyrektywy pozwoli na szybsze i lepsze przygotowanie do bezpośrednich zmian, które czekają polski system prawny.

Chmura a regulacje prawne. Na jakie aktualnie należy zwrócić uwagę?

Już teraz można zauważyć pewne analogie w regulacjach, które także dotyczą projektów chmurowych. Zarówno NIS2, jak i DORA podkreślają wagę szacowania ryzyka oraz odpowiedniej inwentaryzacji zasobów przedsiębiorstwa w celu zapewnienia zgodnego z regulacjami, a także standardami bezpieczeństwa wdrożenia ICT, także tymi chmurowymi.

Kluczowe elementy, na które każdy podmiot sektora regulowanego powinien zwrócić uwagę w przypadku projektów ICT, w tym cloud:

Inwentaryzacja danych i procesów biznesowych, w ramach których dane/informacje są przetwarzane

Właściwe i precyzyjne opisanie procesów biznesowych pozwoli ocenić, czy dany proces jest krytyczny lub istotny dla organizacji. To niezwykle istotne, ponieważ DORA i NIS/NIS2 rozróżniają obowiązki regulacyjne związane np. z minimalną treścią umowy z dostawcą ICT lub częstotliwością testowania, w zależności od tego, czy dany proces jest krytyczny lub kluczowy z perspektywy konkretnego podmiotu. 

Kolejnym ważnym aspektem jest opisanie, jakie dane są przetwarzane z wykorzystaniem danej usługi ICT. Należy pamiętać, że podmioty z sektora regulowanego w dużej mierze przetwarzają dane stanowiące tajemnicę sektorową (np. tajemnicę bankową, ubezpieczeniową) lub dane wrażliwe (np. dane o stanie zdrowia). W tym przypadku, przetwarzanie kwalifikowanych danych może wpływać na podwyższone wymagania regulacyjne. Przykład? Zasady w zakresie przetwarzania tajemnicy sektorowej przez podmioty finansowe, które skutkują m.in. koniecznością stosowania Komunikatu Chmurowego w sektorze finansowym.

Zarządzanie tożsamością i uprawnieniami

Odpowiednie przypisanie ról w organizacji w zakresie zarządzania infrastrukturą ICT, czyli kontrola dostępów do określonych zasobów, podnosi ogólny poziom bezpieczeństwa. Ważnym aspektem zarządzania uprawnieniami jest stałe monitorowanie potrzeb relewantności uprawnień. Przykładowo, czy uprawnienia nadane na etapie rozwoju środowiska ICT są nadal konieczne do utrzymania w innych fazach, np. w fazie testowej.

Szyfrowanie i zarządzanie kluczami szyfrującymi

Szyfrowanie stanowi fundament bezpiecznego przetwarzania zarówno danych w spoczynku, jak i transmisji danych. Szyfrowanie danych pozwala kontrolować, jakie podmioty uczestniczące w przetwarzaniu mają dostęp do danych, np. w sektorze bankowym kryptografia pozwala na efektywne i zgodne z rekomendacjami nadzoru (Komunikat Chmurowy UKNF z 23 stycznia 2020 r.) korzystanie z outsourcingu usług ICT. 

Przed wyborem metody szyfrowania należy zweryfikować sektorowe wymagania w tym zakresie np. zarządzania oraz generowania kluczy szyfrujących. Warto się odnieść do wspomnianego Komunikatu Chmurowego z 23 stycznia 2020 r. w pkt. VI.2.2. Przed wdrożeniem należy rozważyć konieczność samodzielnego generowania lub zarządzania kluczami szyfrującymi, czy też lepszym wyborem będzie zlecenie tej czynności np. dostawcy. W tej sytuacji, niezbędne będzie oszacowanie i udokumentowanie ryzyka wynikającego z powyższego powierzenia. 

Dodatkowo, ze względu na ograniczenia technologiczne w danej usłudze szyfrowanie danych własnymi kluczami może okazać się niemożliwe.

Wydzielenie środowiska produkcyjnego i testowego

Z praktyki EY wynika, że przed produkcyjnym wdrożeniem, trzeba koniecznie zapewnić wyizolowane środowisko testowe. Jego uruchomienie pozwala na funkcjonalne sprawdzenie, na ile dana usługa oraz jej konfiguracja spełniają potrzeby organizacji. Pozyskane w ten sposób informacje umożliwiają dostosowanie usługi do konkretnych wymagań. 

Równie cenną informacją, która może być uzyskana na tym etapie, jest brak możliwości dostosowania chmury do procesów danego przedsiębiorstwa. Co może oznaczać, że oczekiwana konfiguracja chmury nie jest w stanie sprostać poszczególnym założeniom (np. w zakresie lokalizacji serwerów, przepustowości) lub jest zbyt kosztowna w eksploatacji. 

Taka sytuacja może się wydarzyć, gdy np. planowany rozwój aplikacji w infrastrukturze chmurowej nie będzie możliwy w wybranym serwerze lub regionie ze względu na brak powyższej funkcjonalności. Informacja pochodząca ze środowiska testowego pozwoli na zrezygnowanie z wdrożenia chmury w bezpieczny sposób.

Na co należy zwrócić uwagę przy tworzeniu środowiska testowego lub rozwojowego dla chmury?

• Zapewnienie bezpieczeństwa danych przedsiębiorstwa oraz klientów (z wyjątkiem wykorzystywania danych testowych)
• Aktualizacja uprawnień po produkcyjnym uruchomieniu systemu

Landing zone

W przypadku wdrożenia chmury w sektorze regulowanym należy rozważyć przygotowanie landing zone, czyli dostosowania infrastruktury chmurowej do wymagań sektorowych przed jej uruchomieniem w celu zapewnienia zgodności regulacyjnej IT z wymaganiami prawnymi. Jasno określone ramy prawne mogą ułatwić rozwój środowiska chmurowego. 

Lokalizacja danych: przechowywanie danych w Europejskim Obszarze Gospodarczym (EOG) i dostęp aplikacji zlokalizowanych poza EOG 

Na etapie wyboru dostawcy chmurowego lub dostawcy ICT, który wykorzystuje chmurę do świadczenia swoich usług, warto zagwarantować przetwarzanie danych w konkretnych lokalizacjach lub regionach. Większość dostawców ICT oferuje  wybór, gdzie dane będą przechowywane. 

Jednak samo przechowywanie danych nie gwarantuje, że dostęp nich będzie realizowany tylko z obszaru EOG. Warto pamiętać, że niektóre zaawansowane usługi chmurowe będą wymagały dostępu do nich spoza EOG.

Dostęp do danych można uzyskać także spoza EOG w ramach tzw. usług wsparcia. W tej sytuacji, należy przeanalizować wymagania podmiotu w zakresie tzw. usług wsparcia, a także zweryfikować, czy mogą być one realizowane spoza EOG w kontekście ochrony danych osobowych wynikających z RODO lub przepisów sektorowych jak np. art. 6d prawa bankowego.

Niektórzy dostawcy cloud oferują dodatkowe usługi, które umożliwiają kontrolę dostępu zamieszczanych danych. Przy czym, nie zawsze będzie możliwe precyzyjne określenie, z jakiej lokalizacji zgłoszenie dostępu jest realizowane. 

Jak efektywnie wdrożyć chmurę w sektorze regulowanym?

Aby skutecznie wdrożyć chmurę należy zwrócić uwagę przede wszystkim na trzy uzupełniające się aspekty – technologiczny, regulacyjny oraz biznesowy, które nieustannie na siebie wpływają. Zaplanowana strategia wdrożenia  musi uwzględniać zarówno potrzeby danego przedsiębiorstwa, jak i przepisy wpływające na poszczególne obowiązki, np. rozporządzenie DORA czy planowana dyrektywa NIS2. Przejrzyste wymagania przepisów szczegółowych dla konkretnego sektora ułatwią podjęcie decyzji o wdrożeniu usługi. Ponadto, warto skorzystać z rozwiązań IT (np. szyfrowanie czy wydzielenie środowiska testowego), które pozwolą spełnić obowiązki prawne oraz ograniczą ryzyko związane z wdrażaniem chmury w nieodpowiedniej konfiguracji.