Czy outsourcing chmurowy to outsourcing szczególnego rodzaju?

Komisja Nadzoru Finansowego prowadzi prace nad nowym Komunikatem dotyczącym przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej o charakterze publicznym. Komunikat ma zastąpić ten obecnie obowiązujący, wydany dwa lata temu – w październiku 2017 r. Jego celem jest dodatkowe uregulowanie zasad dokonywania przez podmioty sektora finansowego outsourcingu opartego na chmurze obliczeniowej. Dlaczego właśnie ten rodzaj relacji outsourcingowej rodzi szczególną troskę nadzoru? Czy rzeczywiście jest to uzasadnione?

Ryzyko związane z outsourcingiem chmurowym

Z wprowadzenia do projektu Komunikatu (pkt. II) możemy wyczytać, że korzystanie z usług chmury obliczeniowej, publicznej lub hybrydowej, bo do tych się on odnosi, wiąże się z ryzykiem koncentracji oraz ryzykiem związanym z przetwarzaniem informacji prawnie chronionych w chmurze. W przypadku podmiotów nadzorowanych chodzi np. o tajemnicę bankową czy płatniczą. Dodatkowo, z dalszej treści komunikatu, możemy wyprowadzić jeszcze jedną, podstawową kategorię ryzyka, związaną z właściwym funkcjonowaniem usług podmiotu nadzorowanego wspieranych usługami chmurowymi. Te trzy wskazane stanowią podstawowe ryzyka związane z korzystaniem z rozwiązań chmurowych. Bardziej szczegółową klasyfikację zagrożeń, w rozbiciu na czynniki pierwsze, opisuje natomiast rozdział VI projektu Komunikatu poświęcony szacowaniu ryzyka.

Z uwagi na występowanie wymienionego ryzyka, a także niespójne, zdaniem Regulatora, podejście rynku do dopuszczalności oraz zasad stosowania outsourcingu chmurowego, konieczne jest w jego ocenie sformułowanie tychże zasad i szczegółowych wytycznych. To drugie, tj. wątpliwości co do dopuszczalności stosowania, a w konsekwencji niejednolite zasady stosowane przez rynek, wynikają jednak przede wszystkim z samego podejścia KNF, która z tego typu relacjami identyfikuje szczególne ryzyko. Te obawy Regulatora przenoszą się następnie na podmioty nadzorowane. Intencją Komunikatu jest zatem, z jednej strony, rozwianie tych wątpliwości, a z drugiej – wytyczenie szczególnych ram dla chmurowych relacji outsourcingowych. Obejmują one zasady klasyfikacji i oceny przetwarzanych informacji, zasady szacowania ryzyka, wymagania techniczne i organizacyjne przetwarzania w chmurze, w tym wymogi stawiane dostawcom oraz zasady informowania KNF.

Outsourcing chmurowy vs inny outsourcing technologiczny

Wytyczne zawarte w projekcie Komunikatu stanowią uzupełnienie i uszczegółowienie zaleceń zawartych we właściwych wytycznych sektorowych dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego. Jeżeli dla danego sektora taka regulacja została przez KNF wydana, należy ją stosować łącznie z projektowanym Komunikatem. Dla sektora bankowego, przykładowo, jest to rekomendacja D, a w niej rek. 10 opisująca zasady współpracy z zewnętrznymi dostawcami usług teleinformatycznych. Podobną regulację posiadają też m. in. TFI, zakłady ubezpieczeń i firmy inwestycyjne. Nazwijmy je, dla ułatwienia, zbiorczo wytycznymi sektorowymi.

Regulacja projektu Komunikatu rozszerza wyraźnie wymagania nałożone tymi wytycznymi. Dodajmy także dla porządku – obejmującymi również relacje outsourcingu chmurowego. Skoro outsourcing ten objęty jest dodatkową, szczególną regulacją, nasuwa się kilka pytań. Czy generuje on dodatkowe ryzyko, nie występujące w innych relacjach outsourcingu technologicznego? Może ryzyko jest tego samego rodzaju, ale o większej skali? A może outsourcing chmurowy jest na tyle wyjątkowy, że nie sposób dopasować do niego zasad ogólnych i muszą one być objęte regulacją specyficzną?

Potrzeba odrębnej regulacji

Zdaje się, że Regulator na postawione wyżej pytania odpowiedziałby twierdząco. Dyskusja na temat przewagi korzyści nad wadami rozwiązań chmurowych, i na odwrót, w tym również w kontekście bezpieczeństwa, toczy się od czasu upowszechnienia zastosowania tego rodzaju rozwiązań w informatyce. Nie ulega też wątpliwości, że generują ona identyfikowane przez KNF ryzyko – koncentracji, bezpieczeństwa przetwarzanych informacji i związanych z tym przetwarzaniem usług. Czy regulacja jest zatem potrzebna? Tak. I biorąc pod uwagę aktualny stan rynku, powinna się raczej przyczynić do upowszechnienia outsourcingu chmurowego. Powstaje jednak inne pytanie. Czy rzeczywiście tylko outsourcing chmurowy generuje tego rodzaju ryzyko dla działalności podmiotów nadzorowanych? A dalej, skoro KNF dostrzega potrzebę narzucenia kazuistycznych często zasad wprowadzanych projektowanym Komunikatem, to czy nie powinny one też mieć zastosowania do innego rodzaju relacji outsourcingu technologicznego – o podwyższonym ryzyku.

Powołam się na początek na rekomendację D, jedną z wytycznych sektorowych, będącą dla banków punktem wyjścia w zakresie wymogów outsourcingu technologicznego. Rekomendacja 10.6 narzuca dodatkowe wymogi, m. in. w zakresie szyfrowania danych, czy raportowania incydentów przez dostawcę, jeżeli usługi świadczone przez podmiot zewnętrzny obejmują przetwarzanie danych o wysokim stopniu poufności lub istotności dla banku poza infrastrukturą teleinformatyczną banku. Wśród przykładów takich usług wskazany jest oczywiście model Cloud Computingu, ale także inne formy modelu Application Service Provision – w zewnętrznych centrach przetwarzania danych. I są to tylko wskazania przykładowe. Nietrudno wyobrazić sobie relacje outsourcingu technologicznego obarczone ryzykami podobnymi, a często i większymi od niejednej relacji chmurowej. Korzystanie z zewnętrznych serwerowni, zewnętrzne utrzymanie istotnych aplikacji i systemów IT. Mogą i najczęściej dotyczą ich te same ryzyka koncentracji, bezpieczeństwa przetwarzanych informacji i świadczonych w oparciu o nie usług. Jednocześnie szczegółowe zasady wyznaczone projektowanym Komunikatem a nieuregulowane w wytycznych sektorowych, mogłyby mieć do nich wprost zastosowanie. Chociażby te w zakresie spełniania przez dostawcę niektórych norm ISO czy zasad szyfrowania.

Tą drogą – unifikacji wymogów dla relacji outsourcingowych, w tym technologicznych, poszedł, jak się wydaje, ustawodawca europejski. Wytyczne EBA dot. relacji outsourcingowych, opublikowane 25 lutego 2019 roku, uchyliły wytyczne tego samego organu w zakresie outsourcingu chmurowego, wydane nieco ponad rok wcześniej, bo w grudniu 2017 r. (!). Bynajmniej nie oznacza to, że zagadnienie wymknęło się regulacjom. Aktualne wytyczne obejmują swoją regulacją także outsourcing chmurowy. Nie traktują go jednak w szczególnie wyjątkowy sposób i nie kreują zasad i obowiązków, które nie miałyby zastosowania także do innych relacji outsourcingowych, związanych z powierzeniem przetwarzania informacji prawnie chronionych. Czy to właściwsza droga?