HNB: Banke malo koriste cloud rješenja

Na domaćem se IT tržištu već neko vrijeme govori kako bi banke koje posluju u Hrvatskoj uskoro mogle početi ekstenzivnije smanjivati svoje IT odjele i time poslovanje seliti u druge europske države i to prije svega tamo gdje se nalaze njihove „banke majke“. Pokušavajući proniknuti u bit ove vrlo zanimljive priče za domaći IT sektor upitali smo za mišljenje Hrvatsku narodu banku kao krovnu instituciju i prije svega regulatora ovog vrlo osjetljivog tržišta što je nabolje bilo viđeno u nedavnoj priči o švicarskom franku.

Iz HNB-a tako poručuju da se ne slažu s takvim ocjenama i to pojašnjavaju činjenicom da primjena računarstva u oblaku (engl. cloud computing) i razina eksternalizacije (engl. outsourcing) u bankovnom sustavu Republike Hrvatske za sada je razmjerno ograničena.

Prema podacima s kojima raspolaže HNB, 95 posto kreditnih institucija ne koristi i ne planira koristiti tzv. Infrastructure-as-a-Service (IaaS), a 97 posto institucija ne koristi i ne planira koristiti tzv. Platform-as-a-Service (PaaS). U nešto većoj mjeri (17 posto kreditnih institucija) primijenjen je tzv. Software-as-a-Service (SaaS), i to prvenstveno u smislu eksternalizacije određenih specifičnih modula/aplikacija.

Trenutno je samo jedna od 34 kreditne institucije u RH, čiji je udio u ukupnoj aktivi bankovnog sustava manji od 0,5 posto, u cijelosti eksternalizirala procesiranje i održavanje glavne bankovne aplikacije izvan teritorija RH, ali unutar EU, u smislu da se radi o SaaS modelu.

„Pri tome je potrebno naglasiti da je riječ o „privatnom oblaku“. Nadalje, točno je da su neke kreditne institucije u RH u vlasništvu europskih bankovnih grupacija pod inicijativom banaka matica, dakle vlasnika pokrenule grupne IT projekte vezane uz tzv. konsolidaciju odnosno centralizaciju podatkovnih centara (engl. data centers) što bi u konačnici moglo rezultirati i migracijom ključne poslužiteljske i mrežne infrastrukture te ključnih bankovnih aplikacija izvan teritorija RH. Međutim, kao preduvjet za realizaciju takvih (grupnih) IT projekata, kreditne institucije u RH moraju ispuniti sve regulatorne zahtjeve vezane uz eksternalizaciju. U okviru toga, kreditne institucije moraju dokazati da su primjereno adresirani svi relevantni rizici te identificirane potrebne kontrole i mjere za ovladavanje istima, odnosno dokazati HNB-u da namjeravane eksternalizacije IT usluga, konsolidacije/centralizacije podatkovnih centara i implementacija cloud usluga neće smanjiti postojeću razinu zaštite podataka i procesiranja istih“, tvrde u HNB-u.

Prema njihovim saznanjima i sukladno EU supervizorskoj praksi eksternalizacija nije zabranjena, pa samim time nije zabranjena i eksternalizacija usluga podatkovnih centara te cloud computing-a. Većina zakonskih nedoumica vezanih za “cloud modele“ proistječe iz činjenice da se cloud computing distribuirana tehnologija (koja je u nezadrživom porastu na globalnom tržištu) učestalo koristi u teritorijalno različitim jurisdikcijama, tvrde u HNB-u na upit kako u mnogim europskim državama takav postupak je ograničen i osnovni podatkovni centar se nalazi u državi matičnog poslovanja.

„Kada se govori o cloud computing-u na razini Europske unije vidljivo je da stajališta Europske komisije, Vijeća europe i Europskog parlamenta nisu konačna i da u pravilu uvjetno podupiru razvoj cloud computing-a. Međutim, različite agencije, tijela i radne skupine (primjerice, European Union Agency for Network and Information Security - ENISA) na razini EU itekako su svjesni različitih rizika na tehnološkom, ugovornom, procesnom i regulatornom nivou kojima je potrebno ovladati kako bi se stekli preduvjeti za kontroliranu implementaciju cloud usluga (posebno u slučaju korištenja „javnog oblaka“) u širem opsegu na razini tržišta EU, ali i na razini kreditnih institucija“, ističu u HNB-u.

U ovom trenutku eksternalizacija aktivnosti vezanih uz informacijske sustave kreditnih institucija u RH nije zabranjena odnosno ne postoje zakonska ograničenja da kreditne institucije eksternaliziraju informacijske sustave u i izvan teritorija RH uz uvjet da se pridržavaju Zakona o kreditnim institucijama i pripadajućih podzakonskih akata te ostalih pozitivnih propisa u RH (primjerice, Zakon o zaštiti osobnih podataka, Zakon o platnom prometu).

Drugim riječima, kreditne institucije u RH mogu "prebaciti svoje data centre izvan Hrvatske" jer pravni okvir i propisi RH to ne zabranjuju uz uvjet da je kreditna institucija u RH osigurala da eksternalizacija ne narušava obavljanje redovnog poslovanja kreditne institucije, djelotvorno upravljanje rizicima kreditne institucije, sustav unutarnjih kontrola kreditne institucije i mogućnost obavljanja supervizije od Hrvatske narodne banke i uz uvjet da eksternalizacija podatkovnih centara ne predstavlja značajnu prepreku mogućnosti sanacije kreditne institucije u RH.

U pogledu rizika informacijskog sustava, kreditne institucije moraju dokazati da su primjereno adresirani svi relevantni rizici i identificirane potrebne kontrole i mjere za ovladavanje istima te da planirane eksternalizacije IT usluga, odnosno konsolidacije/centralizacije podatkovnih centara i implementacije cloud usluga neće spustiti postojeće razine zaštite i procesiranja podataka .

Temeljem budućeg Zakona o sanaciji kreditnih institucija i investicijskih društava (trenutno na raspravi u Hrvatskom saboru), ukoliko bi postojale značajne prepreke za provođenje stečajnog postupka odnosno postupka sanacije kreditne institucije (vodeći računa o mogućem negativnom utjecaju koji te prepreke predstavljaju za financijsku stabilnost te učinak predloženih mjera na poslovanje institucije, njenu stabilnost i mogućnost doprinosa gospodarstvu), HNB će imati zakonsku mogućnost rješenjem naložiti kreditnoj instituciji, između ostalog, promjenu njene pravne ili operativne strukture da bi se smanjila složenost i osigurala mogućnost pravnog i operativnog razdvajanja ključnih funkcija od ostalih funkcija pri primjeni sanacijskih instrumenata.

Ključne funkcije su aktivnosti, usluge ili djelatnosti čiji bi prestanak pružanja u jednoj ili više država članica vjerojatno doveo do prekida usluga bitnih za realno gospodarstvo ili do poremećaja financijske stabilnosti zbog veličine, tržišnog udjela, vanjske i unutarnje međusobne povezanosti, složenosti ili prekograničnih aktivnosti institucije ili grupe, a osobito s obzirom na zamjenjivost tih aktivnosti, usluga ili djelatnosti.

Hrvatska narodna banka će, uzimajući u obzir stroge regulatorne zahtjeve i supervizorska očekivanja vezana uz eksternalizaciju (kako u RH, tako i u EU), razmotriti sve mogućnosti i poduzeti sve što može sukladno svojim ovlastima kako predmetne eksternalizacije ne bi dovele u pitanje sigurnost i stabilnost bankovnog sustava u RH (uvažavajući pri tome pozitivne propise RH i pravnu stečevinu EU.)

Prema saznanjima HNB-a i sukladno EU supervizorskoj praksi, eksternalizacija općenito pa samim time i eksternalizacija tzv. usluga podatkovnih centara te "cloud computing"-a nije zabranjena. Kada se govori o "cloud computing"-u, ponavljamo uvodno rečeno, da je na razini Europske unije vidljivo kako stajališta Europske komisije, Vijeća Europe i Europskog parlamenta nisu konačna i da u pravilu uvjetno podupiru razvoj "cloud computing"-a. Međutim, različite regulatorne agencije, tijela i radne skupine na razini EU itekako su svjesni rizika na tehnološkom, ugovornom, procesnom i regulatornom nivou kojima je potrebno ovladati kako bi se stekli preduvjeti za kontroliranu implementaciju "cloud usluga" (posebno public cloud-a) u širem obujmu na razini tržišta EU, pa tako i na razini kreditnih institucija.

„Kreditne institucije u RH imaju implementirane uglavnom razmjerno napredne mehanizme autentifikacije korisnika i autorizacije transakcija. Ovakvo stanje djelomično je posljedica regulatornih obaveza (koje proizlaze iz Odluke o primjerenom upravljanju informacijskim sustavom) ali i povijesnog nasljeđa te svjesnosti o potrebama sigurnosti koja postoji u velikim bankama. HNB kontinuirano potiče banke da unaprjeđuju sigurnost plaćanja koja se odvijaju posredstvom Interneta te ulaže velike napore kako u razvoj supervizije informacijskih sustava i regulatornog okvira vezanog uz informacijske sustave kreditnih institucija tako i u osvješćivanje kreditnih institucija u svezi IT rizika te prati aktualnu europsku praksu vezanu uz sigurnost internetskih plaćanja“, ističu u HNB-u.

Potrebno je naglasiti, pojašnjavaju iz HNB-a, kako nije moguće a'priori zaključiti da bi se eksternalizacijom procesiranja podatka u podatkovne centre pogoršao utjecaj, kako ste naveli: „hackersko-virusnih napada na banke“.

„Implementacija cloud usluga u pravilu povećava kompleksnost procesa upravljanja incidentima što u konačnici može utjecati na učinkovitost odgovara na iste. Stoga, kako bi se održala primjerenost procesa i mogućnost pravovremenog/primjerenog odgovora na incidente, kreditne institucije moraju inzistirati na jasno definiranim odgovornostima i protokolima u slučaju pojave incidenata, uvesti jasne ugovorne odredbe vezane uz upravljanje incidentima te zadržati značajnu kontrolu nad informacijskim sustavom (primjerice, kreditna institucija treba imati mogućnost neposrednog nadzora i mogućnost pristupa logovima u realnom vremenu nad kritičnim dijelovima sustava“, tvrde u HNB-u.

PRVANA REGULATIVA

U nastavku u vrlo opširnom odgovoru HNB koji smo dobili donosimo njihovo pojašnjenje i pravni okvir u kojem su navedeni i ukratko razloženi ključni dokumenti i propisi. Vezano uz europsku praksu i razvoj regulatornog okvira u nastavku je dan prikaz razvoja smjernica i regulative vezane uz eksternalizaciju iz EU, Republike Hrvatske iz domene Hrvatske narodne banke kao i obveze koje je RH preuzela pristupanjem Marakeškom ugovoru o osnivanju Svjetske trgovinske organizacije (WTO):

Ø      Međunarodni, standardi i smjernice vezane uz eksternalizaciju

Bazelski odbor za superviziju banaka (Basel Committee on Banking Supervision - BCBS) u kolovozu 2004. objavio je konzultativni dokument Eksternalizacija financijskih usluga[1] koji je postao službeni dokument u veljači 2005. godine, a u kojem se razlaže problematika te se prezentiraju smjernice vezane uz eksternalizaciju namijenjene financijskim institucijama kao i regulatorima koji nadziru te institucije.

Odbor europskih bankovnih supervizora (Committee of European Banking Supervisors  - CEBS), čiju ulogu je od 1. siječnja 2011. godine preuzelo Europsko nadzorno tijelo za bankarstvo (European Banking Authority - EBA), prepoznao je važnost eksternalizacije kao i njezinog utjecaja na financijsku industriju. CEBS/EBA je u svojim dokumentima Glavni principi eksternalizacije[2], Standardi eksternalizacije[3] i Smjernice o eksternalizaciji[4] izložila upute za financijske institucije i supervizore vezano uz eksternalizaciju usluga te postupke kontrole i nadzora eksternaliziranih usluga kako bi, između ostalog, promicala veću dosljednost pristupa unutar nacionalnih zakonodavnih okvira. Glavni cilj Smjernica o eksternalizaciji je promicanje primjerene razine konvergencije supervizorskih praksi diljem EU.

Ø      Međunarodni ugovori

Republika Hrvatska je članica Svjetske trgovinske organizacije te je sukladno Zakonu o potvrđivanju Protokola o pristupanju Republike Hrvatske Marakeškom ugovoru o osnivanju Svjetske trgovinske organizacije ("Narodne novine", br. 13/2000.) preuzela određene obveze, između ostalih i obveze vezane uz trgovinu uslugama. U mjeri u kojoj bi usluge obrade podataka za domaću banku pružalo društvo sa sjedištem u državi članici WTO-a, takvo pružanje usluga bi se obavljalo bez ograničenja. Naime, prema Rasporedu specifičnih obveza u trgovini uslugama (kako su preuzete članstvom Republike Hrvatske u WTO-u), konzultantske usluge glede instaliranja kompjutorskog hardvera, usluge primjene softvera, usluge obrade podataka, usluge glede baza podataka, pružanje i prijenos financijskih informacija i obrada financijskih podataka i s tim vezanog softvera dobavljača ostalih financijskih usluga, nisu podložne ograničenjima.

Ø      Smjernice i regulativa vezana uz eksternalizaciju iz nadležnosti HNB-a

Smjernice za adekvatno upravljanje rizikom eksternalizacije i Smjernice za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika stvorile su dobre polazne osnove (u regulatornom smislu) za kvalitetno upravljanje rizicima koji su povezani s eksternalizacijom u bankarskom sektoru u RH. Donošenjem Odluke o primjernom upravljanju informacijskim sustavom 2007. godine (u daljnjem tekstu: stara Odluka o IS) prvi put su uvedene eksplicitne obveze vezane uz eksternalizaciju, i to uz eksternalizaciju (dijela) informacijskog sustava. Naime, starom Odlukom o IS-u bilo je propisano da izravni nadzor od strane Hrvatske narodne banke u odnosu na pružanje usluga na teritoriju Republike Hrvatske i izvan njega od strane pružatelja usluga rezidenata ili nerezidenata ne smije ni na koji način i ni u kojem trenutku biti onemogućen, ograničen ili otežan, da je prije donošenja odluke o eksternalizaciji (dijela) informacijskog sustava banka dužna procijeniti rizik eksternalizacije te da je banka dužna kontinuirano nadzirati način i kvalitetu pružanja ugovorenih usluga.

Donošenjem Zakona o kreditnim institucijama po prvi puta su u zakon ugrađene odredbe vezane uz eksternalizaciju, prema kojima je kreditna institucija dužna uspostaviti odgovarajući sustav upravljanja rizicima koji su povezani s eksternalizacijom te svojim internim aktima propisati postupke u vezi s eksternalizacijom. Isto tako, kreditna institucija dužna je osigurati da eksternalizacija ne narušava obavljanje redovitog poslovanja kreditne institucije, djelotvorno upravljanje rizicima kreditne institucije, sustav unutarnjih kontrola kreditne institucije i mogućnost obavljanja supervizije od strane Hrvatske narodne banke.

Nakon donošenja Zakona o kreditnim institucijama donesena je Odluka o eksternalizaciji koja predstavlja jedini sveobuhvatni dokument koji propisuje obveze kreditnih institucija vezane uz eksternalizaciju odnosno: uvjete za eksternalizaciju, pravila za upravljanje rizicima koji su povezani s eksternalizacijom, obuhvat internih akata u vezi s eksternalizacijom, zahtjeve u svezi s pristupom podacima i dokumentaciji te obavljanjem izravnog nadzora od strane Hrvatske narodne banke, minimalni sadržaj ugovora s pružateljima usluga te sadržaj dokumentacije za potrebe procjene Hrvatske narodne banke u slučaju namjere eksternalizacije materijalno značajnih aktivnosti.

Ø      Zakon o zaštiti osobnih podataka i uloga Agencije za zaštitu osobnih podataka

Temeljem Ustava RH odnosno ustavne odredbe o pravu na zaštitu osobnih podataka[5] donesen je Zakon o zaštiti osobnih podataka (u daljnjem tekstu: ZZOP) koji uređuje zaštitu osobnih podataka fizičkih osoba i nadzor nad prikupljanjem, obradom i korištenjem osobnih podataka u RH. Zakon o zaštiti osobnih podataka kao temeljni akt u području zaštite osobnih podataka u RH trebao bi biti (u svim bitnim odredbama) usklađen s Direktivom 95/46/EZ o zaštiti pojedinaca glede obrade osobnih podataka i o slobodnom kretanju takvih podataka. Prikupljanje i obrađivanje osobnih podataka moguće je isključivo ako je ispunjen bilo koji uvjet iz ZZOP-a odnosno članka 7. ZZOP-a, kao i članka 8. ZZOP-a ako se radi o posebnim kategorijama osobnih podataka. Povjeravanje poslova obrade osobnih podataka od strane voditelja zbirke osobnih podataka prema izvršitelju obrade mora nužno biti u skladu s odredbom čl. 10 ZZOP-a. Naime, voditelj zbirke osobnih podataka može na temelju ugovora pojedine poslove u svezi s obradom osobnih podataka u okvirima svojeg djelokruga povjeriti drugoj fizičkoj ili pravnoj osobi (u daljnjem tekstu: izvršitelj obrade). Poslovi u svezi s obradom osobnih podataka mogu se povjeriti samo izvršitelju obrade koji je registriran za obavljanje takve djelatnosti i koji osigurava dovoljna jamstva u pogledu ostvarivanja odgovarajućih mjera zaštite osobnih podataka, odnosno klasificiranih podataka ukoliko ispunjava uvjete utvrđene posebnim propisima koji uređuju područje informacijske sigurnosti.

Iznošenje osobnih podataka iz RH je dozvoljeno i regulirano je čl. 13. ZZOP-a koji propisuje da se zbirke osobnih podataka, odnosno da se osobni podaci sadržani u zbirkama osobnih podataka smiju iznositi iz RH u svrhu daljnje obrade samo ako država ili međunarodna organizacija u koju se osobni podaci iznose ima odgovarajuće uređenu zaštitu osobnih podataka, odnosno adekvatnu razinu zaštite. U slučaju gdje se obrada osobnih podataka povjerava izvršitelju obrade unutar teritorija Europske unije, odnosno unutar sustava odgovarajuće zaštite osobnih podataka dostatno je da voditelj zbirke podataka sa izvršiteljem obrade zaključi ugovor o povjeravanju poslova obrade podataka na način kako je određeno odredbama članka 10. ZZOP-a. Isto tako, prije iznošenja podataka iz RH voditelj zbirke osobnih podataka dužan je, u slučaju kada postoji osnova za sumnju o postojanju odgovarajuće uređene zaštite osobnih podataka, odnosno osigurane adekvatne razine zaštite, pribaviti mišljenje Agencije za zaštitu osobnih podataka.