Bezpieczeństwo i stabilność biznesu w erze cyfrowej

Mówi się, że dane to waluta XXI wieku.

Wojciech Mach, CEO GFT Poland: Dane otaczają nas zewsząd, wpływają na życie prywatne i zawodowe. Na to, jak się komunikujemy, jak funkcjonują nasze przedsiębiorstwa czy administracja państwowa.

Tak jak korzystanie z pieniędzy wymaga systemów bankowych, ustalonych kursów wymiany czy terminali płatniczych, podobnie dane są mało użyteczne bez analizy, agregacji czy znalezienia wewnętrznych korelacji, oddających faktyczne zachowania użytkowników.

Tak samo jak Jan Czochralski, ojciec elektroniki światowej, pionier dla ekranów ciekłokrystalicznych, nie zdawał sobie sprawy z rangi swoich odkryć, które zmieniły świat, przez wynalezienie monokryształu krzemu, podobnie większość firm na świecie nie wie, jak ogromna ilość wiedzy i potencjalnej przewagi konkurencyjnej drzemie w danych, które są w ich posiadaniu.

Dlaczego warto je zabezpieczać?

Dane bardzo często stanowią o przewadze konkurencyjnej firmy i tak powinny być traktowane – jako „most valuable asset”, najcenniejszy zasób. Skoro dane są tak ważne, to trzeba je chronić przed cyberatakami i minimalizować ryzyko utraty lub uszkodzenia danych. Przetwarzane przez firmę informacje często zawierają poufne lub wrażliwe dane – ich wyciek lub nieautoryzowany dostęp może skutkować poważnymi konsekwencjami prawnymi, finansowymi i utratą reputacji dla firmy oraz naruszeniem prywatności klientów.
Klienci chcą mieć pewność, że ich dane są bezpieczne, a firmy, które nie dbają o ich zabezpieczenie, mogą stracić zaufanie i cierpieć z powodu negatywnych skutków reputacyjnych.

Jak skutecznie chronić dane?

Metod jest wiele, wymienię tylko kilka najważniejszych. Firmy powinny inwestować w zabezpieczenia takie jak wdrażanie i utrzymywanie zasad zarządzania danymi, polityk bezpieczeństwa, zasad użytkowania danych oraz zasobów je przetwarzających, przesyłających i składujących. Biznes powinien dbać o poufność, integralność i dostępność danych. Zwracać uwagę na rozliczalność w dostępie, audytowalność w obszarze dostępu pracowników i klientów do danych. Pilnować zgodności z przepisami krajowymi i europejskimi oraz ze standardami branżowymi w zakresie przetwarzania danych.

Co Pan rozumie pod pojęciem bezpieczeństwa biznesu w erze cyfrowej?

To przede wszystkim kompleksowa wiedza, kto jest właścicielem danych i w jakim zakresie. Świadomość, jakie szlaki komunikacyjne dane z różnych obszarów muszą pokonywać, by biznes nieprzerwanie działał, był odporny na przypadkowe zdarzenia i celowe działania. Bezpieczeństwo cyfrowe zapewnia wzrost firmy bez zahamowań związanych z technologią. A więc bezpieczeństwo musi być „aktywatorem biznesowym”.
Bezpieczeństwo cyfrowe to także zabezpieczenie informacji i systemów informatycznych, elementów kluczowych dla działania współczesnych przedsiębiorstw. Jak już wspomniałem, wiele firm przechowuje i przetwarza duże ilości informacji, w tym poufne dane finansowe, dane osobowe klientów, strategie biznesowe, dane stanowiące tajemnicę bankową, dane chronione klauzulami tajności, itp. Niezwykle istotne jest zapewnienie, że te informacje są chronione przed kradzieżą, utratą lub uszkodzeniem, a systemy informatyczne są bezpieczne przed atakami i zagrożeniami cyberprzestępców.

W erze cyfrowej bezpieczeństwo biznesu jest kluczowym elementem, który pomaga firmom zachować zaufanie swoich klientów i utrzymać ich pozycję na rynku. Firmy coraz powszechniej odchodzą od konceptu budowania „twierdzy bezpieczeństwa” i adaptują podejście „zero trust”, czyli z założenia sprawdzamy okresowo sesje i aktywności wszystkich pracowników, zwracając uwagę na nietypowe aktywności, bez względu na to, czy pracują z sieci w biurze czy łączą się ze swojej sieci domowej. To także koncepcja, która stanowi, że realizujemy te same zabezpieczenia bez względu na rolę osoby w organizacji czy ich uprawnienia w systemach końcowych.

Jakie kroki należy podjąć w celu osiągnięcia bezpieczeństwa cyfrowego?

Najpierw powinna powstać strategia bezpieczeństwa, powołanie stanowisk związanych z zarządzaniem danymi, następnie selekcja obszarów krytycznych dla podstawowej działalności firmy, analiza słabych punktów, a na końcu dopiero zakupy systemów. Celem nie jest nigdy wdrożenie systemu bezpieczeństwa danych dla samego jego wdrożenia. Ten system ma rozwiązywać konkretny problem, z którym zmaga się organizacja.
Gdy już system działa, należy przeprowadzać regularne pentesty bezpieczeństwa i testy disaster recovery, angażujące systemy, procesy i ludzi – od administratorów po zarząd firmy i kontrahentów (jeśli są częścią krytycznych procesów biznesowych związanych z danymi).

Jakie są najpoważniejsze zagrożenia dla danych przetwarzanych w organizacjach?

Oprócz zagrożeń wynikających wprost z utraty czy kradzieży danych, istotne są także zagrożenia wynikające z nieuprawnionej ich modyfikacji, tzw. data poisoning, zatrucie danych. Taka nieuprawniona ingerencja w dane – jeżeli pozostanie niezauważona – może skutkować zaburzeniem procesów decyzyjnych. Najprostszy przykład, ktoś z zewnątrz zaburza raporty opłacalności poszczególnych produktów, próbując wpłynąć w ten sposób na decyzję o kontynuowaniu prac nad danym produktem.

Inną klasą zagrożeń, których należy być świadomym to te pozornie tylko pośrednio związane z danymi. Znakomita mniejszość przedsiębiorstw stosuje w swoich codziennych procesach metody i modele analityczne – produkty pracy z danymi. Nieuprawniony dostęp do takich modeli, nawet bez dostępu do samych danych, może skutkować ujawnieniem istotnych założeń czy parametrów decydujących o przewadze konkurencyjnej.
Kolejną kwestią jest ochrona danych prywatnych. Zarówno nowe narzędzia generatywnego AI, jak i wiele aplikacji mediów społecznościowych niesie ze sobą zwiększoną liczbę zbieranych, zachowywanych i analizowanych informacji. Zabezpieczenie biznesu wymaga spójnych polityk, narzędzi i dużej elastyczności w organizacji. Technologia postępuje szybciej niż procesy, dlatego konieczna staje się samodyscyplina, edukacja i stawianie prywatności danych jako wartość.

GFT pracuje dla sektora finansowego, ubezpieczeniowego oraz przemysłowego. Czy oczekiwania klientów z tych branż jakoś się różnią, jeśli chodzi o standardy w zabezpieczeniu danych?

Oczekiwania w tej materii są dość ujednolicone i sprowadzają się do kilku konkretnych zasad. Pierwsza z nich to wdrażanie polityk bezpieczeństwa informacji w zakresie:

•    cyfrowych zachowań, aby pracownicy mieli jasne wytyczne dotyczące ochrony danych i systemów (tzw. Acceptable Use of Assets);
•    kontroli dostępu do systemów, uwierzytelniania i autoryzacji (w tym uwierzytelniania wieloskładnikowego);
•    zarządzania zmianami w systemach informatycznych, ze szczególnym uwzględnieniem łańcucha dostaw oprogramowania (SSDLC, koncepcje DevSecOps itp.);
•    ochrony kryptograficznej danych w czasie ich przesyłania, przetwarzania i składowania;
•    ochrony przed złośliwym oprogramowaniem i atakami APT;
•    monitorowania i audytowania dostępu do danych.

Po drugie – korzystanie z całego kompleksu rozwiązań bezpieczeństwa dla pokrycia wszystkich newralgicznych obszarów kontaktu z systemami IT firmy i przetwarzanymi danymi: oprogramowania EDR/XDR, IDS/IPS, DLP, WAF, PIM, PAM, IDM, anty-malware, anty-spam, anty-DDoS, NDR, NDA, firewalli nowych generacji (w tym ochrona), SIEM/SOAR, szyfrowania i innych narzędzi, które chronią systemy przed atakami.

Po trzecie – regularne wykonywanie kopii zapasowych danych, aby zapobiec utracie informacji w wyniku awarii systemów lub innych incydentów. Należy też backupować konfigurację systemów i robić okresowe testy kopii bezpieczeństwa.

Czwarta zasada – wykonywanie audytów bezpieczeństwa, aby identyfikować i usuwać luki w zabezpieczeniach systemów.

Piąta zasada – regularne szkolenie pracowników w zakresie bezpieczeństwa informatycznego, aby zapobiec przypadkowym lub celowym naruszeniom polityki bezpieczeństwa.
I jako ostatnie – stosowanie zasad minimalizacji – przetwarzanie, analizowanie i udostępnianie tylko tych danych, które są rzeczywiście niezbędne dla danego zadania (systemy pozwalające realizować zasady ograniczonego dostępu do danych): Least privilege, need-to-know Segregation of duties.

Jaką rolę dla prowadzenia biznesu odgrywa dziś chmura?

Chmura obliczeniowa nie jest panaceum dla biznesu. Każda organizacja powinna wykonać dogłębną analizę jaki rodzaj chmury i w jakim zakresie odpowiada najlepiej na jej potrzeby związane z zarządzaniem kosztami, regulacjami prawnymi, a także świadomością i poziomem wiedzy pracowników.

Prawdą jest, że chmura odgrywa dzisiaj kluczową rolę w prowadzeniu biznesu – umożliwia ona elastyczne, skalowalne i efektywne wykorzystanie zasobów informatycznych. Z kolei w przeszłości, przedsiębiorstwa musiały inwestować w zakup i utrzymanie własnej infrastruktury informatycznej, co często wymagało znacznych nakładów finansowych i ludzkich zasobów. Cloud to szansa na większą zwinność, innowacyjność i efektywność prowadzonego biznesu, szczególnie jeśli wejdziemy w rozwiązania cloud-native.

Jednocześnie, muszę podkreślić, że chmura musi być wdrażana mądrze, tj. adekwatnie do potrzeb biznesowych i dojrzałości czy długu technologicznego firmy. Czasem lepiej najpierw zrobić porządki w infrastrukturze w on-prem zamiast przenosić cały zasób danych bez namysłu w środowisko chmurowe. Wyjątkiem jest przejście na nowe technologie i rozwiązania natywne w chmurze.

Czy zakres jej zastosowania jest większy niż jeszcze nie tak dawno?

Tak, chmura oferuje także wiele narzędzi i usług, które pomagają w analizowaniu danych, zarządzaniu nimi oraz wdrażaniu i monitorowaniu aplikacji. Dzięki temu, przedsiębiorstwa mogą lepiej poznać swoich klientów, dostosować swoje produkty i usługi do ich potrzeb oraz szybciej reagować na zmiany na rynku. Wiele z najnowszych lub najlepszych rozwiązań w obszarze danych czy AI jest dostępne wyłącznie w chmurze.
Chmura umożliwia łatwiejsze, tańsze testowanie i wdrażanie nowych aplikacji oraz zapewnia wyższą dostępność usług i danych dzięki automatycznemu przetwarzaniu w trybie rozproszonym. Stała się motorem pracy zdalnej, co było szczególnie istotne w dobie pandemii COVID-19, kiedy wiele firm i organizacji musiało przenieść swoje działania do świata online. Stosowana jest w wielu różnych branżach i dziedzinach, takich jak finanse, medycyna, edukacja, przemysł filmowy, eCommerce, czy nawet rolnictwo.

Czy polskie firmy odbiegają w sposobie użycia chmury od swoich europejskich odpowiedników?

Polska gospodarka według danych Eurostat jest poniżej średniej, jeśli chodzi o wykorzystanie możliwości chmury obliczeniowej. W 2021 roku 41% firm w UE aktywnie wykorzystywało aplikacje chmurowe, natomiast w Polsce tylko 29%. Był to jednak wzrost o 5 pkt. proc. w 2020 roku.

Natomiast niektóre sektory, a w szczególności bankowość, wykorzystuje technologię chmurową w swoich codziennych działaniach na dużo wyższym poziomie. Ubiegłoroczny raport McKinsey & Company „Chmura 2030. Jak wykorzystać potencjał technologii chmurowych i przyspieszyć wzrost w Polsce” wskazywał, że wdrożenie chmury w polskich firmach i instytucjach publicznych może przynieść gospodarce dodatkowo 121 mld zł w 2030 roku. To dodatkowe 4 proc. PKB, o czym dobrze wiedzą przedstawiciele sektora bankowego.

W raporcie GFT „Przyszłość systemów centralnych. Czy już czas na chmurę?” z 2022 r., zapytaliśmy przedstawicieli banków o rolę rozwiązań chmurowych w modernizacji systemów core. W przeważającej większości ocenili ją jako „przeciętną”, motywując to tym, że część stosowanych przez nich rozwiązań już działa w środowisku chmurowym (64%). Posiadanie większości rozwiązań core banking w środowisku chmurowym zadeklarowało 27% banków, natomiast 9% nie planowało wykorzystania rozwiązań chmurowych w ogóle. Wśród tych, którzy ocenili rolę rozwiązań chmurowych jako istotną, dominowali reprezentanci banków dużych i średnich, natomiast wśród tych, którzy ocenili ją jako „przeciętną”, w niewielkim stopniu przeważali przedstawiciele banków małych.

Należy też wspomnieć, że wiele firm ma wątpliwości związane z bezpieczeństwem danych w chmurze, myśl o ich przekazaniu ze swojego centrum danych do „chmury” może powodować u nich dyskomfort. I choć nie można powiedzieć, że istnieje jakiekolwiek miejsce, w którym nasze dane będą bezpieczne 24/7 w 100%, to jednak mnie przekonuje fakt, że chmura to masywne mechanizmy replikacji w ramach Data Center, regionu czy geografii. Lubię też pamiętać, że bezpieczeństwa danych w chmurze pilnują nieustannie ogromne zespoły światowej klasy specjalistów, które mają dostęp do najlepszych narzędzi i rozwiązań.

Wyrobiliście sobie markę dzięki doświadczeniu w nowoczesnych bankowych systemach core. Jak ocenia Pan stan modernizacji core bankingu w Polsce?

Z ankiety przeprowadzonej na potrzeby raportu GFT wynika, że ponad połowa banków (55%) ma już rozpoczęty plan modernizacji core bankingu. Z pozostałej grupy 9% planuje rozpocząć taki projekt w ciągu dwóch najbliższych lat. W grupie ankietowanych dużych i średnich banków deklarację taką wyraziła połowa respondentów, a w grupie małych – 60%.

Środowisko bankowe jest w pełni świadome korzyści płynących z wprowadzenia rozwiązań chmurowych. Spośród instytucji finansowych, które już modernizują albo planują modernizację systemu w ciągu dwóch najbliższych lat, 29% przyznało, że wdrożenie nowoczesnego systemu core banking będzie, a niekiedy już jest, częścią kompleksowej transformacji cyfrowej.

Czy sektor bankowy w Polsce jest już w pełni otwarty na transformację cyfrową?

Jak wskazuje nasze badanie, w bankowości obserwujemy zwiększone zainteresowanie transformacją cyfrową i biznesową. Kluczem do udanej zmiany jest: przeniesienie systemów głównych na nowsze platformy technologiczne (tak odpowiedziało 64% ankietowanych), stworzenie warstwy mikroserwisów i API do integracji systemów legacy (55% ankietowanych) oraz przeniesienie aplikacji do chmury (45% ankietowanych).

Z raportu wynika też, że już teraz większość banków prowadzi lub planuje rozpoczęcie transformacji cyfrowej w ciągu najbliższych dwóch lat. Potencjalny powód to rosnąca świadomość konieczności wdrażania zmian, mimo ryzyka, które za nimi stoją.

Sektor finansowy od trzech lat przechodzi przyśpieszony kurs „nowej normalności”. Banki muszą stać się bardziej zwinne, by móc szybko adaptować się do zmian na rynkach. Co za tym idzie – muszą również zaufać swoim danym, jeśli chcą utrzymać swój rozwój na konkurencyjnym i coraz bardziej regulowanym rynku.

Transformacja cyfrowa to zysk i mamy na to twarde dane: projekty realizowane w GFT pokazują, że automatyzacja procesów obniża koszty operacyjne nawet o 60-70%.

Brak przekształceń w systemach bankowych może z kolei skutkować niemożliwością wdrożenia najnowszych rozwiązań, a w konsekwencji także utratą klientów na rzecz konkurencji. Dlatego banki i nimi zarządzający muszą więc mieć w tej kwestii „otwarte głowy” i być gotowi na przyspieszoną transformację cyfrową systemów bankowych.

Jedną z ważniejszych specjalizacji GFT są rozwiązania w technologii blockchain. Proszę opowiedzieć o realizacji, która zrobiła na Panu ostatnio duże wrażenie?

Taką realizacją niewątpliwie jest Custodigit, czyli mówiąc w uproszczeniu – skarbiec dla cyfrowych aktywów dla banku inwestycyjnego.

Głównym wyzwaniem projektu było stworzenie w pełni wirtualnego powiernika do zarządzania aktywami cyfrowymi, który będzie uwzględniał pełny cykl życia aktywów cyfrowych. Nasze rozwiązanie zostało przygotowane przez zespół 30 ekspertów GFT. Wdrożyliśmy cyfrową platformę depozytową, która obejmuje pełny cykl życia aktywów cyfrowych, a do tego rozwiązanie do zarządzanie portfelami: kupna/sprzedaży/przekazania aktywów.

Dzięki gotowemu rozwiązaniu klient otrzymał bezpieczną i łatwą w użyciu platformę, w tym dostęp do pełnego audytu wraz z kontrolą AML dla wszystkich transakcji. Platforma została certyfikowana i zatwierdzona przez regulatora.

Jakie są wasze największe sukcesy w ostatnim czasie?

Jako pierwszy wymienię raport GFT „Przyszłość systemów centralnych. Czy już czas na chmurę?” z 2022 roku. To pierwszy w Polsce raport rynkowy dotyczący modernizacji systemów core w bankach. Dokument zainicjował debatę w polskim środowisku bankowym na temat stanu i perspektyw na strategie modernizacji systemów centralnych w polskich bankach, cyfrową transformację architektury biznesowej i technologicznej w świetle migracji polskich banków do chmury. Naszą ambicją było dostarczenie polskiemu sektorowi finansowemu wyczerpującej relacji na temat stanu rozwiązań w bankowości, wyzwań biznesowych i technologicznych, z jakimi stykają się na co dzień banki, a także zidentyfikowanie trendów i dostarczenie rekomendacji sektorowych.

W tym roku nawiązaliśmy strategiczne partnerstwo z Google Cloud, które daje szansę na intensywny rozwój technologii chmury w Polsce i na świecie. Widzimy potrzebę sprawnego i bezpiecznego wdrażania cloud w organizacjach, dlatego GFT od wielu lat buduje swoją pozycję jednego z najszybciej rozwijających się globalnych partnerów chmury Google. Partnerstwo otwiera przed przedsiębiorcami nowe możliwości, w tym wspiera transformację polskiej gospodarki.

Również w tym roku GFT otrzymało Nagrodę w kategorii Cloud Onboarding Excellence w Google Cloud Partner Connect. Zapracowaliśmy na uznanie analityków rynku, co bardzo nas cieszy, ale największe wyróżnienie to dla nas zawsze zaufanie klientów. Uważamy, że nasza wiedza i holistyczne podejście do procesu sprawia, że jesteśmy doskonałym kompanem w podróży do chmury.

W styczniu w Davos ogłosiliśmy uruchomienie UDPN – uniwersalnej sieci płatności cyfrowych dla stablecoinów (np. USDC) i e-walut przyszłości CBDC. Sieć opracowana przez GFT wraz z firmą Red Date Technology, oparta na technologii DLT, może stanowić potencjalną alternatywę dla istniejących systemów płatności.

Wspomnę też o banku Mox z Hong Kongu. Zespół GFT Poland zbudował w rekordowym tempie 18 miesięcy architekturę, oprogramowanie i infrastrukturę dostarczania dla pionierskiego, skalowalnego, opartego na chmurze banku wirtualnego. Bank ma obecnie ponad 350 000 klientów i oferuje najnowocześniejsze rozwiązania bankowości detalicznej. Klient może otworzyć konto w zaledwie 3 minuty, a uniwersalna karta kredytowa bez numeru zapewnia najwyższy stopień bezpieczeństwa.

W 2022 roku przychód Grupy GFT na świecie zanotował duże wzrosty. Jakie wyniki finansowe miała spółka w Polsce?

2022 był niełatwym rokiem. Czasem wielu zmian w świecie, rokiem niepewności i zmieniających się wymagań klientów. Wzrost przychodu GFT Poland o 31% pokazuje, że w tych trudnych warunkach zdaliśmy egzamin. To także duży powód do dumy i motywacja do dalszego rozwoju. Wzrost naszych przychodów traktuję jako informację zwrotną od klientów GFT, którzy doceniają to co robimy i chcą więcej.

Co uznaje Pan za największe wyzwania z jakimi będzie się mierzyć GFT w tym roku w Polsce?

To przede wszystkim warunki makroekonomiczne związane z wojną w Ukrainie. Stan polskiej gospodarki oraz wciąż bardzo duża inflacja napędzająca wzrost cen i wynagrodzeń. Jako szansę dla nas traktuję rosnące oczekiwania klientów związane z dostępem do usług, podsycane przez powstające FinTechy, które tworzą coraz więcej nowoczesnych rozwiązań, kreując wysokokonkurencyjne środowisko. My również potrafimy projektować takie rozwiązania.

Innym wyzwaniem są działania konieczne do podjęcia przez banki – ugody frankowe czy wakacje kredytowe – to wszystko wpłynie na ich apetyt na inwestycje, a przez to na tempo rozwoju. Kto z nas nie chciałby mieć łatwej w obsłudze i szybko działającej bankowości?

Kolejną rzeczą są Płatności 4.X. Od lat niesłabnącą popularnością cieszą się płatności bezgotówkowe. Przewiduje się, że będą one jeszcze zyskiwać na znaczeniu. Napędzą je płatności natychmiastowe, e-pieniądz czy płatności wbudowane (embedded payments).  Większą rolę zyskają również takie metody jak płatności odroczone (Buy Now Pay Later), czy wykorzystanie kryptowalut jako środka rozliczeniowego.

A jakie wyzwania stoją przed sektorem bankowym?

Myślę, że sytuacja po upadku Silicon Valley Banku i fuzji UBS z CS spowoduje wysyp nowych regulacji, mających na celu upewnienie się, że banki bezpiecznie obracają naszymi pieniędzmi. GFT od wielu lat buduje rozwiązania dookoła „compliance & regulatory” na całym świecie. Jest to kolejna okazja dla nas na rozwój biznesu.

Zostając w tematyce regulacji, spodziewam się, że RegTech zakłóci wkrótce krajobraz regulacyjny, dostarczając zaawansowane rozwiązania technologiczne dla kwestii zgodności. Pamiętajmy, że wraz z wchodzeniem alternatywnych finansów, blockchain i AI, branża FinTech wzbudza uwagę rządów na całym świecie.
Na koniec chcę zapytać o pańskie przewidywania na temat rozwoju nowych technologii.

Jestem pewny, że wzrośnie znaczenie platform low code i no code, które zawierają gotowy graficzny interfejs umożliwiający budowanie produktu, procesu czy usługi, przy minimalnym wykorzystaniu wiedzy programistycznej.
Rozwijać się będzie również hiperpersonalizacja klienta. Współczesny konsument spodziewa się wysoce spersonalizowanych interakcji cyfrowych we wszystkich branżach. Korzyścią dla niego jest odpowiedni poziom usług, który tworzy lojalność poprzez rozpoznawanie poprzednich interakcji i przewidywanie przyszłych potrzeb. Taki poziom personalizacji zwiększa sprzedaż i zaangażowanie, a ostatecznie przychody.

I wreszcie temat ostatni, choć czuję, że zostanie z nami na dłużej – popularyzacja narzędzi AI (CHatGPT, OpenAI) i generatywnego AI, która przyniesie ze sobą nowe wyzwania z zakresu bezpieczeństwa danych i szeroko rozumianego Data Privacy.