Banki oraz firmy świadczące usługi finansowe muszą zapewnić swoim klientom maksymalne bezpieczeństwo informatyczne np. w ramach serwisów internetowych (na których logują się na swoje konta) lub aplikacji mobilnych. Do tej pory bardzo wygodnym i elastycznym rozwiązaniem dla takich instytucji była chmura obliczeniowa, której główną zaletą jest skalowalność oraz szeroka dostępność. Komunikat Urzędu Komisji Nadzoru Finansowego z 23 stycznia 2020 roku określił jednak nowe wytyczne, które dotykają zmian w zasadach użytkowania usług typu cloud w sektorze finansowym. Jak może to wpłynąć na aktualną sytuację banków?
Komunikat UKNF – interpretacja
Treść pełnego komunikatu opublikowana została na stronie internetowej Komisji Nadzoru Finansowego. Jest on dostępny tutaj, w formie pliku PDF. Szczególną uwagę przykuwa punkt 7 z rozdziału II:
Powszechne korzystanie z usług chmury obliczeniowej przez podmioty nadzorowane może powodować ryzyko koncentracji przetwarzania informacji prawnie chronionych znacznej części sektora finansowego fizycznie w tych samych obiektach (centrach przetwarzania danych) lub w ramach współpracy podmiotów nadzorowanych z ograniczoną liczbą dostawców usług chmury obliczeniowej. Dodatkowo przetwarzanie informacji prawnie chronionych w chmurze obliczeniowej generuje ryzyka związane z ochroną przetwarzanych informacji, niezależnie od charakteru procesu outsourcingowego. Z uwagi na te ryzyka Nadzór oczekuje, że podmioty nadzorowane będą informowały UKNF o zamiarze przetwarzania informacji w usługach chmury obliczeniowej, na zasadach określonych w niniejszym komunikacie.
Informacja urzędowa wskazuje więc na 2 ważne elementy, powodujące ryzyko wykorzystania chmury obliczeniowej:
- Koncentracja sektora, rozumiana przez umieszczenie znaczącej części sektora bankowego w tych samych Centrach Przetwarzania Danych (jednej serwerowni/maszynie/klastrze maszyn). W efekcie może to powodować paraliż znaczącej części usług bankowych (objętych nadzorem) w przypadku wystąpienia awarii lub ataku. Komunikat UKNF wskazuje, iż jednostki powinny zgłosić lokalizację Centrów Przetwarzania Danych właśnie nadzorowi.
- Dostęp osób niepożądanych (w tym pracowników dostawców rozwiązań chmurowych) do zawartości przetwarzanych informacji. Rozwiązania typu cloud, pomimo swojej elastyczności, nie dają pełnej możliwości skutecznej separacji i ograniczenia dostępu do przetwarzanych danych. Ze względu na specyfikę hostingów, usług chmurowych oraz serwerów VPS instytucja korzystająca z tych usług nie ma możliwości odseparowania przetwarzanych danych i zablokowania dostępu do nich dla pracowników firmy dostarczającej rozwiązanie.
Kary finansowe za niespełnienie wytycznych UKNF
Warto nadmienić, że komunikat UKNF nie jest podstawą prawną do nakładania kar. Jest to wyłącznie realizacja działań informacyjnych KNF w zakresie funkcjonowania rynku finansowego zgodnie z art. 4 ust. 1 4. Można więc domniemywać, że potencjalne kary będą nakładane wyłącznie po indywidualnej analizie przypadku. Bezpieczeństwo danych związane jest również z zasadami ustalonym przez Krajowy System Cyberbezpieczeństwa, w których ustalono pułap grzywny na poziomie nawet miliona złotych.
Usługa chmury vs serwer dedykowany dla instytucji finansowych
Serwer dedykowany to komputer oddany do dyspozycji wyłącznie instytucji, która dokonała zakupu. W odróżnieniu od chmury nie istnieje tutaj ryzyko rozproszenia danych – wszystkie informacje przetwarzane są w jednym obszarze. Mogą to być np. systemy ERP, CRM, WMS, dane transakcyjne, poczta email lub strony internetowe. Korzystając z indywidualnego serwera dedykowanego likwidujemy zagrożenie zwiększenia ryzyka sektorowego.
Co ważne, operator dostarczający rozwiązanie jakim jest serwer dedykowany może świadczyć usługi administracyjne, aczkolwiek jedynie w zakresie przewidzianym przez użytkownika maszyny np. w ramach prawidłowego funkcjonowania urządzeń i aplikacji klienta. Całość prac jest odpowiednio logowana i zabezpieczona od strony instytucji wykupującej rozwiązanie.
Jak obsługiwać serwer dedykowany?
Serwer dedykowany to maszyna, którą dany użytkownik otrzymuje do samodzielnej administracji. Zarządzanie nim może być jednak ułatwione po zainstalowaniu odpowiednich narzędzi. Do najważniejszych należą:
- Panel do zarządzania zasobami np. Plesk Panel
- Konsola SSH
- Zdalny Pulpit (tylko z systemem Windows Server)
Jak dodatkowo zabezpieczyć stronę internetową instytucji finansowej?
W raporcie przedstawionym przez serwis WebTotem zauważono, że prawie co 5 bank nie wdrożył poprawnie certyfikatu SSL dla wszystkich swoich stron usługowych i informacyjnych.
Certyfikat SSL gwarantuje poufność przekazywanych danych między urządzeniem użytkownika, a serwerem docelowym. Dzięki poprawnej weryfikacji oraz instalacji SSL strona internetowa powinna działać z przedrostkiem https:// i wyświetlać przed paskiem adresu w przeglądarce ikonę kłódki.
Posiadanie certyfikatu SSL jest dzisiaj standardem, który zapewnia szyfrowaną transmisję wrażliwych danych. Tym bardziej zaskakuje wynik przeprowadzonej analizy, która wskazuje jednoznacznie, iż nie każdy bank spełnia ten warunek. Jeżeli strona z formularzem kontaktowym lub polem do logowania nie jest chroniona protokołem https:// – nie jest ona bezpieczna. Pamiętaj jednak, że certyfikat SSL nie jest jedynym elementem do zabezpieczania witryny. Jako użytkownik oraz klient danego banku zwróć szczególną uwagę na inne elementy serwisu, ponieważ cyberprzestępcy wykorzystują do swoich działań także szyfrowane połączenia na stronach WWW.
Jak zamówić serwer dedykowany dla instytucji finansowej?
Procedura zamawiania usługi jest taka sama dla firm jak i osób fizycznych. W przypadku oferty homecloud.pl wystarczy skorzystać z wygodnego menu z listą serwerów dedykowanych. Pamiętaj, że na podanej stronie zobaczysz warianty sprzętowe, które są aktualnie dostępne. Po opłaceniu zamówienia usługa jest dostępna nawet w kilkanaście minut.
Jeżeli masz dodatkowe pytania lub nie wiesz, który serwer będzie dla Ciebie odpowiedni – skorzystaj z naszego wsparcia pod adresem https://homecloud.pl/o-nas/kontakt/ lub zadzwoń (+48) 504 502 500 (po połączeniu wybierz cyfrę 4). Nasi specjaliści są dostępni od poniedziałku do piątku w godzinach 8-20 i pomogą Ci w doborze odpowiedniej usługi, konfiguracji i przeniesieniu danych.