Z Joanną Ostrowską-Szajnfeld, IT Strategy, Architecture and Governance Line oraz Krzysztofem Słotwińskim, Chief Security Officerem w BNP Paribas Banku Polskim rozmawiamy o: podejściu do odporności cyfrowej i wpisaniu jej w nową strategię IT@Scale; odpowiadaniu na bieżące ryzyka oraz planowaniu architektury IT odpornej niejako z definicji; wspólnej platformie technologicznej oferującej zestaw narzędzi do bezpiecznego tworzenia, monitorowania i wykrywania podatności w oprogramowaniu. Jak Bank BNP Paribas podchodzi do kwestii odporności cyfrowej? Skąd u was priorytet dla tego obszaru? Joanna Ostrowska-Szajnfeld (J.O-S.): Zacznę od przedstawienia kontekstu. Nasza obecna strategia technologiczna IT@Scale została opracowana w 2021 roku. Mieliśmy wówczas za sobą intensywne 10 lat rozwoju przez akwizycję. Dla obszaru IT oznaczało to bardzo złożone projekty integracyjne. Przed sobą widzieliśmy perspektywę wzrostu organicznego. Dodatkowo ten czas był mocno naznaczony konsekwencjami pandemii Covid-19, która zintensyfikowała digitalizację, ale też mocno zmieniła model pracy. Istotnie zwiększyła również popyt na kompetencje IT. Skoncentrowaliśmy więc nasze działania na skalowaniu technologii, budowaniu dojrzałości i standaryzacji. Strategia IT została oficjalnie przyjęta na początku 2022 roku. Jak wiadomo, sytuacja wówczas nagle się zmieniła. Wybuchła wojna w Ukrainie, a kilka miesięcy później świat zelektryzowała prezentacja ChatGPT. Tym samym w naszej strategii najważniejsza okazała się adaptowalność. Po 2 latach od tych wydarzeń, w połowie realizacji strategii IT@Scale doszliśmy do przekonania, że świat zmienił się na tyle istotnie, a zagrożenia - różnej natury, w tym technologiczne i geopolityczne, rosną stale w siłę, że należy spojrzeć na cyfrową odporność i wpisać ją w działania strategiczne. Mówiąc o cyfrowej odporności myślimy o dwóch horyzontach czasowych. Pierwszy horyzont to tu i teraz - jak jesteśmy gotowi na bieżące ryzyka. Choć mówimy tu o nieco innym charakterze ryzyka niż jeszcze 5 lat temu. Dawniej skupialiśmy się na pojedynczym zagrożeniu, które mogło spowodować kilkugodzinną awarię. Teraz analizujemy bardziej złożone scenariusze, zakładające wystąpienie kilku równoczesnych ryzyk, o bardziej trwałym charakterze. Drugi horyzont jest dłuższy – planujemy rozwój naszej architektury w taki sposób, aby z definicji była bardziej odporna. Myślimy o modernizacji, która wzmocni naszą cyfrową odporność w przyszłości. Jak wygląda cyfrowa odporność z punktu widzenia działu cyberbezpieczeństwa? Krzysztof Słotwiński (K.S.): Nasze podejście szczególnie dobrze sprawdza się w ujęciu Agile. Może się wydawać, że mając zwinny zespół wystarczy zbudować coś przy użyciu najnowszej technologii i z udziałem specjalisty, a wszystko będzie działać. Ale taka swoboda często prowadzi do braku spójności i kompatybilności między rozwiązaniami. My natomiast staramy się wprowadzać zasadę „Freedom in the box” - dużą przestrzeń działania, ale z obowiązującymi w jej ramach wspólnymi standardami. Wdrożenie "Freedom in the box" wymaga zmiany kultury organizacyjnej i sposobu myślenia. Konieczne jest znalezienie balansu między swobodą a kontrolą, a także zapewnienie odpowiedniego szkolenia i wsparcia dla zespołów. Korzyści z wdrożenia tego podejścia to m.in. szybsze dostarczanie oprogramowania, wyższa jakość, większe bezpieczeństwo i lepsza współpraca między zespołami. Dostarczamy wspólną platformę technologiczną, zestaw narzędzi do bezpiecznego tworzenia, monitorowania i wykrywania podatności w tworzonym przez nas oprogramowaniu. Są to kluczowe elementy dla zachowania spójności i bezpieczeństwa procesu wytwórczego. Zespoły Agile nie zmieniają dowolnie platform, nawet jeśli znają inne technologie. Platforma pozostaje wspólna dla wszystkich, a cały proces wytwórczy oparty jest na określonej technologii. W podejściu Agile każdy zespół jest odpowiedzialny za bezpieczeństwo tworzonych rozwiązań. Narzędzia i procedury bezpieczeństwa są integralną częścią platformy i procesu wytwórczego. Wspólna platforma ułatwia monitorowanie i wykrywanie potencjalnych zagrożeń. Cyberbezpieczeństwo bowiem to nasza wspólna odpowiedzialność. Patrząc szerzej, na sytuację sektora bankowego w Polsce jak oceniacie wyzwania związane z odpornością cyfrową? To dopiero początek tej drogi? Jakie widzicie wyzwania i jakie rady dalibyście innym bankom, które dopiero zaczynają? K.S.: Świat stoi w obliczu nowych wyzwań geopolitycznych, które wymuszają rewizję strategii bezpieczeństwa. Jako CSO, priorytetowo traktuję zapewnienie ciągłości działania i bezpieczeństwa danych, nawet w przypadku wystąpienia skrajnych scenariuszy. Dotychczasowe modele, zakładające bezpieczeństwo dwóch centrów danych, okazały się niewystarczające w obliczu nowych zagrożeń. Współczesne realia geopolityczne zmuszają nas do rozważenia sytuacji, w której oba centra danych stają się niedostępne jednocześnie. Dlatego kluczowe staje się wdrożenie trzeciego rozwiązania, na przykład w chmurze, które zapewni ciągłość usług. Aby to osiągnąć, musimy w pierwszej kolejności przeprowadzić szczegółową analizę obszarów wymagających wzmocnienia, uwzględniając scenariusz awarii obu centrów danych. Konieczne jest zapewnienie redundancji kluczowych systemów i danych, a także zidentyfikowanie i wyeliminowanie wszelkich niedoskonałości w naszej metodologii działania. Do realizacji niezbędnych inicjatyw musimy przydzielić odpowiednie zasoby, w tym wyznaczyć właścicieli procesów i zapewnić budżet. Jednocześnie ważne jest budowanie świadomości zagrożeń na poziomie zarządu i konsekwentne realizowanie inicjatyw wzmacniających odporność cyfrową. J.O-S.: Warto zauważyć, że wyzwania związane z niedostępnością centrum danych wcale nie muszą wynikać z działań wojennych. W Polsce miała miejsce niedawno seria podpaleń różnych obiektów. Ale mogą zdarzyć się również inne, nieprzewidziane incydenty, które doprowadzą do podobnych efektów. To rodzi dwa istotne problemy. Po pierwsze, inwestycje w dodatkowe Data Center i modernizację ich architektury to ogromne koszty. Po drugie, jeśli zdecydujemy się mocno wykorzystać chmurę, stajemy przed szeregiem wyzwań związanych z jej adaptacją, zwłaszcza w sektorze finansowym w Polsce. Dla wszystkich uczestników rynku to duże wyzwanie. Kolejnym aspektem jest budowanie zrozumienia tematu na poziomie zarządczym. Generative AI zrobiło tak dużą karierę, ponieważ jej użyteczność jest bardzo łatwa do wytłumaczenia, a inwestycje wydają się niewielkie. W przypadku cyfrowej odporności jest to znacznie trudniejsze. Można stosować obrazowe przykłady, choć nie zawsze przemawiają one równie mocno do wyobraźni. Uzyskanie konsensusu na poziomie zarządu, że cyfrowa odporność to ważny temat nie jest zapewne wyzwaniem. Natomiast pozyskanie zgody i środków na rozpoczęcie inwestycji już teraz, może nie być proste. Z inwestycją w cyfrową odporność jest jak z wykupieniem ubezpieczenia - wszyscy liczymy, że się nie przyda, bo oceniamy ryzyko jako niskie, ale gdy się coś wydarzy, przypominamy sobie, że zapobieganie jest zawsze tańsze, niż leczenie. Podsumowując, wyzwań jest wiele - od uruchomienia prac, po skuteczne ich przeprowadzenie. Zdecydowaliśmy się mocno postawić na tę ścieżkę i uważamy, że obecnie jest to jedyny słuszny kierunek działania.
