Budowanie trwałej odporności cyfrowej, obejmującej zarówno przeciwdziałanie incydentom cybernetycznym i reagowanie na nie, jak i zapewnienie ciągłości działania organizacji na wypadek wystąpienia niepożądanych zdarzeń, powinny być stałym elementem nie tyle polityki bezpieczeństwa, co wręcz strategii każdego poważnego przedsiębiorstwa. W warunkach niestabilności geopolitycznej oraz komplikującego się – z każdym kolejnym rozporządzeniem, dyrektywą czy innym aktem prawnym – otoczenia regulacyjnego jest o to niestety coraz trudniej.  

Dlatego też poprosiliśmy przedstawicieli społeczności CIONET Polska o przybliżenie własnych perspektyw na te zagadnienia. Zaproszenie do wygłoszenia prelekcji na ostatniej przed wakacjami sesji strategicznej programu Cloud & Infrastructure TRIBE przyjęli Aleksander Gawroński, Head of IT Infrastructure w mBanku, Pavel Petrov, Chief IT Architect w BGK oraz Maciej Leśniewski, Senior Cloud Advisor w Credit Agricole. 

Chmura – o co tak naprawdę chodzi

Aleksander Gawroński przyznał, że w mBanku ciągłość działania jest jednym z filarów nowej strategii organizacji, a podniesienie poziomu odporności cyfrowej to jeden z najważniejszych priorytetów dla pionu IT. Bank za jedno z naistotniejszych zagrożeń uznaje dziś ransomware, ponieważ ataki te są coraz bardziej wyrafinowane i skuteczne. Prowadzą one do kradzieży danych i przerwania ciągłości działania, co w przypadku każdej instytucji finansowej jest incydentem krytycznym.  

Wśród potencjalnych wektorów ataku uwzględniamy również phishing prowadzący do kradzieży i upublicznienia danych klientów, co bezpośrednio wpływa na reputację banku. Kluczowym i podatnym na ataki elementem infrastruktury jest Active Directory, którego niewłaściwe zarządzanie stwarza poważne ryzyko. Zaraz za nim plasują się wszelkie systemy wystawione na zewnątrz, które nie są odpowiednio zabezpieczone. Dlatego przykładamy szczególną wagę do tego, by te kilkadziesiąt eksponowanych na zewnątrz serwerów miało zerowy poziom podatności. – mówił.

W celu ochrony przed ransomwarem mBank korzysta z technologii cyfrowego bunkra, fizycznie odizolowanego od reszty sieci (tzw. air-gap). Wyzwaniem pozostaje selekcja danych witalnych, ponieważ wszyscy interesariusze w danej organizacji swoje dane uważają za najważniejsze. – Korzystamy również z natywnych funkcji antyransomware w usługach backupu, jednak podchodzimy do nich z umiarkowaną wiarą w ich skuteczność. Intensywnie analizujemy możliwość tworzenia backupu w chmurze publicznej. W nowej strategii planujemy budowę tzw. golden copy, czyli trzeciej kopii danych poza naszymi centrami danych, częściowo w chmurze – dodał Gawroński.  

Przedstawiciel mBanku przypominał jednak, że w zależności od wolumenu firmowych danych może to być mniejszym lub większym wyzwaniem – im bardziej pojemny zasób danych do backupu, tym większe koszty ich transferu do i z chmury. 

Organizacja uważnie śledzi także rozwój narzędzi opartych na sztucznej inteligencji. Choć rozwiązania z tego obszaru jeszcze nie zostały wdrożone w bardzo szerokim zastosowaniu w  banku, ekspertom nie umknął potencjał AI drzemiący zwłaszcza w obszarze detekcji zagrożeń w sieci (każdemu atakowi ransomware towarzyszą anomalie sieciowe, na podstawie których można wcześniej wykryć incydent).   

Kluczowym elementem strategii bezpieczeństwa jest praktyka. W mBanku regularnie organizowane są ćwiczenia z zakresu ciągłości działania (Business Continuity Management), w tym gry sztabowe. Jeden z ćwiczonych w ostatnim czasie scenariuszy zakładał awarię zasilania, co ujawniło potrzebę usprawnienia ścieżek komunikacji z kluczowymi pracownikami IT. Prowadzone są także warsztaty z reagowania na ataki ransomware z udziałem firm zewnętrznych, co pozwala zidentyfikować słabe punkty w procedurach. Uzupełnieniem są ciągłe zewnętrzne testy cyberbezpieczeństwa. 

Migrację do chmury postrzegamy jako sposób na podniesienie odporności. Jednak prawdziwa wartość nie leży w samej chmurze, publicznej czy prywatnej, lecz w efekcie ubocznym tego procesu. Migracja wymusza automatyzację i modernizację systemów. Skłania to zespoły do przyjęcia nowoczesnych standardów i wyjścia z przestarzałych technologii, co automatycznie podnosi poziom dojrzałości i odporności całej organizacji – przekonywał Gawroński.

Jeżeli chodzi o regulacje i przepisy, takie jak DORA, firma podchodzi do nich pragmatycznie – w swojej idei są one słuszne, trzeba je wdrażać, natomiast ważneby skupić się na realnej poprawie odporności, a nie na zdobywaniu certyfikatów, które mogą usypiać czujność. Strategia cyfrowej odporności to konsekwentna, tytaniczna praca bez dróg na skróty. Jej fundamentem jest automatyzacja procesów wytwórczych i odtwórczych: im mniej „rękodzieła”, tym mniejsze ryzyko błędu – podsumował prelegent. 

CMDB prawdę ci powie 

Pavel Petrov przybliżył zasady funkcjonowania centralnego repozytorium informacji BGK – jednego systemu będącego źródłem prawdy o wszystkich systemach i zależnościach między nimi.  

Za podstawę systemu przyjęto bazę danych zarządzania konfiguracją CMDB, która wymagała jednak optymalizacji modelu danych. Zawierała bowiem dużą liczbę atrybutów, które nie były utrzymywane, co podważało wiarygodność bazy. Kluczowym wyzwaniem stało się zdefiniowanie minimalnego, ale wartościowego zakresu danych (MVP – Minimum Viable Product). – Chodziło o określenie, ile atrybutów da się realnie utrzymywać, aby informacje w CMDB były zawsze aktualne i zgodne z prawdą. Zbyt duża liczba nieutrzymywanych pól sprawiłaby, że baza stałaby się bezużyteczna – podkreślał ekspert. 

Ważnym krokiem było mapowanie zależności, realizowane w dwóch wymiarach. Pierwszy to ujęcie „top-down”, czyli od procesu biznesowego, przez aplikacje, aż po infrastrukturę, co ma kluczowe znaczenie dla spełnienia wymagań regulacyjnych, np. DORA. Drugi to mapowanie zależności „wszerz” – między poszczególnymi systemami oraz elementami infrastruktury. Takie podejście wspiera zarządzanie incydentami, ułatwiając identyfikację odpowiednich osób do kontaktu w razie awarii, jak również usprawnia współpracę między biznesem a IT. Dzięki temu można łatwo sprawdzić krytyczne powiązania między procesami a systemami.  

Samo CMDB jest systemem otwartym i dostępnym dla każdego pracownika banku, choć dostęp do pewnych danych, jak koszty licencji, jest ograniczony do uprawnionych osób.

Kluczową zasadą jest to, że żadna informacja nie jest wprowadzana do CMDB ręcznie. Cały proces jest zautomatyzowany i oparty na wnioskach w systemie JIRA, które przechodzą formalną ścieżkę akceptacji. Zakończenie tej ścieżki skutkuje automatycznym utworzeniem lub modyfikacją rekordu w bazie danych. Proces rozpoczyna się, gdy pojawia się nowa inicjatywa biznesowa.  

Architekci biznesowi i analitycy danych opracowują procesy i mapują je na funkcje biznesowe. Informacja ta trafia do architektów IT i bezpieczeństwa, którzy tworzą architekturę rozwiązania. Jeżeli w jej ramach powstaje nowy system, właściciel wypełnia wniosek, tzw. kartę aplikacji, która jest pierwszym artefaktem zapisywanym w CMDB. Zawiera ona kluczowe informacje, takie jak przeznaczenie systemu, jego lokalizacja (on-premise czy chmura) oraz powiązanie z procesem biznesowym. Następnie architekci technologii określają niezbędną infrastrukturę. CMDB traktowane jest jako „master data” – repozytorium architektury może zawierać wiele koncepcji, ale do CMDB trafiają tylko te rozwiązania, które zostały zaakceptowane i wdrożone w ramach projektu. 

Narzędziem wykorzystywanym do zarządzania bazą jest JIRA Insight, wtyczka do systemu JIRA. Mimo początkowego sceptycyzmu okazało się ono bardzo efektywne, pod warunkiem dobrego zdefiniowania struktury. Jest to narzędzie wysoce konfigurowalne, które pozwala na gromadzenie kompletnych informacji. Ma jednak pewne ograniczenia – jego największą wadą jest trudność w tworzeniu raportów, które pobierają dane z wielu odrębnych schematów.  

Dlatego kluczowe jest staranne przemyślenie sposobu podziału danych na etapie projektowania. Prawidłowo skonfigurowane, narzędzie pozwala na tworzenie w ramach jednego schematu zaawansowanych raportów i filtrowanie informacji w czasie rzeczywistym, co jest niezwykle przydatne np. podczas audytów czy raportowania do KNF – przypomniał Petrov. 

Fundamenty pod budową   

Skuteczne zarządzanie bezpieczeństwem i zgodnością w chmurze zaczyna się na długo przed wyborem konkretnych rozwiązań i wdrożeniami – jego fundamentem powinna być przemyślana strategia chmurowa  – podkreślał Maciej Leśniewski. 

Idealny model adopcji chmury powinien przebiegać w uporządkowany sposób: od weryfikacji strategii biznesowej oraz strategii IT z zakresie planowanych celów biznesowych, inwentaryzacji posiadanych zasobów IT w tym kompetencji chmurowych, przez wypracowanie dalekosiężnej wizji i planu implementacji, aż po budowę docelowej zdolności organizacji do wdrożenia i utrzymania chmur.  

Niestety, rzeczywistość często weryfikuje takie podejście. Wiele firm, zmuszonych presją biznesową, pomija początkowe etapy, zaczynając adopcję chmur w organizacji od jak najszybszego wdrożenia jednego projektu chmurowego realizowanego u jednego dostawcy chmurowego, skupiając się wyłącznie na celach tego projektu. Niedługo potem pojawia się kolejny projekt, który czasem wymusza skorzystanie z usług drugiego dostawcy chmurowego, a z czasem i nawet trzeciego dostawcy chmurowego. Prowadzi to do powstania niejednorodnego ekosystemu chmurowego, w którym obok dobrze funkcjonującej „fabryki” u głównego dostawcy, działa „manufaktura” u drugiego dostawcy i pojedyncze „usługi” u pozostałych, co generuje ogromne wyzwania związane z zarządzaniem, bezpieczeństwem i zgodnością.

Krajobraz dodatkowo komplikuje złożone otoczenie regulacyjne. Choć na początku 2025 roku zniesiono komunikat chmurowy KNF, nie oznacza to braku regulacji dotyczących wykorzystania chmur – wciąż obowiązuje Prawo bankowe, ustawa o obrocie finansowym czy przepisy dotyczące outsourcingu. Do tego konieczne jest zaadresowanie całego pakiet regulacji unijnych, takich jak DORA, GDPR, NIS2, czy AI Act.  

W grupie Credit Agricole przeprowadzono szeroką dyskusję na temat lokalizacji danych i usług chmurowych, której celem był wybór docelowych dostawców chmurowych. – Doszliśmy do wniosku, że ze względu na ryzyko koncentracji nie powinien to być ten sam dostawca, od którego pochodzi używany w całej grupie pakiet do współpracy grupowej – przyznał Leśniewski.  

Problem geolokalizacji uwidacznia się także przy wdrażaniu najbardziej nowoczesnych usług dostępnych u dostawców (np. rozwiązania AI/GenAI). Organizacja może oprzeć swoją strategię na wykorzystaniu najbliższych regionów zlokalizowanych np. w Niemczech, Holandii czy Irlandii, by następnie odkryć, że zaawansowane modele AI/GenAI nie są tam udostępnione przez dostawcę, co zmusza do uruchamiania zasobów w nieplanowanych wcześniej lokalizacjach przez co tworzenie skomplikowanej, wieloregionowej struktury, której nie uwzględniały pierwotne plany. 

W tej sytuacji warto jednak wrócić do fundamentów i świadomego przejścia całej ścieżki adopcji chmury. Czy wrócić do pytania o cele całego wdrożenia, na przykład: czy dążymy do innowacji, skalowalności, redukcji długu technologicznego, czy też chmura ma nam zapewnić odporność i możliwość skalowania rozwiązań? Czy podejście wspiera cele biznesowe w organizacji? 

Warto określić pryncypia wykorzystania chmur: zdefiniować jasne podejście do wykorzystania jednego lub wielu dostawców chmurowych (single / mutl-cloud), określić docelowe lokalizacje danych oraz zaadresować podejście do odporności cyfrowej organizacji mają na uwadze środowiska lokalne i chmurowe. Konieczne jest również zdefiniowanie strategii dla uruchamiania i migracji aplikacji, np. cloud first, cloud last czy też pośrednie scenariusze. 

Niezwykle istotne jest również określenie docelowego modelu operacyjnego, który powinien zapewnić efektywne zarządzanie naszymi środowiskami chmurowym, w szczególności zweryfikować i potencjalnie przygotować plan zabezpieczenia kompetencji niezbędnych do zarządzania i wykorzystania chmur w całej organizacji. Bardzo ważne jest również, aby zapewnić procesy zarządzania finansami w chmurze (finops). 

Dopiero na tej podstawie warto opracować konkretne plany działania, plan zapewnienia ciągłości biznesowej i, co kluczowe, plany wyjścia od poszczególnych dostawców. Dopiero tak zbudowany fundament strategiczny pozwala na bezpieczne i efektywne podejście do implementacji oraz przygotowanie całej organizacji na transformację – przekonywał przedstawiciel BGK.

Podejście, w którym najpierw wybiera się rozwiązania technologiczne i realizuje wdrożenie, jest błędem porównywalnym do uruchamiania budowy bez zbudowania niezbędnych fundamentów. Wizja i porządek w podejściu to nie fanaberia, lecz absolutny warunek stabilnego i bezpiecznego działania w złożonym środowisku IT  – podsumował. 

Partnerami programu CIONET Cloud & Infrastructure Excellence TRIBE są firmy AWS, Cloudware i PwC.