Kellemetlenül érintene mindenkit, ha hirtelen megszűnne az internet-hozzáférése, és nem csak akkor, ha netán netfüggő lenne. A közösségi média, a webáruházak, a hírportálok, az útvonaltervezők, az üzenetküldők elérhetetlensége gyakorlati nehézségeket okozna a mindennapi életben. Nem csupán arról van szó, hogy információforrásoktól szakadunk el, hanem a saját adatainktól is: leveleink, fényképeink, üzeneteink, de akár dokumentumaink is gyakran távoli szervereken találhatók, melyeket többnyire ingyenes szolgáltatásokkal kezelünk. Google, Facebook, LinkedIn, iCloud, Twitter, Dropbox, OneDrive – hogy csak a legismertebbeket idézzük a több száz nagy és sok ezer kisebb közül. Mi több, a Twitter elérhetetlensége akár másként alakíthatta volna a világpolitikát, gondoljunk csak a legutóbbi amerikai elnökválasztásban játszott szerepére.
A felsorolt példák közös vonása, hogy a számítástechnikai kapacitás „máshol van”. Azaz nem nálunk, nem a mi számítógépünkben, mobilunkban, tabletünkben, hanem valahol a világban. Többnyire néhány hatalmas adatközpontban, melyeket az internetes gazdaság óriásai birtokolnak. Ez a modell a felhőszolgáltatásoké, avagy egyszerűen a felhőé. Az utóbbi húsz év informatikai fejlődésének legnagyobb hatású változása. Nemcsak azért, mert lehetővé tette a Facebook és többi, a végfelhasználót célzó szolgáltató piacra lépését és látványos térnyerését, hanem azért is, mert gyökeresen alakítja át a nagyvállalati informatikát. Így a felhő életünk számtalan részére hat közvetve vagy közvetlenül. Nem utolsósorban például a pénzügyeinkre is.
Aligha van reális alternatívája a felhőalapú közösségimédia- és egyéb szolgáltatásoknak. A vállalati informatika ehhez képest más világ: akár a közepes cégek is számottevő teljesítményű gépparkot üzemeltethetnek, melyek a vállalati szoftverekkel együtt jól támogatják az üzletmenetet. Miért vonzó mégis a felhő cégeknek? Ennek 20. század végi megjelenése és elterjedése ahhoz hasonlít, ahogy a század elején a sok kis, gyakran helyi érdekű villanytelepet fokozatosan egyre kevesebb, de mind nagyobb teljesítményű erőmű váltotta fel. Ezek eleinte országos, később nemzetközi elektromos hálózatokba szerveződtek. A méretgazdaságosság és terheléselosztás ilyesfajta optimalizálása akkora előnynek bizonyult, hogy azóta is ezt a modellt követjük.
Nincs ez másképp az informatikában sem, ám az informatika lényegesen bonyolultabb és sokrétűbb, mint az áramszolgáltatás. Érdekesség, hogy a számítástechnika 60-as évekbeli nagy áttörésében a mai felhőhöz nagyon hasonló megoldás játszott szerepet: a központi nagyszámítógép (mainframe) időosztásos működési módja, melyben ugyanazt a gépet egyszerre sokan tudták használni távoli terminálokról. A felhőben a mainframe szerepét átvette az adatközpont, a távoli terminálokat a PC-k, tabletek és mobilok. De a modell hasonló.
A felhő legnagyobb ígérete a számottevő költségcsökkentés volt, melyet a méretgazdaságosság és a terheléselosztásból fakadó előnyök tettek lehetővé. Az ígéret fényesen teljesült. Az árnyoldalakról kevesebb szó esett. Akiknek viszont a költséghatékonysághoz mérhető fontosságú szempont volt az üzembiztonság, az ellenőrizhetőség és az adatvédelem (jellemzően nagyvállalatok, pénzintézetek), azok nem siették el a felhő bevezetését. Joggal.
Ezek a kérdések sokáig akkora bizonytalanságot jelentettek, hogy a kockázat nem volt arányban a potenciális előnyökkel. Kinél vannak az adataink? Kik férhetnek hozzájuk tudtunk és beleegyezésünk nélkül? Hogyan érjük el az adatainkat, ha leáll a hálózat? Mi a garancia arra, hogy mások nem terhelik túl a felhőt, ezzel megbénítva a működésünket? Hogyan tudjuk megvédeni erőforrásainkat egy közösen használt infrastruktúrán, ahol nincs befolyásunk arra, hogy kik a társbérlők? És ami a legfontosabb: hogyan tudunk meggyőződni arról, hogy a felhő valóban annyira biztonságos, mint állítják?
A válaszok kezdetben megnyugtatás helyett inkább további kérdéseket vetettek fel. Különösen az informatikailag is erősen szabályozott pénzügyi szektor szereplőiben, akik semmi szín alatt nem engedhették meg maguknak az IT üzembiztonsági és adatvédelmi szintjének a csökkenését. Az utóbbi néhány év azonban jelentős változást hozott e téren. A felhőszolgáltatók felismerték, hogy a különböző szektorok elvárásai markánsan különböznek az átlagos ügyfélétől, ezért, ha nem alkalmazkodnak, fizetőképes keresletről mondhatnak le. A pénzügyi ágazat tekintetében ezt a felismerést nagyban segítették a pénzügyi felügyeletek is, melyeknek módjukban áll akár meg is akadályozni a kockázatosnak ítélt felhőbe való kiszervezéseket. Így manapság már több piaci szereplő kínál olyan felhőszolgáltatást, melyet kifejezetten a pénzügyi szektor és a felügyeletek elvárásait figyelembe véve fejlesztettek ki.
A közelmúltban a helyzet tehát megérett arra, hogy a pénzügyi szektor szereplői is igénybe vehessék a felhőszolgáltatásokat, melyek költséghatékonyságuk és rugalmasságuk folytán hozzájárulhatnak versenyképességük növeléséhez. A kockázatok viszont nem szűntek meg, csak kezelhető mértékűre csökkentek. A pénzügyi felügyeletek, érzékelve a pozitív változást, de látva a fennmaradó rizikókat, a felhőszolgáltatások igénybevételéről szóló ajánlásokon kezdtek dolgozni.
A Magyar Nemzeti Bank, az itthoni pénzügyi felügyelet világszinten élen járt ebben a folyamatban, így márciusban az elsők között adta ki saját ajánlását. Az MNB egyszerre érdekelt a pénzügyi szektor versenyképességében és stabilitásában, így informatikai biztonságában is. Ajánlása így úgy teszi lehetővé a felhő előnyeinek a kihasználását, hogy ez nem csökkenti az intézmények biztonsági szintjét. E felfogásban a felhő igénybevételének a kockázatait célszerű az életciklus egyes fázisaira jellemző, illetve az attól függetlenül létező kockázatokra bontani.
Ehhez gyakorlatias felügyeleti projektszemlélet kell: a felhőszolgáltatás bevezetése bonyolult üzleti és informatikai projekt, jól meghatározható fázisokkal és ezekhez köthető rizikókkal. Így logikus, hogy a szabályozásnak is ezt érdemes követnie. Ugyanakkor az olyan témák, mint az adat- vagy rendszerbiztonság s a hozzáférési jogosultságok, a projekt szakaszaitól jól függetleníthetők, és ezt a tényt szintén érdemes tükröznie a szabályozásnak.
A pénzügyi felügyeletek legfontosabb elvárása a felhőszolgáltatások kapcsán az ellenőrizhetőség fenntartása. Az intézményeknek ugyan természetes érdekük a biztonságos, megbízható informatikai üzem, de a sokéves felügyeleti tapasztalat azt mutatja, hogy hathatós rávezetés és ellenőrzés híján nagyon különböző módokon értelmezik az elfogadható szintet. A felhőszolgáltatók, az adatközpontok fizikai távolsága és technikailag rendkívül bonyolult volta komoly kihívást jelent a kontroll számára.
A magyar jegybanki ajánlás elfogadja, hogy a felhő közvetlen, helyszíni ellenőrzése – melynek lehetőségét megköveteli – néhány speciális esettől eltekintve nem járható út. Helyette megbízható harmadik felek vizsgálatára kell támaszkodni, olyanokéra, akik kifejezetten a felhőszolgáltatások ellenőrzésére építettek ki szakértelmet. Ezért a hazai szabályozás arról fogalmaz meg szigorú elvárásokat, hogy milyen feltételeket kell teljesítenie a harmadik felek kontrolljának, hogy arra valóban támaszkodni lehessen.
A közvetlen helyszíni ellenőrzésen és a harmadik felek vizsgálatán kívül számos más lehetőség is van a felhőszolgáltatás kontrolljára. Ezért a felhőt választó intézmények teljes körű informatikai kockázatkezelési támogatást kapnak az MNB-ajánlással, amely így hozzájárulhat a hazai pénzügyi szektor innovatív, ugyanakkor üzletileg megbízható fejlődéséhez.
A szerző az MNB informatikai felügyeleti főosztályvezetője
