Časopis za pravnu i ekonomsku teoriju i praksu
PRAVO I FINANSIJE
81
Doc. dr. Haris Hamidović
Pitanje korištenja usluga
računarstva u oblaku od strane
subjekata bankarskog sistema
Bosne i Hercegovine
Sažetak:
Važećim zakonskim i podzakonskim propisima nisu posebno propisana direktna ograničenja koja
se odnose na uspostavu i korištenje usluga računarstva u oblaku od strane subjekata bankarskog sistema
Bosne i Hercegovine. Medutim, korištenje ove vrste usluga predstavlja segment eksternalizacije poslovnih
aktivnosti kojima se podržava obavljanje osnovne djelatnosti. Odlukom entitetskih agencija za bankarstvo o
upravljanju eksternalizacijom utvrđuju se zahtjevi koje su banke dužne da osiguraju u postupku provođenja i
upravljanja eksternalizacijom i rizicima koji mogu proisteći iz eksternalizacije. Osim banaka, i drugi subjekti
bankarskog sistema Bosne i Hercegovine bi prilikom razmatranja aranžmana eksternalizacije trebali uzeti
u obzir odredbe odluka o eksternalizaciji. Veliki dio zahtjeva odluka o eksternalizaciji predstavlja ono što bi
i svaki savjestan i oprezan klijent računarstva u oblaku, bez obzira da li je reguliran ili ne, trebao poduzeti
u svakom slučaju. U ovom radu predstavljamo neke od zahtjeva koje bi subjekti bankarskog sistema BiH
trebali da osiguraju u postupku provođenja i upravljanja eksternalizacijom i rizicima koji mogu proisteći
iz eksternalizacije
Ključne riječi:
Računarstvo u oblaku, subjekti bankarskog sistema, rizici, banke, mikrokreditne organizacije
Uvod
Američki nacionalni institut za standarde
i tehnologiju (The National Institute of Standards
and Technology - NIST) definira računarstvo u
oblaku (eng. cloud computing) kao „model za
omogućavanje sveprisutnog (eng. ubiquitous),
prikladnog, na zahtjev (eng. on-demand) mrežnog
pristupa zajedničkom prostoru (eng. shared pool)
podesivih računarskih resursa (naprimjer, mreže,
poslužitelji, pohrana, aplikacije i usluge) koji mogu
biti brzo alocirani (eng. rapidly provisioned) i
otpuštani sa minimalnom upravljačkom aktivnošću
ili interakcijom pružatelja usluge (eng. service
provider).“ (NIST, 2011)
Na sličan način i Evropsko nadzorno tijelo
za bankarstvo (European Banking Authority - EBA)
definira usluge računarstva u oblaku kao „usluge
koje se pružaju putem računarstva u oblaku,
odnosno model kojim se na zahtjev omogućuje
široko rasprostranjen, pogodan mrežni pristup
zajedničkom skupu podesivih računarskih resursa
(npr. mreže, poslužitelji, uređaji za pohranu podataka,
aplikacije i usluge) koji se mogu trenutačno pribaviti
i otpustiti uz minimalnu upravljačku aktivnost ili
prisutnost pružatelja usluge.“ (EBA, 2018)
Računarstvo u oblaku privlači pružatelje
financijskih usluga iz istih razloga iz kojih
privlači firme u drugim industrijama - nudeći
veću fleksibilnost i učinkovitost uz niže troškove
od lokalnih računarskih rješenja. Prema nekim
procjenama, pružanje usluga povezanih sa
3 • MART/OŽUJAK 2020 •
82
PRAVO I FINANSIJE
Časopis za pravnu i ekonomsku teoriju i praksu
računarstvom u oblaku financijskim institucijama
danas je industrija vrijedna više milijardi dolara.
Međutim, računarstvo u oblaku za pružatelje
financijskih usluga stvara povećane sigurnosne
rizike i pojačan regulatorni nadzor. (Fonte, Moore,
2019)
Korištenje usluga računarstva u oblaku od strane subjekata bankarskog sistema
U Bosni i Hercegovini važećim zakonskim
i podzakonskim propisima nisu propisana
direktna ograničenja koja se odnose na uspostavu
i korištenje usluga računarstva u oblaku od strane
subjekata bankarskog sistema. Medutim, iz
Agencije za bankarstvo navode da korištenje ove
vrste usluga predstavlja segment eksternalizacije
(izdvajanja) poslovnih aktivnosti kojima se
podržava obavljanje osnovne djelatnosti (FBA,
2019). Sukladno prethodno navedenom, banke
su obavezne uspostaviti odgovarajući sistem
upravljanja rizicima koji su povezani s ovom vrstom
eksternalizacije, a koji treba biti sastavni dio sistema
upravljanja rizicima banke. Osim banaka i drugi
subjekti bankarskog sistema Bosne i Hercegovine
bi prilikom razmatranja računarstvo u oblaku
aranžmana trebali uzeti u obzir preporuke agencija
za bankarstvo vezano za eksternalizaciju - kao što
je npr. obaveza usvajanja internih akata, kojim se
propisuju postupci u vezi s izdvajanjem poslovnih
procesa, koji minimalno moraju sadržavati kriterije
i postupke koji se odnose na proces donošenja
odluke o izdvajanju poslovnih procesa i način
odabira pružaoca usluga, analizu rizika i procjenu
utjecaja izdvajanja poslovnih procesa, analizu
pružaoca usluga, upravljanje ugovornim odnosima
sa pružaocima usluga i nadziranje obavljanja
aktivnosti koje su predmet ugovora.
Za svaki pojedini proces eksternalizacije,
subjekti bankarskog sistema trebaju sklopiti ugovor
sa pružaocem usluga u pisanom obliku, te jasno
definirati sve relevantne pojmove, uslove, prava,
obaveze i odgovornosti ugovornih strana. Subjekti
bankarskog sistema trebaju interno definirati
obaveze i odgovornosti organizacionog dijela ili
uposlenika za nadzor i upravljanje eksternalizacijom,
te osigurati da odgovorna lica posjeduju za to
adekvatan nivo znanja i iskustva. Potrebno je, osim
toga, donijeti plan za nepredviđene situacije i izlaznu
BROJ 3 • MART/OŽUJAK 2020 •
strategiju, koja uključuje nastavak eksternalizovanih
aktivnosti od strane drugog pružaoca usluga ili
vraćanja istih aktivnosti unutar subjekta bankarskog
sistema, te osigurati uslove za njihovo provođenje.
Sistem upravljanja rizicima koji su povezani
s eksternalizacijom treba da obuhvati redovnu i
pravovremenu identifikaciju, mjerenje, odnosno
procjenjivanje, praćenje i izvještavanje o rizicima
kojima su subjekti bankarskog sistema izloženi
ili bi mogli biti izloženi u svom poslovanju, kao i
odgovornosti i obaveze provođenja, te poduzimanja
potrebnih korektivnih mjera. Upravljanje rizikom
eksternalizacije treba biti sveobuhvatno i primjereno
vrsti, obimu i složenosti eksternaliziranih aktivnosti.
Kada je riječ o korištenju računarstvo u oblaku
aranžmana, isti mogu izložiti subjekte bankarskog
sistema značajnim rizicima koji su povezani sa
korištenjem ovih rješenja, kao što su (FBA, 2019):
• Gdje su podaci fizički smješteni?
• Ko ima pristup podacima, kako to subjekt
bankarskog sistema može sa sigurnošću
utvrditi, kako će osigurati integritet,
povjerljivost i dostupnost podataka?
• Kako će subjekt bankarskog sistema steći
uvjerenje da pružalac usluga računarstva u
oblaku pruža usluge u skladu sa njegovim
zahtjevima i poštujući ugovorne klauzule?
• Da li će subjekt bankarskog sistema imati
pravovremen i potpun pristup operativnim
i sistematskim zapisima nad kritičnim
dijelovima sistema, itd.
Subjekti bankarskog sistema trebaju
procijeniti sve relevantne rizike na tehnološkom,
ugovornom, procesnom i regulatornom nivou,
zatim identificirati sve neophodne kontrole i mjere
za smanjenje rizika, te utvrditi da implementacija
rješenja računarstva u oblaku neće ugroziti postojeći
nivo zaštite podataka i procesiranja istih.
Eksternalizacija povezana sa materijalno značajnim aktivnostima
Posebna pažnja treba biti posvećena
eksternalizaciji povezanoj sa materijalno značajnim
aktivnostima subjekta bankarskog sistema. U iste
spadaju sve aktivnosti u sklopu djelatnosti za koje
je subjekt bankarskog sistema dobio dozvolu od
agencija za bankarstvo, kao i aktivnosti za koje se na
Časopis za pravnu i ekonomsku teoriju i praksu
osnovu procjene rizika utvrdi:
a) da su od takvog značaja da bilo kakva
slabost ili greška u pružanju tih
aktivnosti može imati značajan utjecaj
na mogućnost subjekta bankarskog
sistema da zadovolji regulatorne
zahtjeve i/ili nastavi svoje poslovanje,
b) da mogu imati značajan utjecaj na
upravljanje rizicima i
c) da mogu imati značajan utjecaj na
povjerljivost, integritet i dostupnost
podataka.
Treba imati na umu da Agencija za
bankarstvo može zahtijevati od subjekta bankarskog
sistema da aktivnosti, koje subjekt bankarskog
sistema nije ocijenio materijalno značajnim, ocijeni
kao takve, ako Agencija utvrdi da ispunjavaju neki
od prethodno navedenih kriterija.
U Odluci o upravljanju eksternalizacijom
u banci se navodi da je u „slučaju eksternalizacije
materijalno značajne aktivnosti, te ukoliko pružalac
usluga ima sjedište izvan Bosne i Hercegovine i/ili
obavlja aktivnosti koje su predmet eksternalizacije
izvan Bosne i Hercegovine, banka dužna, imati
dokaz kojim se potvrđuje da propisi države, odnosno
država u kojima pružalac usluga i/ili podizvođač
posluje, omogućavaju Agenciji za bankarstvo:
a) da u svrhu postizanja ciljeva supervizije
obavi direktni nadzor dijela poslovanja
pružaoca usluga koji ima veze ili se može
dovesti u vezu s eksternalizacijom, kao
i direktni nadzor obavljanja aktivnosti
koje su predmet ugovora i
b) pravovremen, neograničen i nesmetan
pristup dokumentaciji i podacima koji
su povezani sa eksternalizacijom, a u
posjedu su pružaoca usluga.“
PRAVO I FINANSIJE
83
realizacijom pojedinih zahtjeva iz člana 26. Odluke
o upravljanju informacionim sistemom u banci
u kojem se, između ostalog, navodi da je „banka
dužna uspostaviti proces upravljanja kopijama (eng.
backup) koji uključuje procedure izrade, smještaja,
testiranja kopija podataka, te restauracije podataka
sa kopija podataka, kao i adekvatan transport i
predaju kopija, kako bi se osigurala raspoloživost
podataka u slučaju potrebe, te omogućio oporavak,
odnosno ponovna uspostava kritičnih (vitalnih)
poslovnih procesa u zahtijevanom vremenu...“,
odnosno zahtjeva iz člana 32. predmetne odluke u
kojem se, između ostalog, navodi da je „u slučaju
eksternalizacije cjelokupnog ili dijela informacionog
sistema izvan teritorije Bosne i Hercegovine, banka
dužna:
a) da definira kritične (vitalne) procese
sa stanovišta kontinuiteta poslovanja i
odvijanja istih u zemlji,
b) da osigura lokalni informatički centar
na teritoriji Bosne i Hercegovine kako
bi osigurala raspoloživost podataka
i mogućnost odvijanja kritičnih
(vitalnih) procesa u zemlji,
c) da provodi testiranje funkcionalnosti
lokalnog informatičkog centra najmanje
na godišnjem nivou,
d) da osigura ažurnost podataka u
lokalnom informatičkom centru na
dnevnoj osnovi...“
U slučaju da pružalac usluga ima sjedište
izvan Bosne i Hercegovine i/ili obavlja aktivnosti
koje su predmet eksternalizacije izvan Bosne i
Hercegovine, banka je dužna dostaviti Agenciji za
bankarstvo i mišljenje Agencije za zaštitu ličnih
podataka Bosne i Hercegovine, a koje se odnosi na
namjeravanu eksternalizaciju materijalno značajne
aktivnosti.
Prethodno navedeni zahtjev trenutno je
teško moguće realizirati, pogotovo ukoliko pružalac
usluga nije iz Bosne i Hercegovine. Stoga je važno
(ako podaci neće ostati u Bosni i Hercegovini) da
se subjekt bankarskog sistema uvjeri da ugovarana
usluga eksternalizacije u oblaku nije „kritična ili
vitalna“ (Marchini, 2010).
Osim toga, u uobičajenim aranžmanima
računarstva u oblaku problem se može javiti i sa
3 • MART/OŽUJAK 2020 •