O cechach technologii blockchain i WORM w kontekście trwałego nośnika i RODO oraz możliwości ich zastosowania w bankowości i poza nią rozmawiam z Tadeuszem Woszczyńskim, szefem Hitachi na Polskę i kraje regionu
Hitachi od dawna pracuje nad rozwiązaniem tzw. problemu trwałego nośnika. Mówi się, że mogą w tym pomóc dwie technologie a więc blockchain i WORM. Obie nie są Hitachi obce, prawda?
Jesteśmy od wielu lat jednym z globalnych liderów w zakresie systemów przechowywania danych, w tzw. "macierzy WORM". Uważamy zatem, że nasze kompetencje są w tym obszarze wysokie. Jesteśmy też bardzo zaangażowani w rozwój technologii blockchain. Zajmują się nią nasze dwa duże centra badawcze w Stanach Zjednoczonych i Japonii. Prowadzimy zaawansowane projekty blockchainowe m.in. dla największych japońskich banków oraz firm telekomunikacyjnych. Jesteśmy też drugim najważniejszym uczestnikiem projektu Hyperledger (międzynarodowa inicjatywa mająca na celu stworzenie otwartego protokołu dla wykorzystania technologii blockchain). Nasze doświadczenie pozwala nam zatem prawidłowo ocenić wady i zalety obu tych rozwiązań.
Dlaczego zatem zdecydowaliście się rozwiązać problem trwałego nośnika za pomocą technologii WORM?
Wynikało to z naszej szczegółowej analizy. Gdy pod koniec 2015 roku pojawił się problem trwałego nośnika w polskiej bankowości, a z prośbą o zaoferowanie odpowiedniego rozwiązania zwróciły się do nas pierwsze instytucje finansowe, założyliśmy, że nasz system musi spełniać kilka warunków. Po pierwsze przyjęliśmy, że bank będzie chciał zachować kontrolę nad przechowywanymi na trwałym nośniku dokumentami (np. dla celów dowodowych i ze względu na wieloletnie zobowiązania) i przechowywać je w swojej infrastrukturze. Po drugie skoro te dokumenty będą przechowywane przez bank, to aby nośnik na który trafią mógł zostać uznany za trwały, należało zapewnić gwarancje niezmienności wgrywanych na niego plików oraz brak możliwości ingerencji w przechowywane dokumenty ze strony administratora banku.
Ponadto zależało nam na tym, aby móc przedstawić bankom oraz regulatorowi referencje z rynku finansowego w zakresie bezpiecznego przechowywania danych (w tym z projektów regulacyjnych) oraz raporty dowodzące bezpieczeństwa technologii. Wyszliśmy bowiem z założenia, że należy być ostrożnym z nowinkami technologicznymi w tak wrażliwym obszarze, jakim są regulacje. Liczyliśmy się także z tym, że podmiotom poszukującym rozwiązań do trwałego nośnika będzie zależało na czasie i szybkich wdrożeniach, bo każdy dzień zwłoki oznaczał dla nich wyższe koszty związane z ewentualnymi sankcjami nadzoru, jak równiez konieczność zastosowania drogiej i archaicznej wysyłki papierowej. Nasze analizy wykazały, że najlepszym sposobem by spełnić te wszystkie wymogi, będzie wykorzystanie naszej macierzy WORM, tj. Hitachi Content Platform.
Czy to zatem oznacza, że problemu trwałego nośnika nie da się rozwiązać technologią blockchain?
Nie krytykujemy tej technologii, bo jak wspomniałem, Hitachi widzi w niej bardzo duży potencjał. Wykorzystanie samego blockchaina do trwałego nośnika uważamy jednak za rozwiązanie niekompletne i nieadekwatne, na co wskazuje brak jednoznacznego stanowiska Urzędu Ochrony Konkurencji i Konsumentów. Doceniamy jednak ogrom pracy, który został włożony w komercjalizację tej technologii w Polsce. Naszym zdaniem macierz WORM nie jest konkurencją dla blockchain, co zostało tak przedstawione na rynku. Obie technologie są dla siebie świetnym uzupełnieniem.
Weźmy pod uwagę rozwiązania dostępne na polskim rynku. Jedno z nich zakłada, że w sieci blockchain przechowywane są tylko sumy kontrolne dokumentów, a same dokumenty są przechowywane w banku i u zaufanej strony trzeciej. W tym wypadku blockchain dowodzi, czy dokument nie został zmieniony od czasu jego utworzenia, jak również pozwala śledzić całą historię tego dokumentu. Ale musi on być gdzieś jednak przechowywany w bezpieczny sposób. I tutaj według nas jest miejsce właśnie dla macierzy WORM, gdyż dokument źródłowy nie może być przechowywany na standardowych nośnikach danych np. na macierzach blokowych.
Kolejne rozwiązanie oparte o własny protokół blockchain zakłada, że w sieci tej będą przechowywane całe dokumenty, co z założenia wydaje się bliskie idei trwałego nośnika. Pojawiają się jednak inne wątpliwości, np. obawy o wydajność takiego rozwiązania (szczególnie w zakresie dokumentów spersonalizowanych, nagrań audio czy też nagrań video) jak również realizacji prawa do zapomnienia. Uważamy więc, że połączenie blockchain z macierzą WORM może być ciekawym rozwiązaniem dla całego sektora bankowego w przyszłości do przechowywania i wymiany dokumentów w formie elektronicznej. Nie ukrywam, iż prowadzimy rozmowy dotyczące budowy takiego rozwiązania.
No ale równie dobrze można powiedzieć, że WORM także nie jest trwałym nośnikiem spełniającym wymogi prawa, bo przecież sam w sobie nie zapewnia dostępu do dokumentów klientom…
Macierz WORM to nośnik zapewniający trwałość i niezmienność przechowywanych na nim dokumentów. Jednakże aby spełnić wszystkie wymogi regulatora, trzeba jeszcze umożliwić swobodny dostęp do tych dokumentów klientom oraz aktywnie informować ich o pojawieniu się nowych informacji, np. poprzez SMS lub wiadomość e-mail. W tym celu macierz WORM powinna być zintegrowana z bankowością internetową czy też zewnętrznym, niezależnym portalem internetowym.
Macierz WORM to sprawdzona technologia pozwalająca na przeprowadzenie wdrożenia w kilka tygodni i dająca szansę na rozwój systemu w przyszłości. Wraz z umową przekazujemy klientom naszą ekspertyzę prawną, audyty bezpieczeństwa rozwiązania, raport dotyczący zgodności z polskim i europejskim prawem, referencje z Polski i świata itd. To cały komplet informacji, które bank może wykorzystać w rozmowach z regulatorem.
A w jaki sposób rozwiązanie trwałego nośnika oparte o WORM zapewnia prawo do zapomnienia wywodzące się z rozporządzenia RODO?
Według niektórych ekspertów wymagania trwałego nośnika i RODO są ze sobą w tym obszarze sprzeczne. Regulator stawia warunek, że nośnik ma zapewniać retencję danych, czyli niezmienność zapisanych na nim dokumentów, jak również zachowanie tych informacji i dostęp do nich w określonym czasie. Z drugiej strony przepisy o ochronie danych osobowych dają konsumentowi tzw. „prawo do zapomnienia”, czyli do usunięcia wszystkich dokumentów zawierających jego dane osobowe. Wyjściem z tej sytuacji jest zastosowanie specjalnej procedury i mechanizmu zaimplementowanego w macierzy WORM, wyłącznie dla dokumentów spersonalizowanych, dzięki której na wniosek klienta wskazana osoba z banku, ale nie administrator, może definitywnie usunąć dokument zawierający dane osobowe z macierzy WORM. Wykorzystywany jest do tego nasz certyfikowany mechanizm, tzw. electronic shreddering. Wystąpienie i przebieg takiego procesu są rejestrowane i zapisywane na macierzy WORM w celach audytowych (logi są niezmienne i nieusuwalne). Co ciekawe procedurę tę po raz pierwszy wdrożyliśmy w jednym z krajów na wniosek służb państwowych korzystających z naszych rozwiązań do przechowywania danych o przestępcach. Mechanizm ten był wykorzystywany w programie świadków koronnych.
Wracając zatem na chwilę do blockchaina. Czego dotyczą te projekty blockchainowe, nad którymi pracujecie dla japońskich instytucji, o których Pan wspomniał?
Jeden z nich zmierza w kierunku zastąpienia blockchainem papierowych czeków, których w Polsce już nie ma, ale w Azji i Ameryce wciąż są bardzo popularne. Możliwość zastosowania technologii blockchain widzimy także w logistyce, gdzie może być śledzony przepływ towarów. Podczas naszej ostatniej wystawy najnowszych technologii w Tokyo pokazaliśmy system blockchain dla firm ubezpieczycieniowych umożliwiający zarządzanie likwidacją szkód. Ostatnio uruchomiliśmy także pilotażowy projekt z KDDI (drugi największy operator telekomunikacyjny w Japonii) łączący nasze najnowsze, mobilne rozwiązania biometryczne z blockchainem w celu realizacji płatności.
Jak widać, możliwości jest wiele. Na pewno chcemy rozwijać tę technologię również w Polsce. Może właśnie pierwszym krokiem będzie połączenie rozwiązań opartych o macierze WORM z systemami blockchain. Inna opcja to wdrożenie naszych systemów biometrycznych połączonych z blockchainem, jak to ma miejsce w Japonii. Zobaczymy, co czas przyniesie oraz jakie będą wymagania rynku.
Z iloma bankami w Polsce Hitachi ma podpisane umowy na trwały nośnik oparty o WORM?
Rozwiązanie zostało wdrożone produkcyjnie i działa w czterech instytucjach z pierwszej dziesiątki największych banków w Polsce, w tym między innymi w Pekao oraz w Santanderze. Kilka tygodni temu wygraliśmy następne dwa przetargi. Pierwszy z nich w jednym z czołowych, polskich banków a drugi – u jednej z największych firm ubezpieczeniowych. W obu projektach nasze rozwiązania WORM dostarczymy i zaimplementujemy jeszcze w grudniu. Jesteśmy w trakcie postępowań zakupowych oraz zaawansowanych rozmów i negocjacji z większością banków w Polsce. Można powiedzieć iż WORM staje się standardem, bo postawiło na niego siedem z dziesięciu czołowych banków w kraju, a za chwilę dołączą kolejne. W tym miejscu chciałbym podziękować bankom za zaufanie, w szczególności biorąc pod uwagę inne głośne inicjatywy sektorowe w tym zakresie.
Widzimy duże zainteresowanie naszym produktem nie tylko w bankach, które zostały zdopingowane przez UOKiK do szybkiego rozwiązania problemu trwałego nośnika. Zagadnienie to dotyczy także przedsiębiorstw z innych branż, w tym przede wszystkim ubezpieczeniowej i telekomunikacyjnej. Kolejne sektory, które będą musiały się tym problemem zająć, to m.in. dostawcy energii elektrycznej czy dostawcy telewizji cyfrowej. Wydaje mi się, że większość tych instytucji postawi na trwały nośnik wykorzystujący macierz WORM, ze względu na prostotę wdrożenia, referencje w bankowości oraz koszty.
Z jakimi kosztami bank musi się liczyć wdrażając trwały nośnik z wykorzystaniem WORM-a?
Trudno jest jednoznaczenie okreslić koszt, bo zależy on od zakresu projektu, w tym ewentualnej konieczności zbudowania portalu dla klientów lub sposobu integracji z bankowością internetową. Co do samej macierzy WORM to koszt zależy wprost od liczby potrzebnych terabajtów danych do zapisania. Podejście do kalkulacji uzależnione jest od potrzeb i może być różne, np. jeden z banków wykupił minimalną przestrzeń, aby ograniczyć koszty początkowe z zamiarem zwiększania jej w miarę potrzeb. Inna instytucja od razu zarezerwowała przestrzeń z zapasem na kilka lat. Generalnie całkowite koszty wdrożenia systemu trwałego nośnika opartego o macierz WORM powinny się zamknąć kwotą zdecydowanie niższą niż pojedyńcza wysyłka dokumentów w formie papierowej lub w formie płyty CD/DVD.
Dziękuję za rozmowę