— Ponad dwie dekady temu miały padać systemy bezpieczeństwa, systemy finansowe i produkcyjne z powodu „problemu roku 2000”. Teraz z punktu widzenia ryzyk i bezpieczeństwa systemy kwantowe to właśnie taki "rok 2000", tyle że na większą skalę — porównuje w rozmowie z serwisem "Data Science robię" Artur Derwiszyński z Intela, a Łukasz Libuda z SAS uzupełnia. — Mamy dwie strony medalu. Jedna czysto technologiczna, dotycząca bezpieczeństwa, a druga to fakt, że komputery kwantowe przyniosą nam większe moce obliczeniowe. Przyczyni się to do zwiększenie liczby operacji oraz prawdopodobnie będzie można taniej szybciej podjąć decyzję biznesową.

Artur Derwiszyński pracuje w firmie Intel jako FSI Lead na region EMEA. Wcześniej był związany z sektorem bankowym i ubezpieczeniowym. Jest absolwentem SGH oraz University of Minnesota.

Łukasz Libuda to ekspert w zakresie zarządzania ryzykiem, w SAS pracuje na stanowisku Head of Risk Practice na Europę Środkową. Specjalizuje się w zagadnieniach dotyczących ryzyka finansowego i operacyjnego. Zajmuje się również optymalizacją procesów wewnętrznych w organizacjach.

Kilka lat temu wiązano wielkie nadzieje z wpływem blockchainu, zwłaszcza kryptowalut, na rynek finansowy. Dziś o realnej skali tego wpływu można dyskutować, tymczasem pojawił się inny istotny czynnik zmiany - działania nazywane Cybercrime as a Service. Jak oceniacie znaczenie tego zjawiska?

Artur Derwiszyński, Intel: To jest niezwykle groźny, a jednocześnie interesujący, z perspektywy biznesowej, kierunek rozwoju cyberprzestępczości. Od strony technologicznej, warto odnieść się tutaj do modelu Software as a Service, który obniżył ceny dostępu do usług, zwiększył ich dostępność i tym samym przyspieszył rozwój w wielu obszarach. I tak samo Cybercrime as a Service "demokratyzuje" rynek przestępczy i obniża koszty cyberprzestępczości, a zatem usług takich, jak Ransomware as a Service, DDoS as a Service czy Phishing as a Service. W konsekwencji działania cyberprzestępców będą coraz lepsze, szybsze i łatwiej dostępne. Phishing as a Service w połączeniu z AI będzie oznaczał hiperpersonalizację wiadomości. Usługi hakerskie wejdą na jeszcze wyższy poziom i staną się dostępne dla milionów ludzi na świecie.

Czy to są przyszłe wyzwania, a może te metody już dziś są stosowane, tylko my z pewnym opóźnieniem dowiadujemy się o szczegółach technicznych?

A. D.: Oczywiście, one działają już od paru lat. Część ataków na szpitale i inne jednostki służby zdrowia w Wielkiej Brytanii z 2022 i 2023 roku było prawdopodobnie realizowanych nie tylko przez „grube ryby” świata przestępczego, jak BlackCat, ale także za pomocą usług platformowych cyberkryminalistów. Natomiast wydaje się, że "złoty wiek" w tej gałęzi cyberprzestępczości jest jeszcze przed nami. Mówię w czasie przyszłym, bo skupiam się na tym, że zastosowanie sztucznej inteligencji będzie kolejnym poziomem zaawansowania działań przestępców. Jednak niewątpliwie tego tupu praktyki są już realizowane, tylko na razie w stosunkowo małym zasięgu.

Łukasz Libuda, SAS: Ja mogę dodać, że to, o czym mówi Artur, jest naprawdę straszącą perspektywą. Technologia zwykle jest albo szansą, albo zagrożeniem. W tym przypadku to ogromne zagrożenie, bo jeżeli da się spersonalizować przekaz, czyli już nie mamy wiadomości napisanej przez oszusta łamaną polszczyzną, tylko dopracowaną, wiarygodnie brzmiącą wypowiedź, to jest to bardzo poważne zagrożenie. A dodam, że już dzisiaj możemy w łatwy sposób doprowadzić do zmiany głosu rozmówcy lub podmienić obraz. Trend postępuje i musimy liczyć się z tym, że go nie zatrzymamy. Dlatego bardzo ważna jest podstawowa edukacja konsumentów i użytkowników dotycząca najnowszych form ataków oraz włączenie mechanizmu ograniczonego zaufania.

Natomiast patrząc z perspektywy organizacji mamy dwie opcje - aktywne i pasywne zabezpieczenia. Aktywne, czyli instalowanie najnowszych technologii, hardware'u i oprogramowania, które będą jak ściana i pozwolą zabezpieczyć dane, systemy i procesy przetwarzania informacji. Druga opcja to zabezpieczenia pasywne, czyli ubezpieczenia. Coraz częściej firmy ubezpieczają cyber ryzyka. Jeżeli organizacja nie chce lub nie może z jakiegoś powodu dokupić sprzętu, który pozwoli jej wdrożyć wyższy poziom zabezpieczeń, to decyduje się na ubezpieczenie. Zapewniają one odpowiednią rekompensatę potencjalnych strat dla firmy i jej klientów.

Rozmawialiśmy na początku o blockchainie. Z perspektywy rynku finansowego na razie nie spełnił oczekiwań czy może trzeba oceniać tę technologię spokojniej, przez pryzmat Krzywej Gartnera?

A. D.:  Ja nie uważam, że nie spełnił oczekiwań, tylko po prostu wyobrażenia co do szybkości adaptacji tej technologii w biznesie były przesadzone. Blockchain, czy szerzej Distributed Ledger, według mnie, ma się całkiem dobrze i powoli rośnie liczba jego produkcyjnych zastosowań, szczególnie jeśli chodzi o smart kontrakty oraz szybkie płatności transgraniczne. Oprócz tego wiele banków centralnych pracuje nad wprowadzeniem walut cyfrowych i w niektórych gospodarkach to może znacząco zwiększyć tempo wdrażania usług opartych o blockchain. Na Krzywej Gartnera mamy obszar nazywany "zboczem oświecenia". I chyba właśnie tak jest z blockchainem w tej chwili. Być może jesteśmy już nawet na początku drogi pod górę, za poważnym dołkiem. Dlatego ja akurat bardzo optymistycznie patrzę na tę technologię. Uważam, że w zakresie zastosowań międzybankowych, nawet niekoniecznie dotykających klienta, przypadki stosowania blockchainu będą coraz częstsze.

Ł. L.: Zgadzam się, że do tej pory mieliśmy do czynienia z zachłyśnięciem się potencjalnymi możliwościami. Poszliśmy do góry, ale ostatnio spadaliśmy. To nowinka technologiczna, na której można było zarobić, ponieważ blockchain wielu osobom kojarzy się właśnie z zarobkiem. Być może nie jesteśmy jako społeczeństwo jeszcze aż tak bardzo zdigitalizowani i może pod kątem zastosowań korporacyjnych było jeszcze za wcześnie, żeby szerzej stosować blockchain. Widzę jednak tutaj pewną analogię z tematem ESG, czyli uwzględnieniem czynników Środowiskowych, Społecznych i Ładu Gospodarczego w prowadzeniu działalności. Pięć lat temu nikt nie mówił o ESG. Później firmy deklarowały, że są mocno zaawansowane w tej dziedzinie, ale w realu nie było sprawdzonej metodyki, nie było planu przejścia czy mapowania pomiędzy czynnikami ryzyka ESG a zyskownością prowadzenia działalności. Wszystko było rozmyte, więc podobnie spadliśmy. Ale od pewnego czasu pojawiają się nowe źródła danych, bardziej szczegółowe koncepcje, jak wykorzystać czynniki dotyczące ESG do modelowania ryzyka klienta czy ryzyk rynkowych.

Czy z ESG nie jest tak, że poważne potraktowanie raportowania niefinansowego zostało po prostu wymuszone na firmach przez administrację europejską? Mamy dodatkowo Europejski Zielony Ład, a w kontekście rynku finansowego przede wszystkim Taksonomię UE.

A. D.: Moim zdaniem, temat rozwija się głównie z powodu czynników ekonomicznych, ale oczywiście nacisk regulacyjny też jest istotny.

Taksonomia Unii Europejskiej to chyba już super mocny nacisk, prawda?

Ł. L..: Zgadza się. Tylko trzeba zaznaczyć, że prowadzenie działalności z uwzględnieniem czynników środowiskowych, społecznych i gospodarczych było realizowane od dawna. Firmy prowadziły akcje CSR-owe, pomagały szkołom, chciały pokazać, że rzeczywiście robią coś poza samym generowaniem biznesu i pieniędzy, czyli miały tę twarz społeczną. To po pierwsze, a po drugie, na pewno ESG jest też modą z tego względu, że dużo się o tym mówi.

Robiliśmy sporo wokół ESG od dawna, tylko trochę inaczej to było wcześniej nazywane i mniejszy nacisk był kładziony na literę E (Environment), czyli na uwzględnienie czynników środowiskowych w prowadzeniu biznesu. I po trzecie, myślę, że przedsiębiorstwa boją się dodatkowo wykluczenia z powodu ewentualnego napiętnowania, że nie zajmują się ESG – obecnie to swoisty wyróżnik i oferta oceniana przez innych.

Dziś przez wszystkie przypadki odmienia się sztuczną inteligencję, mnożąc możliwe zastosowania i czyhające zagrożenia. Ale, o ile AI możemy już sobie wyobrazić, zresztą używamy jej w wielu czynnościach, to perspektywą znacznie bardziej enigmatyczną jest technologia kwantowa. Jak wejście do użytku komputerów kwantowych wpłynie na rynek finansowy, m.in. w zakresie bezpieczeństwa?

A. D.: Niektórzy z nas pamiętają moment w historii, kiedy był problem roku dwutysięcznego, gdy narosła ogromna bańka informacyjna, że będzie światowy paraliż komputerów z datami w formacie dwucyfrowym. Miały padać systemy bezpieczeństwa, systemy finansowe i produkcyjne. I myślę, że teraz z punktu widzenia ryzyk i bezpieczeństwa systemy kwantowe to właśnie taki "rok 2000", tyle że na większą skalę. A przede wszystkim nie wiemy, kiedy ten "rok 2000" nastąpi, jest to duży wzrost niepewności - i pod tym względem, z mojej perspektywy, to znacznie trudniejszy temat niż problem roku dwutysięcznego.

Z dużą satysfakcją mogę powiedzieć, że Intel jest jednym z liderów prac nad komputerami kwantowymi i chętnie dzielimy się wiedzą w tym zakresie z instytucjami finansowymi i regulatorami. Konieczne jest, aby te instytucje były przygotowane na dzień, kiedy może się okazać, że większość zabezpieczeń kryptograficznych, rozwijanych przez ostatnie lata, z dnia na dzień może okazać się przestarzała.

Jak to kwantowe wyzwanie wygląda z perspektywy zarządzania ryzykiem?

Ł. L.: Mamy dwie strony medalu. Jedna jest czysto technologiczna, dotycząca bezpieczeństwa, czyli to, o czym mówił Artur - prace trwają, nie wiadomo kiedy, ale na pewno to nastąpi. Komputery kwantowe przyniosą większe moce obliczeniowe, czyli będzie się dało wykonać więcej operacji, prawdopodobnie taniej i szybciej podjąć decyzję biznesową. Już nie będzie trzeba tak uogólniać. Będziemy mogli agregować dane, aby bardzo precyzyjnie podejmować decyzje. Z perspektywy zarządzania ryzykiem finansowym i ryzykiem bilansu podejmowania decyzji. W kontekście współpracy z klientem ta technologia pozwoli jeszcze bardziej precyzyjnie wykorzystać nowinki technologiczne i przełożyć je na korzyści merytoryczne, procesowe i analityczne. Zastosowań widzę dużo: przeliczenie całego bilansu w różnych scenariuszach rozwoju czynników ryzyka, wycena instrumentów finansowych czy uwzględnienie różnych czynników ryzyka w ubezpieczeniach. Wierzę, że technologia kwantowa pomoże menedżerom ryzyka podejmować lepsze decyzje.

Ale zanim na rynek wejdą komputery kwantowe, w oparciu o aktualne rozwiązania działa już model nazywany Confidential Computing.

A. D.: Technologie Intela od lat pomagają w szyfrowaniu danych w sieci i na dyskach. Natomiast w ostatnim czasie wykreowaliśmy i zostaliśmy liderem w zakresie szyfrowania danych w czasie przetwarzania, czyli obszarze Confidential Computing. To podejście ma duże znaczenie dla bezpieczeństwa danych, ale również jest niezwykle istotne w zakresie regulacyjnym. Cała koncepcja Intel Trust Authority polega na izolacji danych i aplikacji od reszty systemu w czasie przetwarzania. Nawet jeśli inne elementy systemu zostaną przejęte przez atakującego, przetwarzane dane będą nadal zabezpieczone. To dziś nasza główna przewaga, jeśli chodzi o przetwarzanie danych.

Ł. L.: Trzeba zastanowić się - po co to wszystko? Na poziomie klienta oczywiście chodzi o to, żeby zapewnić mu jak najlepsze Customer Experience. Jeśli ta technologia, o której mówił Artur, jest już bezpieczna i sprawdzona, to klient czuje się doceniony i mówimy teraz o podejściu klientocentrycznym. A z perspektywy firmy? Stosujemy tę technologię po to, żeby uwolnić potencjał wzrostu, czyli potraktować klienta bardziej indywidualnie i hiperpersonalizować to podejście. Chcemy poprawiać zyski, chcemy być odporni na fluktuacje rynku.

A przede wszystkim, znowu wracam do AI, potrzebujemy tych wszystkich metod analitycznych, które zapewniają lepszą ocenę ryzyka klienta, jego zdolności kredytowej. Mamy modele zbudowane szybciej, z lepszą operacjonalizacją i mamy więcej modeli, czyli możemy w sposób indywidulany obsłużyć konkretne segmenty klientów. A czego oczekuje rynek? Szybkiego działania. Klient oczekuje szybkiej decyzji, nie chce czekać, potrzebuje spersonalizowanego produktu. W tej chwili technologie są w stanie spełnić te wszystkie oczekiwania, poprawiając Customer Experience i de facto też współpracę. Czyli mamy sytuację win-win.

Wracając do kwestii regulacyjnych, ale związanych z CX, żyjemy teraz w rzeczywistości pomiędzy unijnymi dyrektywami PSD 2 (Payment Services Directive)  i PSD 3. Co to oznacza dla Open Bankingu?

A. D.: Dalszy rozwój. Kilka lat temu, współpracując z European Payments Council, byłem włączony w prace nad PSD2 i mogę powiedzieć, że niewątpliwie to właśnie ta dyrektywa w kluczowy sposób wpłynęła na dynamiczną zmianę w zakresie obsługi klienta i cyfryzację usług bankowych w Europie i na świecie. W latach 2016-2019 mieliśmy wysyp fintechów i nowych usług. Z czasem okazało się, że rynek dokonał weryfikacji modeli biznesowych. To spowodowało, że część startupów zbankrutowała, inne zbudowały własne silne marki, a kolejni zmienili profil z oferty ukierunkowanej na obsługę klienta detalicznego na współpracę z bankami i optymalizację ich procesów. Warto też zauważyć, że ostateczny kształt samej dyrektywy odbiega od pierwszej, w niektórych zapisach, jeszcze bardziej rewolucyjnej propozycji.

Obecnie opracowywana kolejna wersja Payment Services Directive (PSD3) też podlega podobnym działaniom ze strony interesariuszy. W obszarze CX zakłada jeszcze szersze otwarcie dostępu do danych klientów, nie tylko w zakresie rachunków płatniczych ale także innych kont, w szczególności oszczędnościowych czy inwestycyjnych. Zatem z punktu widzenia możliwości oceny klienta, czy szacowania ryzyk związanych z tym klientem – będzie znacznie więcej dostępnych danych na ten temat niż dzisiaj.

Ł. L.: Z perspektywy danych, mogę dodać, że PSD 2 i zapewne PSD 3 to Open Banking, w którym mamy nowy wektor informacji tłumaczący nam zachowanie klienta i to, co jest dla nas najważniejsze w kontekście zarządzania ryzykiem. Mam na myśli dodatkowe dane, które wrzucamy po to, aby zasilić zaawansowaną analitykę, która pracuje na zaawansowanym sprzęcie. To wszystko pomaga nam podejmować dobre decyzje. A dobre decyzje to zadowolony klient i dobrze prosperujące przedsiębiorstwo. Oczywiście cały czas pamiętamy, że pracujemy na bardzo szczegółowych informacjach, dotyczących wrażliwych aspektów finansowych każdego klienta, więc bezpieczeństwo jest tu priorytetem. I pamiętajmy, że klient może, ale nie musi udzielić nam zgody na wykorzystanie konkretnych danych. Ale zasadniczo klienci chcą mieć lepszą usługę, więc zwykle robią klik - i to stanowi potencjał z perspektywy zarządzania ryzykiem. Czekamy na rozszerzenie zakresu informacji, który ma przynieść PSD 3.

Na koniec jeszcze pytanie - nie o klientów czy korporacje - ale o przyszłych pracowników. W przemyśle 4.0 i 5.0 powtarza się tezę, że teraz ważniejsze od kompetencji twardych są te miękkie. Jakie kompetencje będą najbardziej poszukiwane na rynku pracy w 2024 roku?

A. D.: To zależy między innymi od tego, jakie stanowisko rozpatrujemy. Bo czy myślimy o roku 2000, 2024, czy 2035, oczekiwania wobec specjalisty do spraw zabezpieczeń sieciowych pewnie będą trochę inne, niż wobec specjalisty do spraw obsługi klienta. Ciekawa zmiana następuje w zakresie oczekiwań dotyczących umiejętności współpracy wewnątrz firmy. Silosy departamentowe, charakterystyczne dla biznesu sprzed 20 lat, znikają. Firmy oczekują, że, na przykład, pracownicy działu technicznego i biznesowego będą wspólnie omawiali rozwój usług czy potrzeby klientów. W takim krajobrazie miękkie kompetencje wydają się szczególnie istotne i coraz więcej firm zwraca uwagę na inteligencję emocjonalną pracowników, ich adaptowalność i komunikatywność. Dodatkowo, wraz z rozwojem technologii, o których rozmawialiśmy wcześniej, oczekuje się szeroko pojętej biegłości cyfrowej czy wiedzy o cyberbezpieczeństwie. Nawet u pracowników, którzy do tej pory nie musieli się na tym znać. Oczywiście nie na poziomie eksperckim, ale takim, który pozwoli zabezpieczyć się przed phishingiem lub  włamaniem przez konto pracownika do zasobów całej firmy.

Ł. L.: Mamy nowe technologie, zbiory danych, pomysły na ich wykorzystanie, use case'y i wiele więcej. Czyli szeroko rozumiana otwartość na zmiany w zakresie technologii, procesów, sposobów współpracy będzie miała kluczowe znaczenie dla innowacyjnego rozwoju. Bardzo ważna jest umiejętność wyjścia z własnego silosu i zrozumienie, z czym wiąże się każda z podejmowanych decyzji, jakie są zagrożenia, jakie są możliwości, jakie są szanse? Taka elastyczność i wszechstronność jest dziś potrzebna, ponieważ technologia to tylko narzędzia. To tylko funkcjonalność, którą trzeba umiejętnie wykorzystać, aby ostatecznie uzyskać wymierny efekt w postaci na przykład zwiększenia CI/CX lub zwiększenia rentowności prowadzenia działalności. Nie jest tak, że technologia nam automatycznie zapewni lepszą wydajność, innowacyjność i wzrost sprzedaży. Natomiast niewątpliwie wymaga ona rozwoju nowych kompetencji, aby wykorzystać jej potencjał w sposób optymalny dla rozwoju i konkurencyjności organizacji. Czyli otwartość, elastyczność, umiejętność adaptacji do nowych wyzwań z jednej strony oraz biegłość cyfrowa z drugiej – to główne kompetencje, których pracodawcy będą oczekiwać od pracowników w 2024 roku.