(图表左)说明:百分比为,企业自行评估,有多少内部应用系统,正式部署在私有云或公有云环境中执行的比例。(图表右)说明:百分比为,已经使用公有云或自行建置私有云(具备弹性扩充和调度能力)的金融业者的比例。资料来源:iThome 2019和2023年CIO大调查
趁著金融科技浪潮和开放银行浪潮吹进台湾,金管会在2019年底,第一次松绑了金融上云的规范,以委外管理方式来纳管各项金融上云的核准。
金融上云法规第一次松绑,引起各界高度重视,一方面主管机关也希望透过上云,促使更多金融业者展开IT现代化和数位转型计划,另一方面,其他产业的企业,希望金融业成为火车头,带动其他产业上云的发展。
但是,4年下来,金融上公云的案例却屈指可数,更没有点燃金融业上云的热潮,只有零星火花。
根据我们在2019年iThome CIO大调查数据,金融业在2018年时,约有3成业者开始尝试上云,不论是导入SaaS、PaaS或IaaS皆有。而金融内部应用也有23%的系统,部署到云端环境,这个云包括了公有云或是私有云。
可是,在今年度的CIO大调查结果却显示,累计到2022年为止,使用云端的金融业者只增加到33.3%,换句话说,在金管会第一次公布上云规范之后,上云金融业企业的比例只增加了3.3%,没有如预期般的爆发成长。
甚至,从金融业内部应用上云的比重来看,不但没有增加,四年下来,反而还大幅减少了许多。一样从今年大调查数据来看,2022年,金融业平均只有将12.3%的内部应用系统搬上了云,比2018年的比重少了快一半。一方面,搬上云的系统数量没有增加太多,另一方面,因为金融业这几年数位业务大幅成长,增加了不少新服务或新系统,整体应用系统的数量增加了,就算金融业维持与2018年时同样的上云应用数量,分母增加了,整体比重也会大幅下滑。
2019年首度开放金融上云,按系统逐件申请反成绊脚石
为何,金管会松绑上云规范的美意,没有带动金融业上云的发展?从多家金控业者过去几年上云申请大吐苦水的挫折经验可以看到,2019年上云规范的申请流程,成了局限金融上云的绊脚石。
一位金控高阶主管坦言,过去委外作业以「委外厂商」为委外申请核准的对象,同一位业者同时承包多项委外业务时只需申请一次,但是,在2019年版的上云规范中,改按照「系统」来申请委外核可。每一套系统要上云,就要重新向主管机关提出一次申请。
根据金融业者实际申请情况,当时一件申请案快则半年,慢则可能一年才能得到回复。一家金控的资讯系统多达二、三百套,每套上云都走一次申请,得花上十几年,更大影响是,金管会当时对于云端技术也相当陌生,更缺乏足够的监理经验,每项上云委外申请案的核准时间不只漫长,且无法预期何时能核准。
而且,金管会旗下银行局、保险局、证期局对上云的态度也不一致,那时曾有家金融业者申请使用云端办公室,3个机关中,2票同意,却有1票反对,最后上云计划告吹。
金融者为求谨慎,往往选择从新应用或新服务,开始尝试上云来练兵,而不是先将老旧系统翻新再搬上云,但是,金融业者苦苦等不到金管会的核准,反过来拖慢了新金融业务的推出时程,这就大大削弱了金融业者上公云的意愿。
尤其,当时的规范也有一些实际执行难度很高的要求,例如金管会希望对云端业者实地查核,金融业者得派人随同,远赴日本东京机房检视相关资料。对云端业者而言,每一家金融业者的每一次申请,若都得来一次实地查核,也是应接不暇。不论金融业者或云端业者,虽然多正面肯定金管会2019年上云规范的解禁,但在执行面却发生了不少实务上的难题。
不过,2019年的金融上云规范,带来金融业者最大的激励是,主管机关对于公云采取正面鼓励的态度。这也让许多金融业者加快IT现代化的脚步,更积极拥抱云原生技术和发展私有云架构,找来上云顾问认真投入资源展开不同形式的练兵,不只累积更多上云技术能力、培养上云人才,也积极验证各种上云部署方式、云端资安框架、云端治理框架的可行性。第一次金融上云规范,的确加速了金融产业IT现代化的速度,将云原生和容器技术落地到自家IT架构中。
2022年底,金管会公布了「金融资安行动方案」2.0版,其中特别的是增加了核心料资料保存的要求,希望金融机构将核心资料档案、资料库加密与分持,再储存到第三地或是云端备份。这一项要求,也暗示了金管会希望加速甚至扩大金融机构上云的脚步,作为第三地或境外保存资料的企图。但若是继续维持原有2019版规范,每一项系统储存到云端都得申请,无法快速达到这个目标。换句话说,金管会在2022年底就透露出进一步松绑上云规范。
金融3业上云规范终于统一,同步大松绑
一方面,累积了几年经验,金管会更熟悉不同金融服务上云的风险,另一方面,也希望让金融业当责,自行评估风险高低来考量上云与否。在2023年3月,银行局宣布,金融委外上云办法将有重大修正,决定放宽境内外云端委外作业的规定,大幅简化申请核准的流程,展开相关的草案预告工作。到了8月,不只银行局,连同保险局和证期局也同时发布委外修正规定,而且以银行局先前公布的草案为参考,统一金融三业的上云规范,同步大松绑。
金管会在2023年的新版委外规范中,最大变革是大幅简化了上云申请流程,只有重大消金系统放上境外公云,需要每件都申请,其余上云只要有首例核准,其他银行即可自行办理,不用再申请。一般委外项目的范围则和过去一样免申请。同时,金管会要求金融机构要负最终责任,让金融机构当责,自己评估风险等级决定是否上云,更不用每一件都报部申请。在新版修正办法中不够清楚的规范或疑虑,金管会已经盘点各业者的问题,计划在11月中释出相关问答集统一回答,例如将公布上云首例清单,其他银行免申请就能跟进办理。
2023年第二度上云规范松绑,再次引起金融业者高度兴趣,纷纷展开上公云的行动,各家做法和进展虽有不同,大多以多云、混合云为长期目标,再依据各自规模、业务型态、治理能力、IT现代化程度、云端维运能力的不同,各有不同的上云路径或发展策略,已经开始出现新一波的金融上云潮。
金融上云未来可改善的方向
不过,三大公云巨头在台云端机房的建置速度不一,有的先建立服务能量有限的小型在地机房,有得则还没完成,本土公云业者的服务类型和技术创新也还不比不上境外公云,金融上云的选择还不够多元化,这还有待云端业者加速布局,提出更长期在台发展的承诺。
另一方面,每一家金融机构现在仍须各凭本事,自行评估每一家公云业者不同产品的风险、合规情况,缺乏统一的衡量标准。不少金控都希望政府出面,仿效美国作法,订出公版云端合规标准,要求国内外云端业者遵循,例如可参考「联邦政府风险与授权管理计划」(FedRAMP)这是一套美国政府机关用来衡量云端产品安全评估、授权和持续监控作法的标准化方法,来建立台湾自己的标准,让金融机构更快也更容易选择合规的云端供应商和服务。
金管会以委外办法规范金融上云的作法,也有不尽适用之处,例如在公听会上就有金融业者提议,直接使用云端SaaS服务,就像租用现成场地举办研讨会,金融业者不是将原有业务委外,而是租用现成产品,但仍须依照委外规定执行相关行政作业,这也是值得进一步改善之处。