Krenuvši od regulative HNB-a vezane za primjereno upravljanje informacijskim sustavom financijskih institucija, članak 28. predmetne Odluke propisuje da je "Kreditna institucija dužna uspostaviti proces upravljanja incidentima koji će omogućiti pravodoban  i  učinkovit  odgovor  u  slučaju  narušavanja sigurnosti  i  funkcionalnosti resursa informacijskog sustava koji podržavaju odvijanje poslovnih procesa."

Interpretirajući „pravodoban i učinkovit ODGOVOR“ u širem značenju, mogli bi zaključiti da je u tom slučaju bitno samo uspostaviti sustav koji definira jasna vremena odziva na pojedine tipove incidenata, te da su time zadovoljeni regulatorni zahtjevi. U suštini to i jest tako, uzevši naravno u obzir i neke druge aspekte poput  sustava eskalacije, povrata na početno stanje kroz planove oporavka i općenito planiranje kontinuiteta poslovanja (BCP), kao stavke koje se također moraju zadovoljiti u poveznici s incidentima.

No promišljajući malo detaljnije koncept BCP-a, vidljivo je da se jasno traži definicija  zahtijevanog  vremena  oporavka  (engl.  „recovery  time  objective“). Dakle, postoji obveza definirati točno vrijeme oporavka za različite razine kritičnosti njihovih sustava, te u skladu s time uspostaviti procese oporavka, čija se ostvarivost/provedivost kontinuirano testira i provjerava. S poslovne strane, i u skladu s konceptom BCP-a, logično je dakle zahtijevati od svih koji su uključeni u proces oporavka sustava i rješavanja incidenta da se obvežu na definiranje i ispunjenje vremena oporavka sustava, definirana kroz BCP.

Međutim, osobno još nikada nisam vidio ugovor (bilo unutar institucije s IT odjelom ili s vanjskim pružateljem usluge kod kojega je eksternalizirana administracija ili razvoj sustava) kojim se definiraju vremena rješavanja incidenta, već samo vremena odziva na prijavu. Naravno, od strane IT odjela koji je zadužen za rješavanje incidenata uvijek je nezahvalno definirati generičko vrijeme njihovog rješavanja, s obzirom na njihove specifičnosti, te široki raspon procjena mogućeg utjecaja na cjelokupan sustav. Razumljivo, malo tko se želi obvezati na nešto što ne može kontrolirati, te što u konačnici može za IT odjel/vanjskog pružatelja usluge uzrokovati visoke penale, tj. direktni negativni financijski rezultat s osnove neizvršenja ugovorenih obveza. Naravno, definiranjem standardnog vremena rješavanja različitih tipova incidenata sama institucija (korisnik/naručitelj usluga) dovodi se u znatno povoljniju poziciju, jer osigurava predanost IT odjela/vanjskog pružatelja usluge rješavanju incidenta maksimalnim angažmanom i u minimalnom roku, te u slučaju da se incident ne riješi u definiranom roku i nastane šteta za instituciju, dio ili cjelokupni trošak može se prebaciti na IT odjel/vanjskog pružatelja usluge.

S druge strane, ako se ne definira vrijeme rješavanja incidenta, institucija ovisi o IT odjelu/vanjskom pružatelju usluge i njegovom slobodnom vremenu, kao i procjeni hitnosti ili jednostavno „dobroj volji“ da se određeni incident prepozna kao hitan za rješavanje, a ne samo kao hitan za preuzimanje i početak procesa rješavanja. U najgorem slučaju, šteta za intituciju može biti ogromna (gubitak povjerenja klijenata, financijske kazne zbog neizvršenja ugovorenih datuma isporuke robe ili plaćanja i slično) te i taj trošak snosi u potpunosti sama. Naravno, pretpostavka je da bi i samom IT odjelu/vanjskom pružatelj usluge trebalo biti u cilju da ima zadovoljnog klijenta, te samim time pretpostavljamo i da će napraviti maksimum kako bi isporučio rješenje u što kraćem roku. No, za ispunjenje te pretpostavke nužno je stvoriti i neke konkretne pretpostavke, te definirati referentne vrijednosti rješavanja incidenata.

Kako u ugovaranju uvijek postoje dvije strane, rijetko kada je moguće prisiliti drugu stranu na prihvaćanje određenog stava, kakav god on bio, koji bi mogao nanijeti štetu ili zahtijeva dodatne napore toj drugoj strani. No zašto se, ne samo iz razloga puke diverzifikacije na tržištu, već i kao korak naprijed u povećanju konkurentnosti cjelokupnog tržišta, ne bi pojavio pružatelj usluge koji nudi točno definirano vrijeme rješavanja incidenata? Naravno, to bi se značajnije i naplatilo. Ipak, viši troškom održavanja za same institucije (klijente/korisnike usluga), institucija dobiva dodatnu sigurnost da će joj pružatelj usluge maksimalnim angažmanom i brzim rješavanjem incidenta minimizirati oportunitetni trošak, te u konačnici i krajnju mogućnost prijenosa vlastitog troška  (izazvanog poremećajima u poslovanju) na pružatelja usluge, u slučaju da isti ne izvrši ugovorne obveze. Sličan primjer možemo vidjeti i u svijetu pravnih tvrtki/ureda, gdje u određenim područjima pružatelji pravnih usluga garantiraju „24/7“ uslugu s danim rješenjima i odgovorima na upite klijenata unutar 24 sata. Naravno, cijena takve usluge znatno je veća od „standardnih“ rješenja.

Možda u konačnici Hrvatska i jest premala država s premalom konkurencijom da bi ikada ovakav koncept zaživio jer pružatelji usluga zapravo drže monopol nad svojim rješenjima, a i tko će ikad ići mijenjati pružatelja usluga ili rješenje osim u slučaju potpunog nezadovoljstva suradnjom?

Za sada ne možemo pogriješiti ako se držimo propisanog definiranja vremena odziva i pokušavamo imati dobre odnose s poslovnim suradnicima, a kroz koju godinu, ako bude hrabrosti ponekog „lokalnog igrača“, možda i otvorimo „Pandorinu kutiju“ definiranja i (možda još bitnije) izvršavanja vremena rješavanja incidenata.

Luka Varenina (luka.varenina@trilix.hr)