De Nederlandsche Bank geeft Nederlandse financiële instellingen het groene licht voor het gebruik van de diensten van de Amerikaanse cloud-aanbieder Amazon Web Services. Dit betekent volgens Amazon dat banken en verzekeraars voor hun websites, mobiele applicaties, bankiersoftware, gegevensopslag, extra rekenkracht en kredietrisico-analyses gebruik kunnen maken van cloud computing.
De financiële instellingen zouden vanaf nu ook diensten mogen afnemen van leveranciers die gebruik maken van de Amazon-cloud, stelt Amazon in een persbericht.
Woordvoerder Remko Vellinga van DNB houdt enkele slagen om de arm: ‘Zonder inhoudelijk op het Amazon-persbericht in te gaan, klopt het dat er voor DNB de wettelijke eisen geen belemmering meer hoeven zijn voor financiële instellingen om gebruik te maken van Amazon Web Services. Deze financiële instellingen zullen uiteraard wel een goede risicoanalyse moeten maken, wanneer ze activiteiten willen uitbesteden in de cloud.’
In een bericht op zijn website wijst DNB wel op de plicht van financiële instellingen een exitclausule op te nemen in het contract met de cloudleverancier. Ook moet er voorafgaand een risico-analyse worden opgesteld en moet DNB vooraf op de hoogte worden gebracht van de plannen.
Elders in Europa
Volgens Amazon Web Services maken financiële instellingen elders in Europa al gebruik van zijn diensten. Onder de gebruikers bevinden zich onder andere het Spaanse Bankinter en Unicredit in Italië. Ook de Australische Commonwealth Bank of Australia doet zaken met Amazon.
De eerste Nederlandse klant van Amazon Web Services is banktechnologiebedrijf Ohpen. ‘Wij hebben AWS gekozen als platform om onze ‘bank-uit-de-doos’-oplossing als SaaS-dienst te draaien’, zegt ceo Chris Zadeh van Ohpen. Volgens hem maken al enkele grote Nederlandse banken gebruik van de technologie van Ohpen om hun retail-activiteiten naar de cloud te brengen. ‘Met de goedkeuring van DNB kunnen zij onze bankiersoftware dus ook op AWS draaien.’
Verzekeraars
Eerder bereikte DNB overeenstemming met Microsoft over de levering van clouddiensten aan verzekeraars. Struikelblok daarbij was dat cloudleveranciers een beperking stelden aan de frequentie van toezicht door de toezichthouder. Microsoft besloot daarom op dit punt de contracten met verzekeraars aan te passen. Vertegenwoordigers van DNB mogen sindsdien op elk willekeurig moment onderzoek doen op de plaats waar de verzekeringsgegevens zich fysiek bevinden. Dat maakte de weg vrij voor het gebruik van bijvoorbeeld Office 365 in de verzekeringsbranche.
Met andere cloudleveranciers voert DNB vergelijkbare gesprekken. Lees voor meer details de circulaire die DNB begin december 2011 rondstuurde.
Allereest @Theo. AWS een Iaas provider noemen is hetzelfde als (hedendaagse) mainframes verouderd noemen, tijd om je kennis hierover een update te geven. Amazon is een extreem krachtige speler die de potentie heeft om het gehele IT speelveld te veranderen en daar al mee bezig is. Hierin zit een wijze les. Wat zijn doen is alle IT problemen identificeren en daar hun eigen oplossing aan te geven. Dit doen ze in een moordende versnelling waarbij het steeds moeilijker zal worden tegenwicht te bieden aan dit “cloud geweld uit de VS” (quote van Maurice van der Woude). Virtuele server te duur? Neem een reserved instance of “huur” er 1 op de marktplaats. Meer IOPS nodig? Geen probleem. Automatisch schalen? Done. Rechten geven aan individuele gebruikers en hiermee productie scheiden van ontwikkel omgeving? Is gedaan. Zij identificeren de problemen en geven er een oplossing van. En het is niet allemaal infrastructuur, je kunt er ook bulkmail mee versturen, enterprise service bussen mee bouwen (Paas) en doen zelfs SaaS als je de portal met interface zo mag noemen. Ook datawarehouses en NoSQL databases horen in het portfolio en ze zijn vrijwel platform onafhankelijk dus maakt het niet uit of je Python, Java of .NET ontwikkelaar bent. AWS is een heel breed platvorm. Als je het slecht vind dat Nederlandse banken AWS mogen gebruiken, bestudeer dan wat het is. In September komt er weer een gratis summit in Amsterdam met een Keynote van onze Nederlandse held en CTO van Amazon: Werner Vogels. Het is vrijwel onmogelijk om geen inspiratie op zo’n dag op te doen en is voor velen een eye-opener.
In mijn reactie schreef ik niet of cloud computing goed of slecht is, alleen dat het niet mogelijk is deze trend tegen te gaan. Ook schreef ik niet dat Amazon goed of slecht is of dat er geen ruimte is voor andere cloud providers. Ik sprak zelfs niet voor of tegen uit als het aankomt of ik deze ontwikkeling goed of slecht vind.
Willekeurige on-demand toegang tot data van anderen is slecht, ook als het gebruikt wordt om terrorisme te bestrijden. Deze macht zet namelijk tot subtiele terrorisme van overheid naar burgers aan in een weg waar geen terug in is. Ik ben er niet tegen dat overheid data in kan zien, maar wel als dit buiten de zorgvuldig opgebouwde rechtstaat om gaat, en dat is wat er nu lijkt te gebeuren. Een hooggeplaatste ex-CIA (http://www.theatlantic.com/politics/archive/2013/07/former-cia-chief-snowdens-leak-is-a-little-like-the-boston-bombers/278066/) maakte zeer duidelijk hoe evil dit is. Hij geeft aan dat transparantie net zo slecht is als Jihad. Met andere woorden: Wij bepalen wel wat goed voor je is en daar mag jij niets van weten, controle is transparantie en transparantie is net zo slecht als het plaatsen van bommen. Daar krijg ik nu rillingen van.
Dit is mijn bruggetje naar cloud computing. Ik zie cloud computing als een zeer nuttige technologie,business model, of wat dan ook. Maar dit staat los van de toepassing die in gevallen niet goed is. Je kunt wapens gebruiken om de vrede te bewaken, maar ook om oorlog te voeren. Je kunt tegen wapens zijn, maar als jij zet niet hebt zegt dat niet over anderen die ze wel hebben en tegen je zullen gebruiken.
On topic. Het is een logische keuze dat banken willen profiteren van nieuwe mogelijkheden en Amazon is een logische stap daarin. Of het goed is slecht is kan ik niet beoordelen, ik heb zelf niet het idee dat het beter of slechter wordt of dat je als klant van de bank nu echt zult profiteren. Banken geven graag een paraplu, maar als het gaat regenen willen ze hem terug. In mijn ogen heeft een bank sowieso weinig prikkels om zich dienstbaarder op te stellen aan de consument of MKB. Ook daarin heb ik geen idee wat we zouden kunnen doen om dat te veranderen…
@Willem,
Helemaal mee eens. Ik denk alleen dat je met de hoop om het te verbeteren door het in de kamer te behandelen je bedrogen uitkomt. Je stelling om de DNB onder curatele te stellen wegens wanprestaties zou dan uitgesproken worden door een minister die ook geen aantoonbare competenties heeft bewezen. De mensen met verstand zijn daar niet te vinden. Die zitten in het bedrijfsleven want daar is geld te verdienen en daar in de kamer niet. De huidige vorm van regeren en landsbesturing werkt veel te traag en de financiele kwakzalvers zijn wel zo slim om de bak met geld leeg te graaien alvorens zij in staat zijn het tij te keren. Keer op keer worden de bonussen nog steeds uitgekeerd en zijn ze juridisch niet aan te pakken.
Er is maar 1 remedie. Je financiele afhankelijkheid tot een minimum beperken bij de banken en laat ze maar stikken in hun negatieve imago waar ze de komende decennia niet meer vanaf komen.
Voor de banken blijft het wichelroede lopen. Je ontkomt er niet aan dat binnen de banken beperkingen worden gelegd op het dataverkeer. Daar staat tegenover dat iedereen binnen de bank die beschikking heeft over internet data in de cloud kan plaatsen. In mijn verleden is daar binnen de bank een circulaire over wat je wel kan plaatsen en wat je zeker niet mag plaatsen. Daarnaast moeten de banken een protocol uitbrengen voor bedrijfsgevoelige informatie.
Het is natuurlijk prima om applicaties als een cloudservice te laten hosten buiten de muren van de bank, zeker voor minder klantgevoelige applicaties.
De vraag blijft of het zin heeft om applicaties buiten de muren van de bank te laten plaatsvinden. De hoeveelheid informatie, de informatiestromen en de belangrijkheid van die informatie leent zich voornamelijk op korte lijnen, ICT is van levensbelang.
Zolang je in de cloud ook wordt afgerekend op datastromen en je duidelijke SLA’s nodig hebt is de stap naar AWS nog geen logische stap. Er zou eerst lokaal eens kunnen worden gekeken hoe we alle rekenkracht van de banken zouden kunnen bundelen, want er is daarvan genoeg in Nederland en omstreken.
Vindt de “don’t ask, don’t blame, maar maakt een risico analyse” negatieve optie van DNB ongeloofwaardig en laf, of ongeloofwaardig laf 🙂 .
Als men secure cloud wil, is het beter dit in Europa, nog beter in Nederland uit te voeren, zowieso met Linux platforms. En als het zonodig transatlantisch moet, kiezen slimme bedrijven Canada als sourcing lokatie. Want hier zijn de verschillende US Acts niet van toepassing.
Doe hier uw voordeel mee!
Dat de DNB het gebruik van de amazon cloud goedkeurt lijkt mij zeer terecht. De Amazon cloud is uiteindelijk niets anders dan willekeurig welke hosting partij, als het gaat om leveren van diensten. Het verschil van een cloud dienst, ten opzichte van een traditionele hosting dienst, heeft voornamelijk te maken met het business model dat beide hanteren.
Het artikel rept niet over of, de DNB dit voor alle gegevens doet. Ik kan me zo voorstellen dat er bepaalde privacy gevoelige informatie is, die de DNB liever niet op een Amerikaanse Clouddienst wil hebben. Echter ook in dit laatste geval voorzie ik niet al te veel bezwaren.
Ik hoor veel mensen gelijk de discussie over de patriot act aanhalen als het over gevoelige data en buitenlandse locaties gaat. Men doet daarbij voorkomen, of de Amerikaanse overheid zomaar zonder kennisgeving uw data mag opvragen.
Dit is echter niet het geval. Mocht de US om deze gegevens middels de patriot act vragen, zijn zij te allen tijde verplicht deze informatie met toestemming van de Nederlandse regering op te vragen.
Mocht men niet genoeg vertrouwen in de Nederlandse overheid hebben, staat het de gebruiker van de amazon dienst vrij,om zelf nog eens diverse maatregelen te treffen om informatie te beveiligen. Als het om privacy gevoelige informatie gaat, schrijf de Nederlandse wet voor in de WBP, dat alle privacy gevoelige gegevens afdoende beschermt moeten worden , dit kan bijvoorbeeld door het versleutelen van de informatie en het bewaren van de sleutels op een andere beschermde locatie. Hiermee voorkom je discussie: “ Je mag maar 120 op de snelweg, maar je kunt wel harder.” Beter gezegd ; Het feit dat iets niet mag, wil nog niet zeggen dat het niet gebeurt.
Het gebruik van Cloud diensten waar dan ook ter wereld hoeft dus geen probleem te zijn als het gaat om gevoelige Data , al wordt dat vaak wel verondersteld. Integriteit en veiligheid van gegevens heeft lang niet altijd te maken met de locatie waar deze gegevens worden opgeslagen. Een groter probleem is hoe de data wordt opgeslagen en hoe bedrijven en mensen met gegevens omgaan. Er is voldoende innovatie, kennis en technologie aanwezig om gegevens te beschermen. Het opslag medium in dit geval de Amazon cloud is daarbij niet ter zake doende.
Prachtige reacties/discussie maar volgens mij zit er tussen opvragen en kunnen inzien een groot verschil. Bij eerste wordt je geinformeerd terwijl tweede ongevraagd gedaan kan worden. Zodra je informatie buiten eigen controle opslaat verlies je er de controle over, zelfs de NSA heeft dit tot hun schande ondervonden. Want grappige is namelijk dat sectie stiekum zelf niet eens wist wie, wat en waarom toegang hebben/hadden tot de data en dat was niet de eerste keer.
Maar er blijven nu eenmaal struisvogels die hun kop in het zand steken om tegen de mol te kunnen blijven zeggen dat het prachtig weer is.
Cloud adoptie- OK, in het algemeen is cloud een goed idee. Of dit private cloud moet zijn, Nederlandse cloud, of US cloud? Dat er toestemming gegeven kan worden om bankapplicaties te draaien in een cloud is goed. Om dan alles onder Amerikaanse wetgeving te brengen is iets heel anders.
Er zijn ook Nederlandse cloudproviders. Waarom creëren de gezamelijke banken geen cloud opmgeving? Kan ook door Equens of de DNB ter beschikking worden gesteld.
Dat de US via illigale praktijken veel gegevens toch al heeft doet verder niet ter zake.
Wordt het gebruik van clouds bekend gemaakt? Dan kan ik van bank wisselen!
Er wordt nu enorm ingezoomd op het risico van inmenging door de Amerikaanse overheid. Uiteraard moet je jezelf afvragen of er situaties denkbaar zijn waarin dit werkelijk schade zou kunnen toebrengen. Anderzijds, is dit niet iets nieuws. Het hierboven geciteerde Patriot Act gaat zelfs nog verder. De Amerikaanse overheid kan al dit soort verzoeken laten honoreren indien er een Amerikaans staatsburger bij de provider in kwestie werkt.
Maar is dit nu werkelijk het grote risico? Op het moment dat je de spullenboel op een externe (cloud) infrastructuur plaatst, zijn er derden die (delen van) het beheer voor je uitvoeren. Theoretisch kunnen ook zij inzage in de informatie verkrijgen. Zelfs wanneer je alles in eigen huis houdt, zijn er beheerders met bovengemiddeld veel rechten op de informatiesystemen.
Nee, geef mij dan maar de mogelijke inzage van een overheidsinstantie. Daar zijn dit soort zaken in ieder geval gereguleerd en gedocumenteerd. Met de juiste audit functionaliteit is in ieder geval zichtbaar te maken wie op welk moment welke informatie opgevraagd heeft. In geval van een IaaS oplossing kan encryptie nog een extra barrière opwerpen.
Leon,
Stellen dat de overheid zijn zaken goed voor elkaar heeft lijkt me in tegenspraak met de moeite die ze hebben om aan WOB verzoeken te voldoen. En de regulering lijkt meer op de put dempen nadat het Kalff verdronken is. Betreffende beheerders met teveel rechten had ik al in een andere reactie gerefereerd naar klokkenluiders als Bradley en Edward want vertrouwen is goed maar controle is nog altijd beter.
De vraag is in hoeverre je werkelijk controle hebt op je data als een derde partij (met een andere meester) de uitvoer hiervan doet. Vergelijk het met de wijze waarop het toezicht gedaan werd op Enron, Diginotar en een rijtje banken om een paar cases te noemen. Want een audit heeft alleen waarde als de auditor zelf te vertrouwen is.
Op zich is het mooi dat DNB toestemming geeft aan financiële instellingen om de cloud-diensten van Amazon te gaan gebruiken. Dat is nog altijd beter dan het te verbieden met wettelijke regels en banken te verplichten tot het gebruik van on-premise oplossingen of het in stand houden van legacy.
Toch zijn de kanttekeningen die de woordvoerder van DNB bij het bericht plaatst veelzeggend. Een gedegen risico-analyse en een exit-clausule in het contract zijn verplicht en DNB moet op de hoogte gesteld worden van de plannen. Dat schept nog zeer veel mogelijkheden om een uiteindelijke tocht naar de cloud tegen te houden, naast het feit dat de PRISM-onthullingen en de gevolgen voor landen buiten Amerika nog steeds gaande zijn.
Wat dat betreft denk ik dat dit bericht waarschijnlijk niet helemaal uit de lucht komt vallen. Laatst was nog te lezen dan Amerikaanse cloud-bedrijven flinke financiële klappen hebben gekregen door de PRISM-onthullingen. Uit onderzoek van de Cloud Security Alliance (CSA) blijkt dat 10% van de overzeese klanten hun contracten specifiek om deze reden hebben opgezegd. Het vertrouwen is weg, en voor bedrijven als Amazon speelt hierbij ongetwijfeld ook een commercieel belang. Voorzichtigheid is geboden en ik vermoed dat Nederlandse financiële instellingen die mening zullen delen. Voorlopig is een Nederlandse cloud-provider met een eigen datacenter, die onder de Nederlandse wetgeving valt, vermoedelijk een veiliger keuze.