De Nederlandsche Bank geeft Nederlandse financiële instellingen het groene licht voor het gebruik van de diensten van de Amerikaanse cloud-aanbieder Amazon Web Services. Dit betekent volgens Amazon dat banken en verzekeraars voor hun websites, mobiele applicaties, bankiersoftware, gegevensopslag, extra rekenkracht en kredietrisico-analyses gebruik kunnen maken van cloud computing.
De financiële instellingen zouden vanaf nu ook diensten mogen afnemen van leveranciers die gebruik maken van de Amazon-cloud, stelt Amazon in een persbericht.
Woordvoerder Remko Vellinga van DNB houdt enkele slagen om de arm: ‘Zonder inhoudelijk op het Amazon-persbericht in te gaan, klopt het dat er voor DNB de wettelijke eisen geen belemmering meer hoeven zijn voor financiële instellingen om gebruik te maken van Amazon Web Services. Deze financiële instellingen zullen uiteraard wel een goede risicoanalyse moeten maken, wanneer ze activiteiten willen uitbesteden in de cloud.’
In een bericht op zijn website wijst DNB wel op de plicht van financiële instellingen een exitclausule op te nemen in het contract met de cloudleverancier. Ook moet er voorafgaand een risico-analyse worden opgesteld en moet DNB vooraf op de hoogte worden gebracht van de plannen.
Elders in Europa
Volgens Amazon Web Services maken financiële instellingen elders in Europa al gebruik van zijn diensten. Onder de gebruikers bevinden zich onder andere het Spaanse Bankinter en Unicredit in Italië. Ook de Australische Commonwealth Bank of Australia doet zaken met Amazon.
De eerste Nederlandse klant van Amazon Web Services is banktechnologiebedrijf Ohpen. ‘Wij hebben AWS gekozen als platform om onze ‘bank-uit-de-doos’-oplossing als SaaS-dienst te draaien’, zegt ceo Chris Zadeh van Ohpen. Volgens hem maken al enkele grote Nederlandse banken gebruik van de technologie van Ohpen om hun retail-activiteiten naar de cloud te brengen. ‘Met de goedkeuring van DNB kunnen zij onze bankiersoftware dus ook op AWS draaien.’
Verzekeraars
Eerder bereikte DNB overeenstemming met Microsoft over de levering van clouddiensten aan verzekeraars. Struikelblok daarbij was dat cloudleveranciers een beperking stelden aan de frequentie van toezicht door de toezichthouder. Microsoft besloot daarom op dit punt de contracten met verzekeraars aan te passen. Vertegenwoordigers van DNB mogen sindsdien op elk willekeurig moment onderzoek doen op de plaats waar de verzekeringsgegevens zich fysiek bevinden. Dat maakte de weg vrij voor het gebruik van bijvoorbeeld Office 365 in de verzekeringsbranche.
Met andere cloudleveranciers voert DNB vergelijkbare gesprekken. Lees voor meer details de circulaire die DNB begin december 2011 rondstuurde.
Het is goed te zien dat de hedendaagse systemen steeds vaker aan alle eisen kunnen voldoen welke oa. door De Nederlandsche Bank inzake Nederlandse financiële instellingen bepaald is. Qua ontwikkeling van dergelijke “te vertrouwen” systemen zijn we dus op de goede weg.
Toch blijft het een feit dat ook deze financiële instellingen zich moeten afvragen of dat het een verstandige keuze is, war gaat men het voor gebruiken, is het alleen de backup van de backup locatie of wordt het als eerste uitwijk van primaire systemen gebruikt. Uiteraard is daartussen nog veel mogelijk maar men moet i.i.g. eerst zowel de verwachtingen van de systemen als ook de risico’s van de oplossingen afwegen en dan een keuze maken wat wel en niet geschikt is voor Cloud.
Services buiten je eigen datacenter halen staat nog steeds in de kinderschoenen. Helaas veel te vaak berichten over wie, wat, wanneer kan meekijken, gewenst of ongewenst. Na vernieuwde afspraken lijkt dit in orde, todat er weer een bericht op doemt dat ergens iemand anders ook (ongewenst) kan meekijken.
We zijn nog steeds drukdoende de security in onze eigen datacenters op orde te krijgen (en de complexiteit op orde krijgen). Zomaar je data aan andere toevertrouwen is nog een stap te ver.
Het blijft afwegen wat je waar neerzet. De tijd zal echt wel komen dat het niet meer uitmaakt: public, private cloud. Maar voor nu blijft het goed kijken en afwegen.
DNB heeft een functie waarmee ze mogelijkheden creeren. Naar mijn mening is het de verantwoordelijkheid van de klanten/bedrijven die afhankelijk van de richtlijnen van DNB, om deze afwegingen te maken.
Persoonlijk vind ik dat voor niet kritische CPU loads Amazon een mogelijkheid is, omdat Europa nog geen alternatief heeft. Europa is bezig met een tegenhanger Helix Nebula, maar dat is er nog niet. Tot die tijd is Amazon een alternatief.
Voor kritische loads denk ik dat het niet verstandig is in de bank- en verzekeringssector om hier gebruik van maken. Hiervoor zijn legio mogelijkheden die veiliger zijn binnen Nederland of Europa. Met deze uitspraak legt DNB een verantwoordelijkheid neer bij de gebruikers.
Ik denk dat er een hoop voetnoten bij zouden moeten staan. Wellicht zijn deze er, maar ik heb ze nog niet gelezen.
Over toestemming door de DNB gesproken.
– De DNB vond het goed dat Dirk Scheringa jarenlang bij zijn DSB Bank zat te rommelen om zijn hobby’s zoals de voetbalclub AZ, de DSB schaatsploeg en het Scheringa museum te bekostigen. De DSB is met een grote schuld ter ziele gegaan.
– De DNB vond het ook goed dat Fortis, Banco Santander en de Royal Bank of Scotland, de ABN AMRO overnamen, terwijl ze het kapitaal daarvoor niet eens hadden. ABN en een Fortis Nederland moesten genationaliseerd worden. Fortis België is nog maar weinig waard ondanks de staatssteun daar. De Banco Santander heeft hun aankoop snel moeten doorverkopen. En de RBS moest door de Britse staat gered worden met een kapitaalinjectie van 5,5 miljard Euro.
– De DNB vond het goed dat de SNS REAAL Groep meer dan 1,5 miljard Euro spaargeld van REAAL in de reeds uiteenspattende Spaanse vastgoedmarkt over de balk gooide. De SNS moest genationaliseerd worden met een initiële kapitaalinjectie van 3/4 miljard.
– De DNB vond het goed dat ING Groep jarenlang te weinig kapitaal had om mindere tijden te overleven. (De buffereisen waren meer dan gehalveerd.) De ING had uiteindelijk van de belastingbetaler een kapitaalinjectie nodig van 10 miljard.
– De DNB vond het ook goed dat AEGON jarenlang te weinig kapitaal had om mindere tijden te overleven. De AEGON had van de belastingbetaler een kapitaalinjectie nodig van 3 miljard Euro.
Kortom, de DNB blijkt in de praktijk niet al te veel verstand te hebben van het bankieren. Dus waar halen ze de megapretentie vandaan dat ze wel genoeg van de Amazone Cloud snappen, om hierover een cruciaal standpunt in te kunnen nemen?
We hebben de Use Policy, Customer Agreement en Service Terms van Amazon Webservices nog even bekeken. Wanneer je kritieke ict-diensten zoals bankiersoftware, gegevensopslag en kredietrisico-analyses onder deze juridische voorwaarden uitbesteed zoals DNB goedgekeurd heeft, dan geeft dit weer opnieuw een aardig beeld van het inzicht van de DNB in dit soort issues.