Rabobank en De Nederlandsche Bank (DNB) hebben afspraken gemaakt over het melden van wijzigingen in financiële software. Individuele microservices mogen voortaan gebundeld worden gemeld. De afspraak geldt alleen voor wijzigingen in apps en software tot en met een bepaalde normering (BIV 322). De bundeling van meldingen moet zowel voor de bank als de toezichthouder een hoop werk schelen.
Computable sprak voor kerst met de Rabobank over de inzet van het microservices- en deployment-platform Pivotal Cloud Foundry (PCF). Tijdens dat gesprek meldde de bank dat het in een jaar tijd ruim 150 apps in productie heeft genomen op dat platform.
Businessarchitect Vincent Oostindië van Rabobank: ‘We zijn met DNB overeengekomen dat applicaties die op PCF landen in één aanmelding gebundeld mogen worden. Dit betekent vooral dat het voor teams die aan dergelijke applicaties werken een kleine moeite is om de nodige rapportages op te leveren.’ Het gaat om microservices voor software of apps met een BIV 322-normering (zie kader). Heeft een applicatie een afwijkende BIV, dan moet deze alsnog apart gemeld worden.
Hij legt uit: ‘Ook als een applicatie gewijzigd wordt, moet dit gemeld worden. Alleen, zouden we dat proces echt voor iedere applicatie apart uitvoeren, dan staan we iedere week in de rij voor de DNB met een hele lijst aan applicaties.’ Hij somt op dat met ruim honderd DevOps-teams, die iedere sprint (2 of 3 weken) naar productie gaan, het ondoenlijk is om alle wijzigingen individueel te melden. Oostindië: ‘Het doel van de DNB is ook niet om banken te vertragen natuurlijk. Het doel van de DNB is dat banken aantonen in control te zijn.’
DNB: cloud computing is vorm van uitbesteding
Camiel Castillo, ict-specialist, toezichthouder en supervisor it-risico’s bij DNB licht per mail toe: ‘De richtlijnen zijn van toepassing voor alle instellingen in onze financiële sector die een vergunning hebben bij ons en daarmee onder ons toezicht vallen. Denk aan banken, verzekeraars, pensioenfondsen, maar ook trustkantoren, betalingsinstellingen, beleggingsondernemingen et cetera.’ Hij wil niet ingaan op de afspraken tussen individuele instellingen zoals Rabobank en DNB.
Castillo schetst wel de achtergrond van de afspraken. ‘Omdat met de komst van cloud een deel van de operatie van instellingen onder ons toezicht uit ons zicht dreigde te verdwijnen – immers, wij mogen bij de Rabobank naar binnen maar niet zomaar bij Amazon of een andere willekeurige cloud provider -, publiceerde wij in 2011 een document met de titel circulaire cloud computing.’
Daarin staat onder meer dat DNB van oordeel is dat cloud computing, waarbij gebruik wordt gemaakt van diensten van derden, bijvoorbeeld voor het opslaan en verwerken van data, feitelijk een vorm van uitbesteding is. Volges Castillo werden in deze tekst de verwachtingen van DNB ten aanzien van de adoptie van cloud opgenomen. Die bestonden met name uit: actieve (achteraf) aantoonbare risicobeheersing, contractueel afgedwongen ‘right to audit’ (voor de auditdiensten van de instellingen zelf) en ‘right to examine’ (voor ons en andere toezichthouders) en meldingsplicht ten aanzien van alle cloud- uitbestedingen (aan DNB).’
In 2019 nieuwe richtlijn
Castillo vervolgt: ‘Deze en andere eisen waren overigens al sinds 2006 van toepassing volgens CEBS – de voorganger van de EBA – guideline t.a.v. outsourcing. In 2018 is een EBA guideline voor cloud computing uitgebracht, welke tevens deze en andere eisen omvat. De meldingsplicht is hier afgeslankt naar materiële uitbestedingen.’
Er worden wat handvatten gegeven, maar het is aan de instellingen zelf om te bepalen wat materieel is en wat niet (en aan DNB om te toetsen of de toegepaste criteria scherp genoeg zijn). In 2019 zal er een nieuwe guideline worden gepubliceerd als gevolg waarvan die uit 2006 en 2018 komen te vervallen.
BIV binnen Rabobank
BIV is een algemeen concept in de informatiebeveiliging. Het staat in het Nederlands voor: Beschikbaarheid, Integriteit, Vertrouwelijkheid. In het Engels wordt de term AIC gebruikt. Dat staat voor: Availability, Integrity en Confidentiality.
Elke applicatie krijgt al tijdens de inceptie een BIV-classificatie toegewezen, waarbij elke letter een getal van 1 (laag) tot 3 (hoog) krijgt. Een ‘B=3’-applicatie is bijvoorbeeld een applicatie die 7×24 beschikbaar moet zijn, en die bij onbeschikbaarheid heel snel weer in de lucht moet komen.‘
Businessarchitect Oostindië legt uit dat Pivotal Cloud Foundry binnen de Rabobank als een BIV=322 platform is neergezet. ‘Applicaties tot en met een 322 BIV krijgen de bijbehorende maatregelen tot op platform niveau ‘cadeau’ als ze op PCF landen. Voor applicatieve maatregelen zijn ze wel zelf verantwoordelijk’
Hij vervolgt: ‘Dit is overigens niet nieuw; ons oude platform, WebSphere op Linux met een stuk ‘portal’ zelfbouw erop’, had dit ook. Applicaties met een hogere I of V – dus I=3 of V=3 – zijn ook mogelijk op PCF, alleen moet de applicatie daar zelf meer voor doen. Meestal gaat het dan om zaken als encryptie, het digitaal ondertekenen van data, et cetera.’
Microservices
Microservices zijn onafhankelijke verzamelingen softwarecode die onderdeel uitmaken van een grotere architectuur. Ontwikkelaars gebruiken die microservices voor de ontwikkeling van nieuwe apps. Ook wordt bestaande software vaak in kleine stukken opgedeeld. Door de inzet van microservices zijn teams minder van elkaar afhankelijk en kunnen functionaliteiten sneller ontwikkeld worden. Ook is het idee achter microservices dat sneller kan worden ingesprongen op de vraag naar nieuwe toepassingen of functionaliteiten voor klanten.
(bron:Pivotal)
