FinansWatch

Skyen er klar til bankerne, men er bankerne klar til skyen?

KLUMME: Det er formentlig ikke et spørgsmål om, hvorvidt cloud computing kommer til bankerne, men alene hvornår det sker, skriver Tobias Holger Hansen fra fintechselskabet Cardlay i ny klumme på FinansWatch.

I de seneste år er cloud computing blevet et af de mest brugte begreber i it-verdenen. Der er mange variationer og definitioner af cloud computing - eller skyen som det også bliver kaldt - men overordnet er det betegnelsen for it-ydelser, der stilles til rådighed via internettet.

Begrebet ”skyen” kan være misvisende, da der ikke er tale om, at data bare svæver rundt i luften, men derimod et voldsomt stort antal servere/datacentre, der deles ud som services eller ressourcer til kunder via internettet i modsætning til traditionel on-premises hosting.

Desuagtet at flere og flere virksomheder bruger cloud, er der meget som tyder på, at banker generelt er mere tilbageholdende med at anvende cloud løsninger.

Hidtil har brugen af cloud i banker været centreret om e-mail, HR og CRM og altså ikke omfattet de klassiske bankydelser. For de fleste banker har on-premises datacentre været den foretrukne løsning, og langt fra alle banker har en egentlig cloud strategi.

Dette er på trods af, at banker i mange tilfælde vil kunne reducere deres it-omkostninger ved brug af cloud løsninger. Herudover er der nogle driftsfordele, idet det er muligt for bankerne at skalere cloud løsningen op og ned efter behov. På denne måde er man fri for pludselige investeringer i dyr hardware og software, såfremt behovet for at skalere opstår.

Der er således mange gode argumenter for, at banker bør anvende cloud løsninger ud fra et økonomisk perspektiv.

Juridiske udfordringer

En af årsagerne til, at mange banker alligevel er tilbageholdende med at anvende cloud løsninger til deres klassiske bankydelser kan skyldes, at juraen halter efter.

Brugen af cloud løsninger i den finansielle sektor rejser nemlig nogle særlige problemstillinger, idet der skal tages hensyn til en række sektorspecifikke regler og love, herunder outsourcingbekendtgørelsen som ofte vil finde anvendelse.

Udgangspunktet er, at banker godt kan anvende cloud løsninger. Det er dog en forudsætning, at bankerne kan sikre sig, at cloudleverandøren lever op til en række sikkerhedskrav.

Udfordringen med mange cloudleverandører er, at de bruger omfangsrige og komplekse standardkontrakter, som hverken giver banken eller Finanstilsynet den nødvendige adgang til at vurdere, om den outsourcede aktivitet foregår betryggende.

Langt hen ad vejen er det op til banken selv at vurdere, om den sikkerhed, som cloudleverandøren tilbyder er tilstrækkelig. Risikoen for at ramme ved siden af i denne vurdering bliver ofte nævnt som en af årsagerne til, at bankerne har været tilbageholdende med brugen af cloud løsninger.

Sikkerhed er naturligvis en høj prioritet for mange it-beslutningstagere, men med den teknologiske udvikling, bør det i dag være muligt for banker at anvende cloud løsninger uden at gå på kompromis med sikkerhed og compliance.

Virkeligheden er formentlig også den, at de store cloudleverandører har et sikkerhedsniveau, som i vidt omfang vil være en sikkerhedsgevinst for mange banker.

Bankerne er altså underlagt en regulering, der på nuværende tidspunkt virker hæmmende for bankernes brug af cloud. Frygten for ikke at leve op til de strenge forpligtelser som bankerne er underlagt, afholder utvivlsomt nogle banker fra at udnytte de økonomiske, drifts- og sikkerhedsmæssige muligheder som cloud løsninger indeholder.

Manglende compliance med reglerne kan dog også have alvorlige konsekvenser. I december 2016 tildelte Finansinspektionen (det svenske finanstilsyn) således Nasdaq Stockholm AB og Nasdaq Clearing AB bøder på henholdsvis 30 og 25 millioner svenske kroner, da selskaberne blandt andet ikke havde tilstrækkelig kontrol med deres outsourcingleverandør.

En af udfordringerne er, at kravene i outsourcingbekendtgørelsen og dens anvendelsesområde er generelt beskrevet og ikke specifikt udarbejdet til outsourcing af IT eller brug af cloud. Kravene i outsourcingbekendtgørelsen går altså dårligt i spænd med den praktiske virkelighed for bankerne.

Fælles certificeringsordning?

Spørgsmålet er, hvordan man kan gøre det lettere for bankerne at anvende cloud løsninger. En mulighed kunne være, at Finanstilsynet aktivt går ind og kontrollerer og certificerer cloudleverandører.

I Holland har De Nederlandsche Bank (den hollandske centralbank, som blandt andet står for en del af tilsynet med bankerne), indgået aftaler med en række cloudleverandører, herunder AWS, Salesforce, Google og Microsoft. Aftalerne sikrer blandt andet, at centralbanken og de hollandske banker kan få adgang til den nødvendige information hos de cloudleverandører, som centralbanken har indgået aftale med.

De hollandske banker skal stadig efterleve de generelle krav som gælder ved outsourcing, men det er utvivlsomt en hjælp for de hollandske banker, at centralbanken har forhandlet en standardbestemmelse på plads med visse cloudleverandører, som bankerne kan vælge at bruge.

I Danmark er der indtil videre meget som tyder på, at det danske finanstilsyn har valgt en mere påpasselig tilgang til cloud-udviklingen.

I England peger pilen også mod øget brug af cloud løsninger i den finansielle sektor. Således har Financial Conduct Authority (det engelske finanstilsyn), for nyligt udstedt banklicenser til banker, som udelukkende er baseret på cloudløsninger. Challenger-banken Monzo er et eksempel herpå. Monzo anvender Amazons cloudløsning til at hoste alle deres kerne bankapplikationer.

Da der utvivlsomt er økonomiske fordele for bankerne ved at anvende cloud løsninger, skulle øget brug af cloud løsninger i sidste ende gerne resultere i billigere produkter for kunderne. Dette taler for en mere proaktiv tilgang til anvendelse af cloud løsninger i den finansielle sektor.

Den hollandske løsning er et skridt den rigtige vej. En løsning kunne derfor være en form for fælles certificeringsordning af cloudleverandører baseret på internationale standarder. Der er i hvert fald et behov for, at bankerne får en mere fleksibel adgang til at benytte sig af cloud løsninger. I denne forbindelse bør målet være, at lovgivningen øger brugen af cloud fremfor at begrænse den.

Uanset hvad er det formentlig ikke et spørgsmål om, hvorvidt skyen kommer til bankerne, men alene hvornår det sker.

Tobias Holger Hansen er Chief Legal Officer / General Counsel hos fintechselskabet Cardlay A/S. Tobias har tidligere været advokat hos Bech-Bruun, hvor han beskæftigede sig med Bank og Finans.

Forsiden lige nu

Analysehus ser stor spredning i pensionskassers afkast i år

Ifølge analysehuset Morningstar har der blandt pensionskasser været stor spredning mellem top og bund målt på afkast i år, skriver Berlingske Business. Mens SEB og AP Pension ligger godt, har Skandia været udfordret af svingende dollarkurs.

Seneste Klummer

Relaterede

FinansWatch trial banner 14 dage.jpg

Seneste nyt

Finansjob

Se flere

Se flere