Blijf uit de cloud!

The Register was gisteren een van de eerste online titels om het nieuwste rapport van de EBA onder de aandacht te brengen. De Britse publicatie had daar ook alle redenen voor, het ging immers om onderzoek naar de risico’s van fintechs en de EBA is in Londen gevestigd.

Londen claimt de hoofdstad te zijn van de bankwereld en daarmee ook een waanzinnig belangrijke locatie te zijn voor fintechs. Als de EBA, de onafhankelijke toezichthouder op de gehele financiële sector, onderzoek publiceert is het de Britse pers die dat traditiegetrouw als eerste oppakt. Deze keer was het The Reg en niet The Financial Times die er als eerste mee naar buiten kwam. In het artikel wijst het op de bekende lollige manier op de gevaren die de EBA ziet voor fintechs in het algemeen en cloud diensten voor de financiële sector in het bijzonder. Die bevindingen zijn echter alles behalve lollig.

We kunnen er niet omheen op twee belangrijke conclusies te wijzen en die door te trekken naar de meer reguliere cloud gebruikers, al is dat niet wat The Reg doet. The Reg haalt uit de zeven thema’s die de EBA vooral dat het gebruik van cloud diensten een ondoorgrondelijk risico blijft en dat de achterliggende ondersteuning bij de aangeboden cloud diensten door mensen (beter bekend als de callcenters van de IT aanbieders) dat ook is.

Dat moet je echt even op je laten inwerken. Het gaat niet om het misbruik van de blockchain of de onjuiste opslag van biometrische gegevens. De EBA wijst er op dat cloud aanbieders te maken hebben met nationale wetgeving die de kern van banking, namelijk vertrouwen en integriteit, ondermijnt. Alsof dat not niet genoeg is maakt de EBA ook expliciet melding van de callcenters die op mondiale schaal worden ingezet. Wie de laatste jaren datalekken heeft uitgeplozen ziet dat in de Engelstalige landen een lek zomaar in een land kan ontstaan waar de bank of de IT beheerde van de bank of de cloud aanbieder zijn callcenter heeft ondergebracht. Er wordt terecht door The Reg gewezen op de onmiskenbare waarschuwing in het rapport dat het uitbesteden van ondersteuning naar HRA onverenigbaar is met de business van een oldskool of super hippe bank. HRA staat daarbij voor High Risk Areas.

Het rapport naast je neerleggen als IT beheerder van een bank, een aanbieder van cloud diensten of als reguliere MSP is onverstandig. De eerste kan namelijk niet langer meer beweren “ich habe es nicht gewusst”. De onacceptabele risico’s zijn benoemd, ze staan zwart op wit en in de banksector is wegkijken en ontkennen de slechtste optie. Voor de ISP Today lezer zijn de twee andere groepen belangrijker. Weet jij altijd met 100% zekerheid waar de callcenter agent waarmee je belt of chat zit? Weet je überhaupt wel dat er een lijst met HRA is die leidraad moeten zijn voor risicobeheerders? Als je eigen organisatie die functionaris niet heeft dan kan zo iemand wel bij en van je grotere klanten zitten, of de auditor die de ISO xyz check doet stelt er een vraag over die je niet had verwacht.

Het EBA rapport is daarmee een bommetje onder meer dan een sector. Natuurlijk zullen de usual hyperscalers er alles aan doen het document maximaal onbesproken te laten. De consequentie van alle waarschuwingen die er in opgesomd worden is immers dat er heel wat pleit om business uit de cloud en binnen de eigen landsgrenzen te houden.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.