Financial Institutions en de complexiteit van Public Cloud done-right

Financial Institutions (FI’s), bedrijven als banken, payment service providers en verzekeraars, hebben met een sterk gereguleerde markt altijd een uitdagend spanningsveld tussen ‘legacy’ en ‘state-of-the-art’ als het aankomt op user experiences, software en application deployment & infrastructure. Public Cloud, met diensten als IaaS en PaaS, is voor veel financiële instellingen onmisbaar geworden om met name de end-user services en bijbehorende integraties te schalen. Om apps voor mobiel betalen, een maatwerk financieel advies of een snelle verzekeringscheck via chat te draaien, is heel veel rekenkracht en aandacht voor security nodig. Schaalbaarheid en veiligheid die lastig waar te maken is in een klassiek datacenter op een enkele locatie. En zeker met een beperkte interne IT-staf, zélfs als je een bank bent. Om als FI’s een gezamenlijke positie vorm te geven in een sterk gereguleerde industrie mét cloudbehoefte, werd de European Cloud User Coalition (ECUC) opgericht. ISAAC CTO Friso Geerlings geeft duiding aan de positie die de ECUC inneemt en hoe de FI’s en Cloud Service Providers elkaar kunnen vinden.

Logo ECUC

Financial Instutions en de sterk gereguleerde markt

FI’s zijn van nature (gedwongen) voorzichtig. Aan regulators als De Nederlandse Bank (DNB), de European Banking Authority (EBA) of Britse Financial Conduct Authority (FCA) moet worden aangetoond dat er correct wordt gehandeld. En de regels waaraan wordt getoetst, zijn niet minder geworden. Sterker nog, veel FI’s hebben, misschien terecht, de indruk dat veel problemen exclusief op hun bord worden gelegd. Privacy, security, anti-witwassen, antiterrorisme en klantidentificatie (KYC) zijn taken geworden die net zo belangrijk zijn, en misschien nog wel meer kosten, dan de bewaking van balansen en de stabiliteit van het betalingssysteem. FI’s hebben daarom veel meer unieke eisen voor Cloud Service Providers (CSP’s) dan veel andere bedrijven. Een eisenpakket dat niet altijd coherent is. En niet per definitie zorgt voor een warme ontvangst en begrip bij heel breed ingestelde CSP’s als AWS en Microsoft Azure.

Verenigde krachten in de ECUC

Om vorm te geven aan een gezamenlijke positie als sterk gereguleerde industrie mét een grote cloudbehoefte, hebben Europese FI’s samen de ‘ECUC’ opgericht: de European Cloud User Coalition. De ECUC is een soort belangengroep van FI’s als het gaat om noodzakelijk cloudgebruik. Een gezamenlijke stem weegt immers zwaarder. En tegenover de cloudgiganten of de EU ‘regulatory entities’ zijn zelfs banken klein. In de Benelux zijn grote FI’s als ING en KBC Bank aangesloten bij de ECUC. In de coalitie wordt gewerkt aan best practices binnen de geldende standaarden, maar wordt ook bewust ‘positie genomen’ door middel van een ‘position paper’.

In mei 2021 verscheen versie 1.0 van de ECUC position paper. Naast dat er positie wordt ingenomen ten opzichte van nieuwe wetgeving als de Europese DORA (Digital Operations Resillience Act, een voorstel rond regelgeving voor FI's), kiest de ECUC ook positie ten opzichte van de Cloud Solution Providers (CSP’s). Gericht aan Microsoft, Amazon Web Services, Google Cloud Platform en spelers als Digital Ocean dus. Om het voor Financial Insitutions behapbaar te maken om op Public Cloud infrastructuur te draaien, is een hoge mate van standaardisatie nodig. En moeten de CSP’s de juiste functionele zaken bieden op ‘hun clouds’. De ECUC brengt FI’s bij elkaar om gezamenlijk op te trekken en ervoor te zorgen dat er veel meer aansluiting komt tussen wat FI’s willen, en hoe de CSP’s dat bieden. De FI’s beogen hiermee de cloud giganten een beetje (bij) te kunnen sturen richting hun zo sterk gereguleerde context.

De Morgan Lewis blog vatte de kern van de ECUC Position Paper effectief samen in drie punten, de ‘main challenges’ voor cloudgebruik door Financial Institutions:

  1. “Overall public cloud adoption for financial services institutions is challenging due to the specifics of cloud computing being regarded as outsourcing;
  2. Legislation such as the proposed EU Digital Operational Resilience Act (DORA) and rulings such as Schrems II currently make it difficult for financial services institutions to adopt public cloud services;
  3. Financial services institutions engaging CSPs individually leads to additional administrative effort and time, as well as misdirection of priorities.”

ISAAC en de ECUC Position paper

Als partner van veel FI’s in de ontwikkeling van platformen, apps en online services, wil ISAAC zo veel mogelijk ontzorgen. Veel FI’s hebben met hun eigen IT-ontwikkelteams alleen tijd voor de kern van hun business. Ze willen het ontwerp, de ontwikkeling én de aanpak van hosting & cloud infrastructuur voor veel andere projecten uitbesteden aan specialisten zoals ISAAC.

Indirect is de ECUC Position Paper daarom ook voor ISAAC belangrijk, want onze oplossingen voor deze FI’s landen meestal in de Public Cloud van AWS of Microsoft Azure. De standaarden en richtlijnen die in het ECUC Position Paper worden aangestipt, nemen wij graag over om het totale ‘landschap’ aan ‘controls’ op de software die we voor FI’s ontwikkelen overzichtelijk te houden. Wel zo fijn voor de Chief Information Security Officers (CISO’s) en Cloud Operations Teams van de Financial Institutions die we bedienen, die een continue storm van audits en andere ‘regulatory burden’ van de regulators doorstaan. Als onze aansluiting op en hulp bij de ECUC-richtlijnen het leven op die afdelingen makkelijker maakt, is dat flinke winst.

We voorzien dan ook spoedig dat we niet meer alleen de vraag krijgen:

  • Is jullie software veilig?
  • Werken jullie volgens OWASP?
  • Willen jullie je ISO27001-certificaat laten zien?
  • Wat is jullie SSDLC en hoe gaan jullie om met Dependencies?

Maar dat we aanvullend een antwoord moeten geven op:

  • Volgt jullie voorstel de requirements van de ECUC voor Public Clouds?
  • Kunnen jullie een inrichting zoals de ECUC die schetst voorzien voor mijn API of app project?

Alleen dan lijkt een zorgeloze deployment van een project naar AWS of Microsoft Azure in de toekomst nog voorbij alle ‘checks and controls’ te komen.

Op Money2020 Europe, in september 2021, hebben we dan ook goed onze oren te luisteren gelegd rond het ECUC Position Paper en de belangrijkste aspecten die nu al spelen in de markt. Veel richtlijnen van de ECUC zijn nog voorlopig en de DORA-regelgeving is nog niet in steen gehouwen, maar de contouren tekenen zich af. Wat stelt de laatste versie van het ECUC Position Paper nu eigenlijk? En hoe kunnen we daarin ondersteunen als digitale partner voor FI’s?

Vijf requirements

Het ECUC Position Paper geeft requirements over vijf onderwerpen: privacy, security, governance & regulation, standard contractual clauses en operational resilience.

Binnen deze requirements zijn er deelgebieden gedefinieerd, waarvan sommige vrij concreet zijn. Anderen vragen meer aandacht rond een abstract control framework. Rond onderwerpen zoals het exacte contract tussen een FI en een CSP moet het legal en procurement team van de FI meestal zelf aan de slag. Andere deelgebieden zijn prima samen met een digitale partner beet te pakken. We lichten er een paar uit, die volgens ons typisch thuishoren in de support die een digital partner als ISAAC aan een FI geeft in een cloud project.

Governance & regulation: ‘Exit Strategy requirements’ stelt dat goed moet worden nagedacht over hoe een oplossing kan worden weggehaald bij een Cloud Solution Provider. Een mogelijk antwoord hierop is de inzet van ‘cloud agnostische infrastructure-as-code’-frameworks. Wij denken daarbij aan Terraform voor IaaS (Infra-as-a-Service) en The Serverless Framework voor iPaaS en FaaS (integration platforms & functions-as-a-service). Intussen zijn de ervaringen met dergelijke tooling voor digitale FI-projecten bij ISAAC groot en weten we hoe een ‘exit strategy’ eruit kan zien.

Security: ‘Encryption at rest’ stelt dat alleen bepaalde HSM (Hardware Security Module)-based vormen van key management, door middel van bijvoorbeeld ‘Supply Your Own Key’ acceptabel zijn voor ECUC-leden. Dit vergt de nodige expertise met cryptografie en de precieze werking van cloud services zoals de AWS Key Management Service. De CSPs bieden de juiste tooling doorgaans wel, maar de precieze inzet en het beheer eromheen is niet triviaal.

Logging en monitoring: ‘Standardised monitoring interface’ vraagt om robuuste en complete audit logging. Voor zowel de CSP (dat is een eis waarvoor de ECUC met de grote cloud providers rond de tafel moet, want het is lastig te bepalen hoe bijvoorbeeld AWS precies logt), als de klant (FI’s of de digitale partner). Voor de FI-kant kan cloud-agnostische logging of een abstractielaag tussen de applicatie en cloud platform worden ingezet. Op dit vlak ondersteunen we bij ISAAC FI’s ook graag met een aantoonbaar complete setup op zowel AWS als Microsoft Azure. Immutability en het aantoonbaar ongewijzigd opslaan van bepaalde logs is hierbij doorgaans essentieel.

Back-up functionality: ‘High Availability and Disaster Recovery’  bespreekt de acceptabele context (en minimale eisen) aan een CSP. De grote cloud providers hebben dit allemaal wat betreft features wel op orde. Ook hier is het vooral een kwestie van goed inrichten en het totale landschap overzien dat AWS en Microsoft Azure bieden. Het maken van de juiste keuzes is soms complex, maar als de inrichting eenmaal staat, is de totale ‘resilience’ doorgaans uitstekend.

Conclusies ECUC Position Paper

Al met al is het duidelijk dat het ECUC Position Paper zich vooral richt op de relatie tussen FI’s zoals banken met CSP’s zoals AWS en Azure. En dat de daarin beschreven onderwerpen en de manier waarop een CSP op elk vlak een mogelijke oplossing heeft voor een FI, veelomvattend is. Een veelomvattendheid met een complexe (technische) inrichting tot gevolg. Als digital partner van veel FI’s vinden we het bij ISAAC belangrijk om ontwikkelingen, zoals ECUC’s Position Paper en wetgeving als DORA, goed te monitoren en écht te begrijpen. Wat dat betreft is het voor ons vergelijkbaar met een framework als PCI-DSS in de payment card industry. Want in de flexibele ruimte tussen de Financial Institutions, hun ‘product teams’, drukbezette interne (cloud) IT en de CSP is veel werk te verzetten voor specialisten zoals wij. Werk dat noodzakelijk is om een project veilig, betrouwbaar, maar vooral ook ‘compliant’ op de cloud te laten landen. Wij houden de updates van de ECUC Position Paper en andere uitingen in de gaten. En juichen alleen maar toe dat hiermee waarschijnlijk ook de laatste plooien worden gladgestreken voor FI’s werkelijk all-out-cloud kunnen gaan.

rudy.png
Wil je meer weten?

Wil je meer informatie of vrijblijvend een vraagstuk bespreken? Onze Finance Consultant Rudy helpt je graag!

Neem contact op