Financial Institutions en de complexiteit van Public Cloud done-right

FI’s zijn van nature (gedwongen) voorzichtig. Aan regulators als De Nederlandse Bank (DNB), de European Banking Authority (EBA) of Britse Financial Conduct Authority (FCA) moet worden aangetoond dat er correct wordt gehandeld. En de regels waaraan wordt getoetst, zijn niet minder geworden.

Sterker nog, veel FI’s hebben, misschien terecht, de indruk dat veel problemen op hun bord worden gelegd. Privacy, security, anti-witwassen (AML), antiterrorisme en klantidentificatie (KYC) zijn taken geworden die net zo belangrijk zijn, en misschien nog wel meer kosten, dan de bewaking van balansen en de stabiliteit van het betalingssysteem. FI’s hebben daarom veel meer unieke eisen voor CSP’s dan veel andere bedrijven. Een eisenpakket dat niet altijd coherent is, en niet per definitie zorgt voor een warm ontvangst of begrip bij breed ingestelde CSP’s als AWS en Microsoft Azure. Want, ook al zijn FI’s nog zo groot en machtig, voor Cloud Service Providers zijn het een van de vele partijen die zij bedienen.

Om vorm te geven aan een gezamenlijke positie als sterk gereguleerde industrie mét een grote cloudbehoefte, hebben Europese FI’s samen de ‘ECUC’ opgericht: de European Cloud User Coalition. De ECUC is een soort belangengroep van FI’s als het gaat om bijna onvermijdelijk cloudgebruik. Een gezamenlijke stem weegt immers zwaarder. En tegenover de cloudgiganten of de EU ‘regulatory entities’ zijn zelfs banken klein. In de Benelux zijn grote FI’s als ING en KBC Bank aangesloten bij de ECUC. In de coalitie wordt gewerkt aan best practices binnen de geldende standaarden, maar wordt ook bewust ‘positie genomen’ door middel van een ‘position paper’.

ECUC position paper

In mei 2021 verscheen versie 1.0 van de ECUC position paper. Naast dat er positie wordt ingenomen ten opzichte van nieuwe wetgeving als de Europese DORA (Digital Operations Resillience Act, een voorstel rond regelgeving voor FI's), kiest de ECUC ook positie ten opzichte van de Cloud Solution Providers (CSP’s). Gericht aan Microsoft, Amazon, Google en spelers als Digital Ocean dus.

Om het voor Financial Insitutions behapbaar te maken om op Public Cloud infrastructuur te draaien, is een hoge mate van standaardisatie nodig en moeten de CSP’s de juiste functionele zaken bieden op hun cloud omgevingen. De ECUC brengt FI’s bij elkaar om gezamenlijk op te trekken en ervoor te zorgen dat er veel meer aansluiting komt tussen wat FI’s willen, en hoe de CSP’s dat kunnen (gaan) bieden. De FI’s beogen hiermee de cloud giganten een beetje (bij) te kunnen sturen richting hun zo sterk gereguleerde context.

‘Main challenges’ voor cloudgebruik

De Morgan Lewis blog, een industry-leading opinieplatform, vatte de kern van de ECUC Position Paper effectief samen in drie punten, de ‘main challenges’ voor cloudgebruik door Financial Institutions:

1. "Overall public cloud adoption for financial services institutions is challenging due to the specifics of cloud computing being regarded as outsourcing;"

2. "Legislation such as the proposed EU Digital Operational Resilience Act (DORA) and rulings such as Schrems II currently make it difficult for financial services institutions to adopt public cloud services;"

3. "Financial services institutions engaging CSPs individually leads to additional administrative effort and time, as well as misdirection of priorities."

Als partner van veel FI’s in de ontwikkeling van platformen, apps en online services, wil iO zo veel mogelijk ontzorgen. Veel FI’s hebben met hun eigen IT-ontwikkelteams alleen tijd voor de kern van hun business. Ze willen het ontwerp, de ontwikkeling én de aanpak van hosting & cloud infrastructuur voor veel andere projecten uitbesteden aan specialisten zoals iO.

Indirect is de ECUC Position Paper daarom ook voor iO belangrijk, want onze oplossingen voor deze FI’s landen meestal in de Public Cloud van AWS of Microsoft Azure. De standaarden en richtlijnen die in het ECUC Position Paper worden aangestipt, nemen wij graag over om het totale ‘landschap’ aan ‘controls’ op de software die we voor FI’s ontwikkelen overzichtelijk te houden. Wel zo fijn voor de Chief Information Security Officers (CISO’s) en Cloud Operations Teams van de Financial Institutions die we bedienen, die een continue storm van audits en andere ‘regulatory burden’ van de regulators doorstaan. Als onze aansluiting op en hulp bij de ECUC-richtlijnen het leven op die afdelingen makkelijker maakt, is dat flinke winst.

We voorzien dan ook spoedig dat we niet meer alleen de vraag krijgen:

• Is jullie software veilig?

• Werken jullie volgens OWASP?

• Willen jullie je ISO27001-certificaat laten zien?

• Wat is jullie SSDLC en hoe gaan jullie om met Dependencies?

Maar dat we aanvullend een antwoord moeten geven op:

• Volgt jullie voorstel de requirements van de ECUC voor Public Clouds?

• Kunnen jullie een inrichting zoals de ECUC die schetst voorzien voor mijn API of app project?

Alleen dan lijkt een zorgeloze deployment van een project naar AWS of Microsoft Azure in de toekomst nog voorbij alle ‘checks and controls’ te komen.

Op Money2020 Europe, in september 2021, hebben we dan ook goed onze oren te luisteren gelegd rond het ECUC Position Paper en de belangrijkste aspecten die nu al spelen in de markt. Veel richtlijnen van de ECUC zijn nog voorlopig en de DORA-regelgeving is nog niet in steen gehouwen, maar de contouren tekenen zich af. Wat stelt versie 1.0 (mei 2021) van het ECUC Position Paper nu eigenlijk? En hoe kunnen wij daarin ondersteunen als digitale partner voor FI’s?

Het ECUC Position Paper geeft requirements over vijf onderwerpen: privacy, security, governance & regulation, standard contractual clauses en operational resilience.

Binnen deze requirements zijn er deelgebieden gedefinieerd, waarvan sommige vrij concreet zijn. Andere deelgebieden focussen zich meer op het neerleggen van een abstract control framework. Rond onderwerpen zoals het exacte contract tussen een FI en een CSP moet het legal en procurement team van de FI meestal zelf aan de slag. Andere deelgebieden zijn prima samen met een digitale partner beet te pakken.

We lichten een paar requirements van deze deelgebieden uit, die volgens ons typisch thuishoren in de support die een digital partner als iO aan een FI geeft in een cloud project.

Governance & regulation

‘Exit Strategy requirements’ stelt dat goed moet worden nagedacht over hoe een oplossing kan worden weggehaald bij een Cloud Solution Provider. Een mogelijk antwoord hierop is de inzet van ‘cloud agnostische infrastructure-as-code’-frameworks. Wij denken daarbij aan Terraform voor IaaS (Infra-as-a-Service) en The Serverless Framework voor (i)PaaS en FaaS (integration platforms & functions-as-a-service). Intussen zijn de ervaringen met dergelijke tooling voor digitale FI-projecten bij iO groot en weten we hoe een ‘exit strategy’ eruit kan zien.

Security

‘Encryption at rest’ stelt dat alleen bepaalde HSM (Hardware Security Module)-based vormen van key management, door middel van bijvoorbeeld ‘Supply Your Own Key’ acceptabel zijn voor ECUC-leden. Dit vergt de nodige expertise met cryptografie en de precieze werking van cloud services zoals de AWS Key Management Service of Azure Key Vault. De CSPs bieden de juiste tooling doorgaans wel, maar de precieze inzet en het beheer eromheen is niet triviaal.

Logging en monitoring

‘Standardised monitoring interface’ vraagt om robuuste en complete audit logging, voor zowel de CSP, als de klant (FI’s of de digitale partner). Dit is een eis waarvoor de ECUC met de grote cloud providers rond de tafel moet, want het is zonder hun input lastig te bepalen hoe een CSP provider precies logt. Aan de kant van de klant kan cloud-agnostische logging of een abstractielaag tussen de applicatie en cloud platform worden ingezet. Op dit vlak ondersteunen we bij iO FI’s ook graag met een aantoonbaar complete setup van logging op zowel AWS als Microsoft Azure. Immutability (bescherming tegen wijzigingen) en het aantoonbaar veilig opslaan van bepaalde logs is hierbij doorgaans essentieel.

Back-up functionality

‘High Availability and Disaster Recovery’ bespreekt de gewenste functionaliteit en minimale eisen aan een CSP op dit vlak. De grote cloud providers hebben dit allemaal wat betreft features wel op orde. Ook hier is het vooral een kwestie van goed inrichten en het totale landschap overzien dat CSP’s bieden. Het maken van de juiste keuzes is vaak complex, maar als de inrichting eenmaal staat, is de totale ‘resilience’ doorgaans uitstekend.

Al met al is het duidelijk dat het ECUC Position Paper zich vooral richt op de relatie tussen FI’s zoals banken met CSP’s zoals AWS en Azure. En dat de daarin beschreven onderwerpen en de manier waarop een CSP op elk vlak een mogelijke oplossing heeft voor een FI, veelomvattend zijn met een complexe (technische) inrichting tot gevolg. Als digital partner van veel FI’s vinden we het bij iO belangrijk om ontwikkelingen, zoals ECUC’s Position Paper en wetgeving als DORA, goed te monitoren en écht te begrijpen.

Wat dat betreft is het voor ons vergelijkbaar met een framework als PCI-DSS in de payment card industry. Want in de flexibele ruimte tussen de Financial Institutions, hun product teams, druk bezette IT en de CSP is veel werk te verzetten voor specialisten zoals wij. Werk dat noodzakelijk is om een project veilig, betrouwbaar, maar vooral ook ‘compliant’ op de Public Cloud te laten landen.

Wij houden de updates van de ECUC Position Paper en andere uitingen in de gaten. En juichen alleen maar toe dat hiermee waarschijnlijk ook de laatste plooien worden gladgestreken voor FI’s werkelijk all-out-cloud kunnen gaan.