danske

Inside story

Gyser fortsætter for banker og datacentralers it-kontrakter

Finanssektoren, de tre datacentraler og JN Data har sat deres lid til, at en lovpakke med implementering næste år redder sektorens cloudløsninger som Office 365. Nu advarer en ekspert om, at det langtfra er sikkert, at det løser problemet. Man kan også forsøge at løse sagen med Microsoft, men herfra er der ingen kommentarer.

En redning af en yderst penibel sag i bankerne og i datacentralerne er langtfra givet- Selv om den umiddelbare hensigt i et netop fremsat lovforslag nemlig er at bløde op på nogle danske særregler, så pengeinstitutter og datacentraler kan få godkendt deres kontrakter med Microsoft, så er det langtfra sikkert, at det kommer til at ske, lyder det fra en af Danmarks førende eksperter på området, partner Michael Camphausen i Camphausen & Co og ph.d. i finansiel regulering.

”Vi mangler stadig at se, om man herhjemme vil tilpasse sig de nye EBA-outsourcing-guidelines uden at lægge danske særkrav eller danske overfortolkninger oveni. Historikken på netop dette delikate område tilsiger, at vi ikke kan konkludere alene ud fra udkastet til loven uden også at se udkastet til den altafgørende bekendtgørelse. Jeg vil med andre ord se det, før jeg helt kan tro det,” siger Michael Camphausen.

Problemet bliver i disse dage sat på spidsen af, at JN Data som beskrevet i InsideBusiness fra interne mails har fået underkendt deres aftaler med Microsoft i forbindelse med Office 365-pakken og har fået frem til udgangen af januar til enten at få styr på kontrakterne eller droppe brugen af de yderst populære Office-produkter, hvilket forekommer ganske uoverskueligt.

Sagen kort

Landets banker, de tre datacentraler og JN Data står i en yderst penibel situation, da Finanstilsynet som afsløret i InsideBusiness har underkendt JN Datas kontrakter med Microsoft. Det kan ramme datacentralerne SDC, BEC og Bankdata og deres kunder i bankerne, der risikerer at få forbudt deres brug af Office 365-pakken.

Der er imidlertid et lovforslag på vej, som ventes færdigt fra andet halvår næste år. Det er dog langtfra sikkert, at det er nok for JN Data, som risikerer at skulle droppe brugen af Office-pakken fra udgangen af januar 2020. Ellers står man i en helt uoverskuelig situation.

I de seneste dage har problemstillingen også spredt sig til Danske Bank, der har fået en stribe af påbud og et øget kapitalkrav på 2 milliarder kroner for sin it-styring, herunder også for ikke at have godt nok styr på outsourcingbekendtgørelsen.

Den er ellers netop sat i verden for at undgå, at fremmede lande, forbrydere, efterretningstjenester med videre får adgang til bankernes følsomme oplysninger. Det så vi eksempelvis med den meget omtalte Se & Hør-sag, hvor en kilde i Nets lækkede kreditkortoplysninger om for eksempel kongefamilien.

Det hele handler om, at Finanstilsynet og Erhvervsministeriet har indført danske særregler, der indebærer såkaldt aktiv godkendelse af Microsofts og andre cloudleverandørers brug af underleverandører. Og det har man altså tænkt sig at håndhæve fra myndighedernes side, hvilket Finanstilsynet ikke har lagt skjul på over for InsideBusiness. Nu har også Danske Bank fået kritik i et påbud for deres it-outsourcing-kontrakter.

Danske særregler

”I andre EU-lande har det længe været tilstrækkeligt, at banken på forhånd fik underretning fra cloudleverandøren om dennes påtænkte brug af en underleverandør, så banken havde god tid til at iværksætte sin exitplan og forlade cloudleverandøren, hvis banken ikke kunne leve med den nye underleverandør. Og hvis banken alligevel valgte at blive, så var det omvendt udtryk for passiv godkendelse.”

Camphausen påpeger, at man herhjemme har fastholdt et krav om en egentlig aktiv godkendelse, så banken i realiteten kunne komme til at blokere cloudleverandørens brug af nye underleverandører, ikke kun i forhold til banken, men i forhold til alle cloudleverandørens kunder.

”Det er det, som gør, at den danske outsourcingregulering netop på cloudområdet stadig halter afgørende efter de andre lande. Så det handler altså om, at vi herhjemme skal implementere de nye EBA-guidelines uden i den kommende bekendtgørelse at tilføje skærpede krav til denne underretningsmekanisme eller til bankernes exitplanere, end hvad der følger af EU’s guidelines. Ellers vil cloudleverandørernes standardkontrakter måske alligevel ikke være gode nok ifølge Finanstilsynet,” fortsætter Michael Camphausen.

Over for InsideBusiness gjorde underdirektør i Finanstilsynet Anders Balling i sidste uge det helt klart, at myndighederne vil håndhæve reglerne, uanset om det er svært for datacentralerne SDC, BEC, Bankdata og JN Data at få godkendt deres aftaler med Microsoft.

Trods den skarpe retorik fra Finanstilsynet er der ingen tvivl om hensigten med det lovforslag, som Erhvervsministeriet netop har fremsat på området. Heraf fremgår det: ”Det forventes på nuværende tidspunkt, at de nye regler vil gennemføre anbefalingen fra eftersynet af den finansielle regulering, således at der i outsourcingkontrakten ikke længere vil skulle fremgå et krav om aktiv godkendelse.”

 Finans Danmark er også skeptiske

Men også i Finans Danmark mødes Erhvervsministeriets lovforslag med en vis skepsis, og man er nødt til at se lovbekendtgørelsen for at få afklaret, hvordan man fremover er stillet.

”Som vi forstår intentionen i lovforslaget, vil man gøre det lettere ved at overgå til notifikationer i stedet for aktiv godkendelse. Vi har stadig til gode at se, hvordan man vil implementere det, men indtil videre sætter vi vores lid til intentionerne.”

Problemerne omkring godkendelsen af kontrakter med de internationale it-giganter er primært isoleret til Microsofts kontrakter, for der har været andre aktører, som har fået godkendt deres kontrakter med andre spillere.

”Finans Danmark har ikke indsigt i de kontrakter, der indgået. Generelt er det svært for den enkelte bank at ændre på big tech-firmaernes standardbestemmelser. Derfor arbejder kommissionen på at udforme standardbestemmelser på cloudområdet.”

Og noget tyder på, at man andre steder i sektoren har haft mere succes med at forhandle med de amerikanske it-giganter. I banksatsningen Lunar oplyser direktør Peter Smith således, at man skam har fået godkendt sine kontrakter fra Finanstilsynet, dog med en anden finansiel spiller. Lunar har i hele forhandlingsprocessen med Amazon Web Services (AWS) haft den gældende lovgivning under armen for at sikre, at alle forhold blev håndteret korrekt.

”Det har været en lang proces med fuld transparens i forhold til samarbejdet, og der har været løbende dialog med Finanstilsynet, så samarbejdet lever op til gældende lovgivning. Vi kan naturligvis ikke forholde os til andres aftaler og processer,” siger Peter Smith.

Microsoft: Ingen kommentarer

Meget tyder altså på, at det er Microsoft, der volder problemer. Danske Bank har nemlig også fået en ordentlig røffel af Finanstilsynet for ikke at have tilstrækkelig godt styr på styr på sin it-sikkerhed, idet man blev påkrævet, at bankens solvensbehov skal øges med 2 milliarder kroner for at tage højde for den forhøjede it-risiko – herunder også for ikke at have godt nok styr på sin outsourcing:

”I forhold til outsourcing skal banken sikre, at de interne retningslinjer på alle områder stemmer overens med lovgivningens krav, og at de interne retningslinjer efterleves i Finanstilsynet praksis,” fremgik det af skrivelsen fra Finanstilsynet til Danske Bank.

InsideBusiness har stillet Danske Bank en række spørgsmål på området, men banken henviser til Microsoft, hvad angår godkendelser af kontrakter, og har i øvrigt ikke ønsket at kommentere problemstillingen yderligere.

I Microsoft er der dog ikke megen hjælp at hente, idet svaret fra Helle Rosendahl fra Microsofts kommunikationsafdeling blot er: ”Vi har ikke kommentarer for nuværende.”

 

LÆS OGSÅ

Afsløring: Datacentrals kontrakter underkendes. Kan ramme alle banker

Omstridt Bankdata-projekt runder milepæl, men slagsmålet fortsætter

Katastrofalt udviklingsprojekt rammer Jyske Bank og Sydbank

Sydbank ville fusionere med Spar Nord. Skulle Nykredit med?

Frøsig vandt magtkampen, men hvad nu, Sydbank?

Se alliancerne mellem bank, forsikring og pensionsselskaber. Hvor er åbningerne?

Finansalliancer i opbrud. Priskrig på forsikring tager form

Partnerskaber gennemsyrer bankportaler, der kalder sig objektive

Kommer den store oprydning i pensionsbranchen?

Ugens Insider: Drop banken – og start forfra

Unødvendig fyring: Var Jesper Nielsen for populær til Danske Bank?

Hvilke bankfolk bliver nu plettet af hvidvask-sagen?

Har han reddet Nordeas prestigeafdeling?

Stort dansk forsikringsselskab kæmper for livet