In de tang van tech: financiële instellingen en hun digitale afhankelijkheid

Digitale afhankelijkheid, wat verstaan we daar precies onder en waarom is het nu relevant?

 
Melanie: ‘De financiële sector draait tegenwoordig volledig op informatietechnologie. Voor de meeste processen – van de klantcontacten tot het risicomanagement – werken ze samen met externe IT-dienstverleners. Denk bijvoorbeeld aan cloudaanbieders, of ontwikkelaars van AI-modellen.

De afhankelijkheid van dat soort dienstverleners is de afgelopen jaren toegenomen. IT-diensten zijn vaak complex en voor veel instellingen is het goedkoper en makkelijker om deze uit te besteden aan derden dan om alles zelf te ontwikkelen. Die diensten nemen ze veelal af bij dezelfde, kleine groep aanbieders.

Dat betekent ook dat een storing of incident bij één grote leverancier direct gevolgen kan hebben voor een groot deel van de financiële sector.’

Hans: ‘Wat het extra urgent maakt, is het geopolitieke klimaat momenteel. We zien dat de belangrijkste techbedrijven veelal niet-Europees zijn, en dat vergroot de kwetsbaarheid van de instellingen die van ze afhankelijk zijn.

Het is in dit klimaat niet ondenkbaar dat een niet-Europees staatshoofd of politicus die digitale afhankelijkheid inzet als drukmiddel. Een bank kan zo ten prooi vallen aan chantage.

Stel je voor: de machthebber van het land waar ook een grote IT-leverancier gevestigd is, geeft die IT-leverancier de opdracht om geen zaken meer met de bank te doen omdat de machthebber het niet eens is met het beleid van die bank. Die heeft dan een groot probleem.’

Kleven er nog meer risico's aan deze grote afhankelijkheid?

 
Hans: ‘Naast deze geopolitieke kwetsbaarheid, is het vanuit financieel oogpunt ook onwenselijk om al je diensten uit te besteden aan één leverancier. Hoe meer je uitbesteedt aan één leverancier, des te groter het risico dat je daar niet meer weg kunt.

Overstappen naar een andere leverancier wordt naarmate de verwevenheid toeneemt technisch steeds ingewikkelder. Op een gegeven moment is er  dan sprake van wat we in bedrijfsterminologie ‘vendor lock-in' noemen. Een leverancier kan dan makkelijk de tarieven verhogen.’

Melanie: ‘En vergeet ook de toeleveranciers niet, ook die kunnen een kwetsbaarheid vormen. IT-dienstverleners hebben vaak onderaannemers en ook die hebben soms weer onderaannemers. Er is vaak sprake van een heel ecosysteem van leveranciers.

Daardoor is het lastig om volledig zicht te houden op alle bedrijven die betrokken zijn bij de dienstverlening. Een storing of een cyberincident kan daardoor veel grotere gevolgen hebben dan voorzien.’

Wat betekent digitale afhankelijkheid voor consumenten?

 
Melanie: ‘Voor jou en mij als consument is het misschien niet altijd zichtbaar, maar de digitale afhankelijkheid van de financiële sector kan ons ook direct raken. Denk aan de app waarmee je je bankzaken regelt. Als er een storing bij een grote IT-leverancier optreedt, kan dat betekenen dat je tijdelijk geen toegang meer hebt tot je bankrekening of dat je geen betalingen meer kunt doen.’

Hans: ‘De risico’s gaan verder dan alleen bereikbaarheid. Digitale afhankelijkheid kan ook gevolgen hebben voor de toegang tot je persoonlijke gegevens. Als autoriteiten in andere landen daar zeggenschap over hebben, is er een risico dat ze daar misbruik van maken. Jij en ik moeten erop kunnen vertrouwen dat onze gegevens veilig zijn en dat een bank of verzekeraar grip houdt op wie er bij die gegevens kan.’

Hoe gaan financiële instellingen en leveranciers hiermee om?

 
Melanie: ‘Dit thema is top of mind in de sector: instellingen zijn zich bewust van de risico’s. We waren onlangs op bezoek bij een organisatie waar ze zich afvroegen of ze bij wijze van spreken nog wel naar binnen konden als hun IT-leverancier zou uitvallen.

Instellingen nemen daarom maatregelen. Denk aan een uitgewerkte exitstrategie, of een continuïteitsplan zodat ze in het geval van een crisis zo snel mogelijk weer up and running zijn. Verder proberen ze hun afhankelijkheden zo gedetailleerd mogelijk in kaart te brengen.

Wat je ook ziet, is dat instellingen inzetten op ‘containerisatie’. Dat betekent dat je je data en applicaties op zo’n manier opslaat dat je ze makkelijk van leverancier A naar leverancier B kunt overhevelen als dat nodig is. Een soort virtuele verhuisdoos eigenlijk.’

Hans: ‘IT-leveranciers spelen ook in op dit soort zorgen. Zo bieden grote cloudleveranciers steeds vaker een ‘soevereine cloud’ aan. Dat betekent dat data en beheer onder Europese wetten en regels vallen, en buiten bereik van bijvoorbeeld de Amerikaanse. Ook krijgen instellingen vaker de mogelijkheid om klant- en bedrijfsgegevens met een eigen zogenoemde ‘encryptiesleutel’ te versleutelen.

Dit soort initiatieven zijn welkom, maar zolang instellingen afhankelijk blijven van een handjevol IT-dienstverleners op andere continenten, blijven de risico's bestaan. En of de oplossingen die de dienstverleners voorstellen echt het verschil gaan maken als puntje bij paaltje komt, valt nog te bezien.’

Wat kan er op korte termijn worden gedaan, en wat is er op langere termijn nodig?

 
Hans: ‘Op korte termijn is het vooral belangrijk dat instellingen zich voorbereiden op ontwrichtende scenario’s. Denk aan sancties of hybride aanvallen. Dat kan door samen te werken aan dreigingsscenario’s, informatie uit te wisselen en ketentesten uit te voeren. Vanuit de AFM en DNB faciliteren we die samenwerking waar we kunnen.’

Melanie: ‘Daarnaast is het essentieel dat instellingen goed kunnen uitleggen welke keuzes ze maken om data soeverein en veilig te houden. Het gebruik van open standaarden voor software, containerisatie en het hebben van meerdere leveranciers kan helpen om de afhankelijkheid te verkleinen, al zijn deze oplossingen niet altijd eenvoudig of goedkoop.’

De echte oplossing is strategische autonomie. Daarvoor hebben we een sterke Europese techsector nodig, maar op dat terrein lopen we in Europa gewoon achter. Het wegwerken van die achterstand vraagt om investeringen, innovatie en samenwerking op Europees niveau. Alleen zo kunnen we onze afhankelijkheid van niet-Europese aanbieders verkleinen en onze digitale weerbaarheid vergroten.’

Hans: ‘Het rapport wijst daarbij op de noodzaak om structurele oorzaken van afhankelijkheid aan te pakken. Denk aan een beter pan-Europees investeringsklimaat en het aanpassen van regelgeving die belemmerend werkt. Ook Europese alternatieven voor clouddiensten en AI moeten verder worden ontwikkeld. Financiële instellingen kunnen hierin samen optrekken om de massa te creëren die je nodig hebt om alternatieven een echte kans te geven.’

Welke rol speelt de nieuwe Europese digitale weerbaarheidswet DORA in dit verhaal?

Hans: ‘DORA is een belangrijke stap. De wet verplicht instellingen om het risico van de afhankelijkheid van IT-leveranciers te beheersen door een zorgvuldige selectie van leveranciers, het maken van risico-analyses en het monitoren van het niveau van dienstverlening.

Ze stelt ook eisen aan contracten, exitstrategieën en de continuïteit van dienstverlening en er komt Europees toezicht op kritieke IT-leveranciers. Maar met alleen regels ben je er nog niet. Er blijven kwetsbaarheden bestaan, bijvoorbeeld rond concentratie en de eerdergenoemde geopolitieke spanningen.’

Melanie: ‘Daarom vinden we het belangrijk dat toezichthouders nauwer samen gaan werken. Ook willen we Europese beleidsmakers meegeven dat het nuttig kan zijn om een Europese cloud-toezichthouder op te richten. Alleen door samen op te trekken kunnen we de digitale autonomie van de sector echt versterken.’ 

Tot slot: wat willen jullie de sector op het hart drukken?

 
Melanie: ‘Blijf alert, werk samen en investeer in weerbaarheid. Digitale afhankelijkheid is een complex en grensoverschrijdend vraagstuk dat vraagt om gezamenlijke oplossingen.’

Hans: ‘En kijk verder dan de korte termijn. Alleen door nu te investeren in innovatie en Europese samenwerking, kunnen we de financiële sector minder kwetsbaar maken.