De financiële sector loopt een groeiend risico door zijn toenemende afhankelijkheid van een klein aantal niet-Europese IT-leveranciers. Dat stellen de Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) in een gezamenlijk rapport dat maandag is gepubliceerd. De toezichthouders waarschuwen dat deze afhankelijkheid kan leiden tot concentratie- en systeemrisico’s, waardoor verstoringen bij één leverancier grote delen van de sector kunnen raken.
Aanzienlijke risico’s
“De digitale afhankelijkheid van de financiële sector brengt aanzienlijke risico’s met zich mee”, stellen de schrijvers van het rapport. Wat zij constateren is niets nieuws: alle financiële instellingen gebruiken de diensten van dezelfde externe, niet-Europese leveranciers en zijn daar gaandeweg volledig afhankelijk van geworden.
De banken en verzekeraars zijn een spiegel van wat er overal in ons land, in de overheid en het bedrijfsleven heeft plaatsgevonden. De digitale infrastructuur is de basis waarop de hele dienstverlening opereert en deze infrastructuur en de kennis om deze te beheren en te onderhouden, is uitbesteed aan een paar grote hyperscalers.
Door vendor lock-in is overstappen naar andere leveranciers of diversifiëren om de risico’s te spreiden nagenoeg onmogelijk geworden, waardoor, zo schrijft het rapport, “hun onderhandelingspositie verzwakt en prijzen kunnen stijgen.”
Door de concentratie van de hele stack van dienstverlening in de handen van een enkele leverancier te leggen wordt het systeemrisico hoger, stelt het rapport. “Een storing of (cyber)incident bij één aanbieder kan meerdere financiële instellingen tegelijkertijd treffen. Afhankelijkheden beperken zich niet langer tot individuele instellingen, maar kunnen zich, mede via ketens van dienstverleners, opstapelen tot risico’s op systeemniveau. Fallback en herstelmechanismen kunnen ontoereikend zijn als meerdere partijen dezelfde afhankelijkheden hebben.”
Dit is inderdaad wat wij het afgelopen jaar hebben zien gebeuren bij grote storingen zoals het Crowdstrike incident bij Microsoft, of de hele recente DNS-uitval bij AWS. Bij een storing zou dan niet alleen een specifieke dienst van een specifieke bank uitvallen, maar vallen alle diensten van alle financiële dienstverleners tegelijkertijd uit. Met alle gevolgen van dien, voor de hele samenleving.
En dit is alleen nog maar het risico van een storing. “In het huidige gure geopolitieke klimaat bestaat het risico dat statelijke actoren de afhankelijkheid van digitale dienstverlening misbruiken als politiek pressiemiddel of instrument in een handelsconflict.” schrijven DNB en de AFM, toch niet partijen die bekend staan als activisten. Zij schrijven nu over de financiële dienstverleners, maar hetzelfde risico geldt voor de overheid en voor het bedrijfsleven in het algemeen. We moeten dit onder ogen zien als samenleving.
De concentratie van de hele IT stack bij een enkele leverancier verhoogt ook het risico en de impact van cyber security bedreigingen stelt het rapport “Waar voorheen een cyberaanval vaak op één instelling direct gericht was, kan een aanval op een externe leverancier nu indirect meerdere instellingen treffen”. Tegelijkertijd neemt het aantal cyberaanvallen toe. Tot het een keer echt fout gaat.
Gegevensbescherming, toezicht en compliance
Tenslotte, stelt het rapport, “Door de uitbesteding van dataopslag en verwerking aan clouddienstverleners ontstaan vraagstukken rondom gegevensbescherming, toezicht en compliance.” Het gebruik van de publieke cloud brengt juridische risico’s met zich mee, vooral wanneer de data onderhevig worden aan niet-Europese wetgeving. Denk hierbij aan de Amerikaanse CLOUD Act, die Amerikaanse autoriteiten het recht geeft om data van personen en organisaties op te vragen bij Amerikaanse technologiebedrijven, ongeacht waar die data fysiek zijn opgeslagen.
De toekomst
Het rapport maakt een scenario-analyse van hoe de toekomst eruit kan zien (zie afbeelding).
De auteurs zien het gevaar dat Europa een “digitale kolonie” van de VS wordt, waarin wij zo afhankelijk zijn geworden en zelf zo weinig kennis in huis hebben dat wij onze zelfbeschikking verliezen.
Op korte termijn zien de auteurs deze afhankelijk nog niet verminderen. Zij beseffen zich ook dat de huidige regels het niet altijd makkelijk maken om te diversifieren. Zo geven de banken bijvoorbeeld aan dat dat kleine IT-leveranciers afhaken als leverancier voor de financiële sector omdat ze niet aan alle DORA-eisen willen of kunnen voldoen. DORA staat voor Digital Operational Resilience Act en is een Europese verordening die de digitale veerkracht van de financiële sector moet versterken. Het stelt eisen aan financiële instellingen om IT-risico’s, zoals cyberaanvallen en datalekken, beter te beheersen en zich beter te beschermen tegen digitale verstoringen. Hierdoor bestaat het risico dat grote bestaande IT-leveranciers nog dominanter worden. Ook merken instellingen dat DORA prikkels geeft om minder leveranciers te gebruiken, dus om diensten van één leverancier af te nemen in plaats van veel verschillende: “hoe minder aanbieders, hoe minder papierwerk”. Dit is niet bevorderlijk voor de diversiteit, en daarmee voor de weerbaarheid.
Een sterkere Europese techsector is nodig
Op de lange termijn komt uit de scenario-analyse komt naar voren dat een sterkere Europese techsector nodig is. Op langere termijn is het van belang dat Europa minder afhankelijk wordt van niet-Europese IT-aanbieders, en een grotere mate van digitaleautonomie bereikt. Een sterke, autonome en innovatieve Europese techmarkt is wenselijk, zowel voor de weerbaarheid, als voor het behoud van Europese waarden zoals privacy en inclusiviteit. Het vergroten van digitale autonomie overstijgt de competenties van financiële instellingen en nationale financiële toezichthouders, en vergt actie op Europees niveau. Om de strategische autonomie te versterken is het nodig dat de Europese digitale infrastructuur wordt versterkt. Daarvoor zullen de structurele factoren die hebben geleid tot het ontstaan van digitale afhankelijkheid moeten worden aangepakt. Het Draghi-rapport reikt hiervoor concrete handvatten aan. Onder meer gaat het om het verbeteren van het innovatieklimaat, het investeringsklimaat, stimuleren van de ondernemingscultuur en beslechten van belemmeringen door wet- en regelgeving.
Deze conclusies kan Dutch Cloud Community alleen maar van harte onderschrijven.
Het volledige rapport is hier te lezen: https://www.dnb.nl/media/fmmnlf0m/brochure-atlas.pdf
