Het is verkeerd geïnterpreteerd
Enria zei dat een deel van het probleem is dat banken een deel van hun kritieke IT-infrastructuur uitbesteden aan externe providers of andere entiteiten in hun groep.
Het gaat niet om dat een 3de partij de boel beheert, het probleem is dat de boel bij een 3de partij staat.
“andere entiteiten in hun groep”
Deutsche Bank Nederland NV is bijvoorbeeld onderdeel van Deutsche Bank AG wat 9/10 wilt zeggen dat alle infrastructuur van deze Nederlandse bank waarschijnlijk in Duitsland staat. Dat vinden we nog niet zo erg gezien dat het binnen de EU blijft.
Maar ABN AMRO Commercial Finance is ook actief in het VK, dan gan je al buiten de EU, ABN AMRO Funding USA LLC, de naam zegt het zelf.
Société Générale, een van de grootste banken in Frankrijk is dan weer (of was) vollop actief in Rusland.
Je zit dus met financiële groepen die banken in het buitenland openen maar al die losse banken hebben niet altijd hun eigen infrastructuur net zoals andere internationale ondernemingen echt geen complete IT-infrastructuur opzetten voor elk land waar ze actief zijn.
Dan is er net zoals bij andere bedrijven ook geen probleem dat het wel goedkoper is om de infrastructuur niet in een duur land als Nederland of Duitsland te plaatsen maar in een goedkopere entiteit van de groep.
“externe aanbieders”
Ik heb persoonlijk meegemaakt dat een grote bank overweegde om ondertussen hun interne mailinfrastructuur weg te gooien gezien Google ze als alternatief gratis overnemen op hun cloudplatform (uiteraard zou dat niet gratis blijven, we spreken meer dan 10 jaar terug). Dat is pas op het laatste moment afgeschoten omdat een juridische afdeling een veto heeft gesteld waarbij men het niet kon vinden dat een 3de partij toegang zou hebben tot alle vertrouwelijke mails die er toen nog geen discussie over was om door Google zuiver op EU-servers te draaien.
De ECB stelt nu dus de vraag wat is nu eigenlijk het risico daarvan? Wat als een cyberaanval een stuk van een bank kan scheiden van de infrastructuur die ergens anders staat? Wat als een overheid sancties invoert en een bank afgesneden woord?
Dat gaat ook in omgekeerde richting, wij zijn mogelijks niet geïntresseerd dat een dochterbank in Brazilië omvalt omdat al hun infrastructuur in de EU staat omdat Brazilië sancties tegen de EU heeft gesloten. Echter de ECB is goed geïntresseerd als de dochteronderneming omver valt dan iemand zijn balans in de EU niet meer.
credit :Source link
