Finansielle virksomheder skal have styr på skyen

Den europæiske myndighed for netværks- og informationssikkerhed (ENISA) har netop udgivet en rapport om finansielle virksomheders udfordringer ved brug af cloud-baserede IT-løsninger. Rapporten opfordrer til en revidering af den regulering, der på nuværende tidspunkt virker hæmmende for de finansielle virksomheders brug af cloud.

Finansielle virksomheder er underlagt strenge forpligtelser, når det kommer til sikkerhed og databeskyttelse. På trods af, at flere og flere finansielle virksomheder bruger cloud, så peger ENISA's rapport på, at de finansielle virksomheder generelt er tilbageholdende med at anvende cloud-baserede løsninger af frygt for ikke at leve op til de strenge forpligtelser.

Denne tilbageholdenhed er i modstrid med EU-Kommissionens generelle ønske om øget brug af cloud-baserede løsninger i EU. Derfor opfordrer rapporten til, at European Banking Authority (EBA) udarbejder klare retningslinjer for finansielle virksomheders brug af cloud.

UKLARE KRAV SKABER USIKKERHED
EBA's forgænger, CEBS, udgav i 2006 en samling retningslinjer for finansielle virksomheders outsourcing, herunder outsourcing af IT. Disse retningslinjer blev i Danmark til "Outsourcingbekendtgørelsen", der fastlægger kravene til danske finansielle virksomheder og deres leverandører, når der outsources.

Kravene i outsourcingbekendtgørelsen og dens anvendelsesområde er generelt beskrevet og ikke målrettet outsourcing af IT eller brug af cloud. Det betyder, at de finansielle virksomheder først skal foretage en grundig vurdering af, om outsourcingbekendtgørelsen overhovedet finder anvendelse ved brug af cloud.

Hvis det viser sig, at outsourcingbekendtgørelsen faktisk finder anvendelse, så mødes de finansielle virksomheder igen med en række generelt beskrevne krav. Det er i vidt omfang op til de finansielle virksomheder selv at vurdere, om den sikkerhed, cloud-leverandøren tilbyder, er "tilstrækkeligt" eller en "passende foranstaltning". Risikoen for at ramme ved siden af i denne vurdering har ifølge rapporten været med til holde de finansielle virksomheder tilbage fra at bruge cloud-løsninger.

KLARERE RETNINGSLINJER OG FRIVILLIG KONTROL
ENISA konkluderer, at de finansielle virksomheder først for alvor vil gøre brug af cloud og de muligheder cloud giver, når der foreligger faste rammer for de finansielle virksomheders og deres leverandørers ansvar ved brug af cloud. Ud over en klarere beskrivelse af kravene til sikkerhed, foreslår ENISA, at frem for at det er op til de finansielle virksomheder selv at vurdere niveauet for netværkssikkerhed og databeskyttelse, så skal myndigheder tilbyde frivillige stresstests af de løsninger, de finansielle virksomheder planlægger at bruge.

En af de åbenlyse udfordringer ved udarbejdelsen af retningslinjerne er, hvordan de kan udformes, så man på den ene side stiller tilstrækkelige faste krav, men på den anden side også forholder sig til den teknologiske udvikling og den åbenhed, denne kræver.

---