Finans flytter dataene
Flere finansvirksomheter utkontrakterer it-drift og datalagring til skybaserte aktører. Jørn Skaane i norske Lefdal Mine Datacenter lover god plass på serverne i gruven om norske banker og forsikringsselskaper vil flagge hjem skydata.
Tekst: Jørn-Arne Tomasgard og Hasse Farstad
NORDFJORD: En stadig mer urolig og sårbar verden medfører flytting av it-drift og datalagring. Jørn Skaane i norske Lefdal Mine Datacenter forteller om internasjonale skyaktører som velger å drifte it med dataene lagret på servere i fjellhallene langt under bakken i den nedlagte olivingruven i Nordfjord.
– Det skjer mye spennende, og vi fikk nylig en stor kontrakt med tyske Go2cloud. I fjor fikk vi ny eier i Columbia Threadneedle, sier Skaane, som er vert for internasjonale skylagringsaktører.
MILJØVENNLIG DATALAGRING
På spørsmål om bedrifter i finansnæringen er å finne i den gamle olivingruven, svarer Skaane:
– Vi er rigget for å ta imot norske banker og forsikringsselskaper om de ønsker det. Men foreløpig har vi ikke hørt noe. Dette er nok lange prosesser som i så fall vil ta tid. Inntil videre jobber vi med vårt prosjekt som er sikker og miljøvennlig datalagring under jorden, sier Skaane.
Vi er rigget for å ta imot norske banker og forsikringsselskaper om de ønsker det
Jørn Skaane
Han opplyser at datasenteret er i ferd med å øke strømtilførselen fra dagens nivå på 22 kilovolt. Det er nå gitt konsesjon på to ganger 132 kilovolt. Det vil bety mye større strømkapasitet til høyere spenning.
TietoEVRY er en stor aktør innen datalagring i banksektoren i Norge. Kommunikasjonssjef Hans Jacob Moe bekrefter at deres bankdata lagres her i Norge. Men av sikkerhetshensyn vil ikke TietoEVRY gi utfyllende kommentarer i saken. Moe skriver følgende i en sms:
– TietoEVRYs bankkunder lagrer bankdata i datasentre i Norge. Dette er i henhold til kriteriene i kontraktene med våre kunder.
NORDEA FLYTTET DATAENE HJEM
Nordea utkontrakterte på 2000-tallet it-drift til India via Capgemini, omtalt i en en artikkel på digi.no i 2006. Kommunikasjonsdirektør Christian Steffensen i Nordea opplyser i en e-post til Finansfokus at Nordea per i dag ikke benytter noen sentrale datalagre i India.
– Nordea har over flere år gjennomført flytting av datalagre, hvor det aller meste nå er samlet i Danmark. Det er noen unntak, men det meste er for tiden samlet der. Pandemien gjør at vi gjennomgår risikomodeller og vurderinger av disse, men det er ikke gjort noen endringer i bruk av lagre per nå, sier Steffensen.
Kommunikasjonssjef Sveinung Sleire i Finans Norge opplyser at organisasjonen ikke besitter informasjon om hvordan norske finansforetaks bruk av eksterne datalagre fordeler seg på Norge og utlandet, eller om koronapandemien har medført noen merkbare endringer i geografisk plassering av finansforetaks eksterne datalagre.
Finanstilsynet opplyser i sin nylig publiserte Risiko- og sårbarheitsanalyse (ROS) 2021 at innkomne meldinger om utkontraktering de siste årene har vist en tendens til økt bruk av skytjenester, både for applikasjons- og infrastrukturtjenester.
EUs tilsynsorganer for henholdsvis forsikringssektoren (EIOPA) og for øvrig finanssektor (ESMA) har innført nye retningslinjer for utkontraktering til skytjenesteleverandører med effekt fra 1. januar 2021 respektive 1. juli 2021. Finanstilsynet legger til grunn at retningslinjene vil bli fulgt i Norge. Målet med retningslinjene er blant annet å hjelpe foretakene med å identifisere, adressere og overvåke risikoen som følger av utkontraktering til skytjenesteleverandører, fremgår det av ROS-rapporten.
MESTEPARTEN LAGRET I NORGE
Sparebanken Vest har valgt å beholde IT-satsingen internt.
– Vi tok et strategisk valg og bygget opp vårt eget IT- og utviklingsmiljø internt. Fra 22 IT-ansatte i 2007 teller de nå i dag 160 ansatte som jobber med utvikling av digitale tjenester i banken. Grunnlaget for dette var at vi mente, og fortsatt mener, at IT er kjernekompetanse innen bank og finans. Dette setter oss i stand til å gjøre raskere og mer kontinuerlige endringer. Når dyktige bankfolk og utviklere jobber integrert og tverrfaglig mot samme mål, er vår opplevelse at det utløser langt mer kreativitet og innovasjon enn om vi hadde hatt en mer bestillingsorientert og sekvensiell tilnærming til utvikling, skriver kommunikasjonssjef Johannes Dobson i en e-post.
Konsernsjef Jan Erik Kjerpeseth i Sparebanken Vest har lenge vært kritisk til utkontraktering av it-tjenester i banksektoren. Han skrev eksempelvis en kronikk med tittelen «Outsourcing på ville veier» på e24.no i november 2017, der han tok et oppgjør med utkontrakteringen. Ifølge Kjerpeseth er lærdommen fra Sverige og Silicon Valley at nærhet til IT-drift og -utvikling er avgjørende for å ha kontroll på både kortsiktig operasjonell risiko og langsiktig forretningsrisiko.
Johannes Dobson fremholder at om lag 90 prosent av Sparebanken Vests data nå er lagret i Norge, og resterende i EU.
– Vi har en prosess nå hvor mesteparten av dataene som er lagret utenfor Norge skal flyttes til Norge. Dette er en prosess vi har planlagt lenge, og uavhengig av Covid-19-pandemien, sier Dobson.
GIR BORT KONTROLL
I DNBs trusselvurdering for 2020 blir det pekt på at infrastrukturen utfordres når tjenester flyttes ut av egne datahaller:
«Tiden hvor DNB eide og driftet hele den digitale infrastrukturen selv er over (…) Det tradisjonelle infrastrukturkonseptet med en sterk ytre mur eller perimeter utfordres av at flere tjenester tas ut av våre egne datahaller og legges i skyene (…) Tanken er at man har flere lag med sikkerhetsmekanismer som hver for seg bidrar til den totale sikkerheten, og dersom et av lagene feiler så vil neste lag likevel kunne hindre sikkerhetsbrudd. Ved overgang til skytjenester så reduseres dette perimeteret og tidligere kjente forsvarssystemer erstattes med nye og mer uprøvde forsvarsmekanismer. En enkelt konfigurasjonsendring kan dermed få alvorlige konsekvenser. Ved å sette bort tjenester til eksterne leverandører gir man også bort kontroll.», heter det i DNB-vurderingen.