Maadelijks Archief: november 2014

Continuïteit en de nieuwe tanden van de toezichthouder

Door | Geen categorie, uit het nieuws | Geen reacites

RBS had zijn continuïteitsplannen niet op orde

Aangepast op 23 februari 2018

Royal Bank of Schotland (RBS) kreeg vandaag boetes aan de broek van in totaal meer dan € 75 mln na een dagenlange storing in 2012. De Britse toezichthouder Financial Conduct Authority (FCA) volgt hiermee zijn Ierse collega Central Bank of Ireland (CBI) en de Britse Prudential Regulation Authority (PRA). Hoe staat het in Nederland?

Wat was er aan de hand?

In het voorjaar van 2012 liep het even goed spaak voor RBS en haar dochterondernemingen NatWest en Ulster Bank . Als gevolg van een fout gelopen software update konden ze gedurende meerdere dagen een groot deel van hun klanten geen diensten verlenen. In Ierland liep dit zelfs op tot bijna een hele maand. Geldautomaten functioneerden niet meer. Er konden geen overboekingen worden gedaan of ontvangen en klanten waren niet in staat om hun rekeningen te bekijken.
De boetes komen bovenop de schadevergoeding die RBS / Natwest /Ulster Bank rechtstreeks aan de getroffen klanten betalen (ca. € 175 mln).

De vragen die ik twee weken geleden stelde bij een storing van de belastingdienst gelden ook bij RBS. Wanneer besluit je om het continuïteitsplan voor een dienst te activeren? Of was dat er niet? Zo nee, waarom niet? Of waarom was dat niet bruikbaar voor deze situatie? Wanneer was de laatste oefening? In een realistische setting?

En Nederland?

Een aantal algemene aspecten aan deze zaak zal ook voor de Nederlandse financiële instellingen een waarschuwing zijn om hun Business Continuity Plannen op orde te houden:

  • de CBI en FCA hebben de boete bepaald aan de hand van Europese richtlijnen over goede en inzichtelijke beheerprocedures. Deze regels gelden dus ook in Nederland ;
  • het betrof oude centrale systemen (‘legacy’) in een zeer complexe omgeving. Ook dit zal herkenbaar zijn voor veel Nederlandse financiële instellingen;
  • het RBS ‘IT bedrijf’ dat de betrokken IT systemen onder haar hoede had, was afhankelijk van Indiase outsourcing. Er wordt volop gespeculeerd dat RBS zelf nog onvoldoende kennis in huis had. En dat dat ook bij de Indiase outsourcer maar mondjesmaat beschikbaar was. Dat een upgrade in een complexe omgeving dan misgaat is niet zo vreemd. Outsourcen is ook bij Nederlandse financiale instellingen aan de orde van de dag.
  • De upgrade waar de ellende door werd veroorzaakt, was midden in de week was gepland. De druk die ontstaat omdat ‘de winkel weer open moet’ kan zeer hoog oplopen. Dit kan het ontstaan van, of het slecht afhandelen van de ontstane problemen versterkt hebben. De druk zal in ieder geval niet bijdragen aan een ‘rationele’ overweging bij de betrokken medewerkers. Ook in Nederland worden kleine wijzigingen veelvuldig op doordeweekse dagen doorgevoerd om de druk op de weekendplanning niet te groot te maken.

Zolang in Nederland de term ‘langdurige storing’ gebruikt wordt voor een ochtend of middag, lijkt het hier zo’n vaart niet te lopen. Maar ook Nederlandse banken hebben (zeer) regelmatig met kleine verstoringen te maken. Er gaat bijna geen week voorbij of er is wel een bank die een paar uur last heeft van een storing. Kijk maar eens op Nu.nl of allestoringen.nl. Maar zoals hierboven aangegeven is het in de kern in Nederland niet veel anders.

Toezicht wordt serieus

Met de hoge boetes van vandaag blijkt dat de toezichthouders voldoende ‘bite’ hebben. Ik hoop maar dat deze Engels/Ierse case ook toe leiden dat Business Continuity in Nederland voldoende goed wordt ingevuld. Het is altijd beter om een vlekkeloze dienst te verlenen en een boete is tenslotte altijd ‘zonde geld’. Voor de meer dan € 250 mln die RBS nu moet aftikken, kun je toch een behoorlijk BCM programma opzetten.

En andere sectoren? Ook daar wordt beter op continuïteit gelet, zie bijvoorbeeld de Telecom sector. Wellicht later meer hier over. Dat er in Nederland ooit een boete gegeven gaat worden omdat een organisatie niet goed genoeg voor elkaar heeft is niet de vraag. Wel in welke sector dit zal zijn, en hoe hoog de boete zal zijn.

Persoonlijke noot (23 februari 2018)

De oorspronkelijke foto die bij dit artikel prijkte is in verband met een copyright claim van het Algemeen Nederlands Persbureau (ANP) verwijderd. Nu ben ik een groot voorstander van het principe dat je van andermans spullen en ideeën afblijft. Zo koop ik heel braaf mijn e-books bij bol.com en mijn muziek in de iTunes store. Dus als het ANP hier een punt heeft zal ik ook zeker de rechten betalen voor de periode dat deze afbeelding op dit blog heeft gestaan. Wel heb ik in dit specifieke geval mijn vraagtekens of het plaatje nu werkelijk wel zo origineel is dat een Nederlandse organisatie een claim kan leggen op een foto die iedere willekeurige Londenaar of tourist zomaar vanuit de openbare ruimte kan maken vanaf exact hetzelfde gezichtspunt.

In de praktijk zijn er dan ook legio andere nieuwsorganisaties die dit hebben gedaan. Nieuwsgierig geworden? Kijk dan naar:

  • SkyNews: https://news.sky.com/story/ftse-100-firms-flourishing-after-splitting-from-bailed-out-rbs-10793574
  • Reuters: https://www.reuters.com/article/us-rbs-layoffs/royal-bank-of-scotland-to-cut-880-it-jobs-by-2020-union-idUSKCN1AV1BR
  • The Telegraph: http://www.telegraph.co.uk/business/2017/02/20/royal-bank-scotland-confirms-plan-stop-sale-williams-glyn/
  • CanaryClaims: https://www.canaryclaims.co.uk/eu-launches-investigation-into-rbs/
  • Google Streetview: https://www.google.nl/maps/place/48+Haymarket,+St.+James’s,+London+SW1Y+4SE,+Verenigd+Koninkrijk/@51.5096994,-0.1329307,3a,75y,219.9h,109.25t/data=!3m6!1e1!3m4!1sKPF1THdwo01Ql9B0R6-8QQ!2e0!7i13312!8i6656!4m5!3m4!1s0x487604d163ddbb35:0x4aefc3016766dde2!8m2!3d51.5094555!4d-0.1331901 

Of zou die officieel uitziende brief die ik thuis gestuurd kreeg toch een hoax of een (papieren) phishing mail zijn?

 

Apple en privacy, het blijft ongemakkelijk

Door | uit het nieuws | Geen reacites

Big Brother Apple is watching you

ApplePrivacy-smNadat ik de software op mijn laptop en telefoon had opgewaardeerd, gebeurde er iets onverwachts (nou ja, ik hád het kunnen weten als ik het nieuws echt gevolgd had). Apple heeft in de laatste updates voor telefoon en tablet software (iOS 8.1) en voor computers (OS X Yosemite) een prachtig nieuw feature ingebouwd: telefoontjes en berichten van je telefoon via je pc/laptop opnemen of omgekeerd. In Apple speak heet dit gimmick: Continuity, maar dan niet in de context van BCM 😉 .

Hoe werkt het?

Je bent zowel op je telefoon als op je pc/laptop op Apple’s iCloud ingelogd. Beide apparaten zijn in elkaars omgeving, en beide zijn met Internet verbonden. Als er nu naar je gebeld wordt, dan gaat zowel je telefoon als je pc/laptop. Je kunt het gesprek op een van beide apparaten ‘opnemen’. Omgekeerd kun je vanaf je pc/laptop bellen en sms-sen waarbij je onderwater van je telefoon (abonnement) gebruik maakt. Een ander slim feature is dat je een document/email/whatever dat je op een van beide apparaten begonnen bent, naadloos op het andere apparaat kunt afmaken.
We zijn het met z’n allen eens: reuze handig.

Wat zijn de consequenties?

Zoals vaak met nieuwe techniek zit ook hier een keerzijde aan de medaille. Om dit feestje mogelijk te maken wordt alle informatie, of het nu gaat om call-setup gegevens of om de documenten waaraan je werkt, continu opgeslagen in Apple’s iCloud. Dit betekent dat Apple over deze gegevens beschikt. Zonder dit expliciet te melden. Dit betekent ook dat er nu twee service providers zijn die over deze informatie beschikken in plaats van één.
Zeker voor gegevens van telefoontjes die binnen Nederland of binnen de EU blijven, is het absoluut niet nodig dat de informatie over gesprekken aan de andere kant van de oceaan worden verwerkt en opgeslagen. Daar zijn de Europese telecom providers heel goed zelf toe in staat. Dat Apple daar nu mee begonnen is, is vast niet alleen om het leven van de consument gemakkelijker te maken.

Met deze upgrade zou Apple zomaar de grootste verzamelaar van call-setup gegevens van Nederland kunnen worden.
Hierbij moet bedacht worden dat Apple onder Amerikaans recht werkt. In Nederland is een rechterlijk bevel nodig voordat de politiediensten iemands telefoniegegevens (call-setup: wie belt met wie, wanneer, hoelang) en eventueel de inhoud van de gesprekken (het traditionele ‘afluisteren’) mag inzien. Voor Amerikaanse law enforcement gelden minder strikte regels, zeker als het om niet-Amerikanen gaat. Privacy betekent in Amerika iets anders dan bij ons in Europa. Ieder Amerikaans bedrijf wordt geacht dit soort gegevens af te geven als er om gevraagd wordt, ongeacht waar de data is opgeslagen (jurisdictie?). Zeker als het onder de noemer van terrorismedreiging gebeurt (Patriot Act) is weigeren geen optie.

Is het erg?

Ja, dit is erg. Ik gebruik met veel plezier een aantal Amerikaanse (web)diensten zoals Facebook, LinkedIn, iTunes, etc. Ik doe dat heel bewust, en houd er rekening mee wat ik daar allemaal aan (persoonlijke) informatie achterlaat. Ik gebruik(te) ook met veel plezier mijn iPhone en MacBook. Maar nu Apple min of meer stiekem begonnen is met (nog meer van) mijn persoonlijke gegevens te verzamelen, bekoelt dat plezier behoorlijk.
Apple vertelt je niet wat de gevolgen (kunnen) zijn. De upgrade van iOS en laptop worden weliswaar van een ‘legal notice’ voorzien die je expliciet moet goedkeuren, maar de hier besproken gimmick is daarin best goed verstopt. Als je al de moeite neemt om de voorwaarden door te lezen.
Apple vertelt je niet of en hoe je dit gimmick uit kunt zetten. Ter geruststelling: uitzetten kan, maar dat moeten anderen aangeven.

Voor privé gebruik zullen de gevolgen waarschijnlijk meevallen. Hoewel nu nog veel meer van je doopceel in Cupertino ligt opgeslagen. Maar dat wordt wel steeds meer. En vergeet niet dat dat doopceel, naast commerciële waarde voor Apple, ook opvraagbaar is door Amerikaanse overheidsinstanties. En ik zei het al: zowel Apple als die instanties hoeven zich van aanmerkelijk minder regels iets aan te trekken dan wij in Europa gewend zijn.

Voor bedrijven: Amerikaanse wetshandhavers kijken strikt vanuit een Amerikaans perspectief. Veel mag, als het maar geen betrekking op Amerikanen heeft. Informatie van een Europeaan of een Europeaans bedrijf is ‘vogelvrij’. Als u een Bring your own Device (BYOD) policy heeft of u heeft Apple spulletjes in uw end-user-computing catalogus, kan het zomaar zijn dat bedrijfsgevoelige informatie nu opeens onbewust en onbedoeld wordt toegevoegd aan het mijnenveld van data mining door grote buitenlandse bedrijven.

Conclusie:

Je privacy opgeven kan, maar dat moet dan wel bewust gebeuren. Het gemak waarmee Apple weer een stap de verkeerde richting op zet Het wordt tijd voor een geloofwaardige Europese hard- en software industrie die beter aansluit bij ‘ons’ gevoel van privacy. Voor een aantal ‘cloud diensten’ zit hier ondertussen bescheiden schot in, maar voor de particulier of éénpitter is dat nog geen optie. Zolang die er niet is: ik ga toch maar eens goed nadenken of ik dit soort features niet uitzet.

5 dagen onbeschikbaar is te lang

Door | uit het nieuws | Geen reacites

Uw website voor klantcontact op een cruciaal moment onbeschikbaar. Honderdduizenden klanten worden gedupeerd. Hoewel er met man en macht gewerkt wordt om de situatie terug naar normaal te brengen, is er geen zekerheid hoelang deze situatie nog kan duren. Op welk moment besluit u om het continuïteitsplan in werking te zetten?

belastingdienstEind oktober overkwam het de Belastingdienst. Door inlogproblemen bleek het niet, of slechts beperkt, mogelijk om de wettelijk verplichte kwartaalaangifte voor de omzetbelasting te doen. Veel ondernemers hebben hier last van gehad, vooral omdat het in de praktijk vaak ‘aankomt’ op een korte periode waarin de aangifte gedaan kan worden. Het was enkele dagen niet bekend hoe lang de storing kon gaan duren. Uiteindelijk is dit meerdere dagen geweest. Het heeft de toch al fragiele reputatie van de Belastingdienst zeker geen goed gedaan.

Persoonlijk ben ik natuurlijk erg nieuwsgierig wat er gebeurd is bij de belastingdienst. Maar dit incident roept ook een aantal algemene vragen op die bij alle Business Continuity projecten (BCM) naar voren komen, variërend van “Hangt mijn reputatie af van de beschikbaarheid van mijn diensten” of “Hoe bepaal ik of en waarvoor ik uitwijk moet regelen?”.
In deze blog beperkt ik me tot de vraag “Op wel moment besluit ik dat ik mijn uitwijk ga inzetten?”.

Ik ga er van uit dat u enige voorbereiding heeft getroffen om incidenten het hoofd te kunnen bieden: u heeft een lopend BCM programma. Een ander uitgangspunt is dat het incident geen deel is van een enorme calamiteit waarbij het overduidelijk is dat uw primaire omgeving voorlopig niet meer bruikbaar is (overstroming, brand, etc). Het gaat hier om een fijne ‘gewone’ situatie waarbij er ‘iets’ is stuk gegaan en waarbij uw techneuten aangeven dat ze ‘er bijna zijn’, want het lek is boven water. Maar u blijft zitten met het onbehaaglijke gevoel niet in control te zijn.

Vanuit uw BCP programma is een Business Impact Analyse (BIA) uitgevoerd. U weet dus precies wat de maximale tijd is die de dienst onderbroken mag zonder dat dit schade berokkent ( Maximum Tolerable Period of Downtime , MTPD). U weet precies hoeveel data u mag verliezen zonder dat dit ernstige gevolgen voor uw bedrijfsvoering heeft. U heeft gewerkt aan een alternatieve methode/omgeving om uw diensten voort te zetten mocht er iets mis gaan.

U kunt nu het Business Continuity Plan (BCP) voor deze dienst opstellen. Het BCP bevat alle nodige stappen om de dienst weer op te bouwen. Maar ook de doelen: hoe snel moet dit gebeurd zijn, en of dit geldt voor de hele (capaciteit van) de dienst of slechts een deel ervan. Het BCP zal in ieder geval aangeven wat de Recovery Time Objective (RTO) is, waarbinnen het technische deel van het herstel moet zijn afgerond. Het moment waarop besloten moet worden om de uitwijkprocedure te starten is dus een eenvoudige rekensom: RTO min de daadwerkelijke tijd om de techniek aan de praat te krijgen. Naarmate deze twee verder uit elkaar liggen is er meer tijd om de storing in situ te proberen op te lossen. Als het BCP nu ook nog de verantwoordelijkheid voor het initiëren van de uitwijkprocedure goed heeft gedefinieerd, is er niets meer dat een tijdig herstel in de weg staat.

Zoals met alle plannen, geldt ook voor een BCP dat dit regelmatig geoefend moet worden. Geen enkele omgeving is 100% stabiel, er wordt altijd aan gesleuteld, er zijn altijd reorganisaties, mensen vertrekken en worden vervangen. Een BCP dat regelmatig aan de tand gevoeld wordt zal van grote waarde zijn bij dienstherstel na een incident of calamiteit, het biedt in ieder geval zekerheid over de hersteltijd. Maar het omgekeerde geldt ook: een BCP dat alleen maar in de kast ligt, zal een vals gevoel van zekerheid geven.

Of de belastingdienst alternatieve omgevingen heeft om zijn diensten te draaien, en of er continuïteitsplannen klaarliggen bij incidenten, ik heb geen idee. Maar als dat zo is, dan waren ze niet actueel en ook niet geoefend.

http://www.volkskrant.nl/economie/problemen-belastingdienst-btw-aangifte~a3779099/
http://www.elsevierfiscaal.nl/fiscaal-actueel/nieuws/nieuws/3627/storing-op-website-belastingdienst-treft-ondernemers