Continuïteit en de nieuwe tanden van de toezichthouder

RBS had zijn continuïteitsplannen niet op orde

Aangepast op 23 februari 2018

Royal Bank of Schotland (RBS) kreeg vandaag boetes aan de broek van in totaal meer dan € 75 mln na een dagenlange storing in 2012. De Britse toezichthouder Financial Conduct Authority (FCA) volgt hiermee zijn Ierse collega Central Bank of Ireland (CBI) en de Britse Prudential Regulation Authority (PRA). Hoe staat het in Nederland?

Wat was er aan de hand?

In het voorjaar van 2012 liep het even goed spaak voor RBS en haar dochterondernemingen NatWest en Ulster Bank . Als gevolg van een fout gelopen software update konden ze gedurende meerdere dagen een groot deel van hun klanten geen diensten verlenen. In Ierland liep dit zelfs op tot bijna een hele maand. Geldautomaten functioneerden niet meer. Er konden geen overboekingen worden gedaan of ontvangen en klanten waren niet in staat om hun rekeningen te bekijken.
De boetes komen bovenop de schadevergoeding die RBS / Natwest /Ulster Bank rechtstreeks aan de getroffen klanten betalen (ca. € 175 mln).

De vragen die ik twee weken geleden stelde bij een storing van de belastingdienst gelden ook bij RBS. Wanneer besluit je om het continuïteitsplan voor een dienst te activeren? Of was dat er niet? Zo nee, waarom niet? Of waarom was dat niet bruikbaar voor deze situatie? Wanneer was de laatste oefening? In een realistische setting?

En Nederland?

Een aantal algemene aspecten aan deze zaak zal ook voor de Nederlandse financiële instellingen een waarschuwing zijn om hun Business Continuity Plannen op orde te houden:

  • de CBI en FCA hebben de boete bepaald aan de hand van Europese richtlijnen over goede en inzichtelijke beheerprocedures. Deze regels gelden dus ook in Nederland ;
  • het betrof oude centrale systemen (‘legacy’) in een zeer complexe omgeving. Ook dit zal herkenbaar zijn voor veel Nederlandse financiële instellingen;
  • het RBS ‘IT bedrijf’ dat de betrokken IT systemen onder haar hoede had, was afhankelijk van Indiase outsourcing. Er wordt volop gespeculeerd dat RBS zelf nog onvoldoende kennis in huis had. En dat dat ook bij de Indiase outsourcer maar mondjesmaat beschikbaar was. Dat een upgrade in een complexe omgeving dan misgaat is niet zo vreemd. Outsourcen is ook bij Nederlandse financiale instellingen aan de orde van de dag.
  • De upgrade waar de ellende door werd veroorzaakt, was midden in de week was gepland. De druk die ontstaat omdat ‘de winkel weer open moet’ kan zeer hoog oplopen. Dit kan het ontstaan van, of het slecht afhandelen van de ontstane problemen versterkt hebben. De druk zal in ieder geval niet bijdragen aan een ‘rationele’ overweging bij de betrokken medewerkers. Ook in Nederland worden kleine wijzigingen veelvuldig op doordeweekse dagen doorgevoerd om de druk op de weekendplanning niet te groot te maken.

Zolang in Nederland de term ‘langdurige storing’ gebruikt wordt voor een ochtend of middag, lijkt het hier zo’n vaart niet te lopen. Maar ook Nederlandse banken hebben (zeer) regelmatig met kleine verstoringen te maken. Er gaat bijna geen week voorbij of er is wel een bank die een paar uur last heeft van een storing. Kijk maar eens op Nu.nl of allestoringen.nl. Maar zoals hierboven aangegeven is het in de kern in Nederland niet veel anders.

Toezicht wordt serieus

Met de hoge boetes van vandaag blijkt dat de toezichthouders voldoende ‘bite’ hebben. Ik hoop maar dat deze Engels/Ierse case ook toe leiden dat Business Continuity in Nederland voldoende goed wordt ingevuld. Het is altijd beter om een vlekkeloze dienst te verlenen en een boete is tenslotte altijd ‘zonde geld’. Voor de meer dan € 250 mln die RBS nu moet aftikken, kun je toch een behoorlijk BCM programma opzetten.

En andere sectoren? Ook daar wordt beter op continuïteit gelet, zie bijvoorbeeld de Telecom sector. Wellicht later meer hier over. Dat er in Nederland ooit een boete gegeven gaat worden omdat een organisatie niet goed genoeg voor elkaar heeft is niet de vraag. Wel in welke sector dit zal zijn, en hoe hoog de boete zal zijn.

Persoonlijke noot (23 februari 2018)

De oorspronkelijke foto die bij dit artikel prijkte is in verband met een copyright claim van het Algemeen Nederlands Persbureau (ANP) verwijderd. Nu ben ik een groot voorstander van het principe dat je van andermans spullen en ideeën afblijft. Zo koop ik heel braaf mijn e-books bij bol.com en mijn muziek in de iTunes store. Dus als het ANP hier een punt heeft zal ik ook zeker de rechten betalen voor de periode dat deze afbeelding op dit blog heeft gestaan. Wel heb ik in dit specifieke geval mijn vraagtekens of het plaatje nu werkelijk wel zo origineel is dat een Nederlandse organisatie een claim kan leggen op een foto die iedere willekeurige Londenaar of tourist zomaar vanuit de openbare ruimte kan maken vanaf exact hetzelfde gezichtspunt.

In de praktijk zijn er dan ook legio andere nieuwsorganisaties die dit hebben gedaan. Nieuwsgierig geworden? Kijk dan naar:

  • SkyNews: https://news.sky.com/story/ftse-100-firms-flourishing-after-splitting-from-bailed-out-rbs-10793574
  • Reuters: https://www.reuters.com/article/us-rbs-layoffs/royal-bank-of-scotland-to-cut-880-it-jobs-by-2020-union-idUSKCN1AV1BR
  • The Telegraph: http://www.telegraph.co.uk/business/2017/02/20/royal-bank-scotland-confirms-plan-stop-sale-williams-glyn/
  • CanaryClaims: https://www.canaryclaims.co.uk/eu-launches-investigation-into-rbs/
  • Google Streetview: https://www.google.nl/maps/place/48+Haymarket,+St.+James’s,+London+SW1Y+4SE,+Verenigd+Koninkrijk/@51.5096994,-0.1329307,3a,75y,219.9h,109.25t/data=!3m6!1e1!3m4!1sKPF1THdwo01Ql9B0R6-8QQ!2e0!7i13312!8i6656!4m5!3m4!1s0x487604d163ddbb35:0x4aefc3016766dde2!8m2!3d51.5094555!4d-0.1331901 

Of zou die officieel uitziende brief die ik thuis gestuurd kreeg toch een hoax of een (papieren) phishing mail zijn?

 

Over henk

Henk is een security en continuity strateeg met een fijn oog voor de actualiteit.