Banken beheren miljarden euro’s, maar hebben hun eigen technologie niet op orde
Waarom zijn er zo vaak storingen bij banken? Volgens velen omdat hun IT te complex is, bijna niemand de systemen meer begrijpt en die niet ingericht zijn op de eenentwintigste eeuw. Met Amber Kortzorg en Rosalyn Saab sprak ik oud-bankmedewerkers en experts over deze ‘tikkende tijdbommen.’
‘De volgende mondiale financiële paniek begint met een IT-crash,’ tekent Joris Luyendijk op uit de mond van een anonieme consultant in zijn boek Dit kan niet waar zijn.
Paul Thomalla, directeur van een Engels betaalsoftwarebedrijf, noemt in The Financial Times de IT-infrastructuur van veel banken ‘tikkende tijdbommen.’
Een crash? Tikkende tijdbommen?
Wellicht een tikkeltje apocalyptisch, maar het moet gezegd: banken en technologie hebben een wankel huwelijk. Neem de ING-storing van 2013. Honderdduizenden konden niet meer bij hun geld, aan supermarktkassa’s stonden mensen die hun boodschappen niet konden betalen, saldo’s klopten niet meer, winkeliers liepen volgens Detailhandel Nederland miljoenen euro’s omzet mis.
Dan zijn er nog de individuele storingen. In Nederland krijgen jaarlijks honderdduizenden rekeninghouders te maken met de effecten van falende IT bij hun bank. Volgens Allestoringen.nl kampte ING met 196 storingen in 2014 en ABN Amro met 135. Het jaarverslag van de Rabobank vermeldt er 154.
Wat is er aan de hand? Volgens toezichthouder De Nederlandsche Bank veroorzaken de te complexe IT-systemen de storingen. Maar dat is slechts een deel van het verhaal. Want hoe kan het dat deze banksystemen – die het geld van miljoenen mensen beheren – überhaupt zo kwetsbaar zijn dat ze zo vaak crashen? En waarom hebben banken het zo ver laten komen?
Waarom de systemen van banken zo complex zijn
Vooropgesteld: de systemen van ING, Rabobank en ABN Amro zijn 99 procent van de tijd beschikbaar. Zeggen ze zelf. Toch kan die 1 procent, uitgaande van honderdduizenden transacties per dag, gigantische gevolgen hebben. Bovendien: deze gegevens gaan over de storingen vóór de schermen, dus de storingen waar de klant wat van merkt. Maar wat gebeurt erachter?
Dat is ook de vraag bij de storing van ING in 2013. De bank zelf zegt dat het probleem een ‘verkeerd ingeladen databestand met betaalgegevens’ was. Een incident ook. Volgens anderen is het probleem juist structureel. Michel van Eeten, hoogleraar internetveiligheid aan TU Delft, zei op Radio 1 dat de IT-infrastructuur van banken zo complex is dat zoiets altijd kan gebeuren. Iets wat volgens hem de storing bij ING verklaart.
Natuurlijk: informatietechnologie is per definitie ingewikkeld. Het gaat erom hoe je al die ingewikkelde systemen beheert. En daar lijkt het bij veel banken - nationaal en internationaal - volgens hoogleraren en bronnen die wij spraken mis te gaan.
IT is per definitie ingewikkeld. Het gaat erom hoe je al die ingewikkelde systemen beheert. En daar gaat het bij veel banken mis
Die moeilijk beheersbare complexiteit is dan ook iets wat door de jaren heen zo gegroeid is, legt Jan Friso Groote uit. De informaticahoogleraar van de TU Eindhoven vergelijkt de banken-IT dan ook met een middeleeuwse toren. Vrij naar hoogleraar informatica Chris Verhoef in de Volkskrant. Het gebouw heeft een ouderwetse structuur waar, om bij de tijd te blijven, continu aanpassingen aan gedaan worden.
‘Toen banken met hun software begonnen [ongeveer in de jaren zestig, zeventig, GR], waren die systemen nog redelijk simpel,’ legt Groote uit. Maar in de jaren tachtig werd pinnen grootschalig geïntroduceerd en groeide de toren gigantisch. Toch: in de jaren negentig en nul, toen internetbankieren de norm werd, groeide de toren pas echt. En daar bleef het niet bij: om met de tijd mee te gaan, moesten er continu nieuwe systemen bijgebouwd worden. Hierdoor ontstond naast de middeleeuwse toren een agglomeratie van gebouwen. Deze verzameling systemen die banken in de loop der tijd hebben opgebouwd, noem je legacy.
Het probleem: na al die honderden aanpassingen is het overzicht verdwenen. Niemand weet meer hoe de toren en alle bijgebouwen in elkaar zitten en met elkaar verbonden zijn. Het gevaar is dan dat die constructies zo nauw met elkaar verbonden zijn, dat een aanpassing aan één toren, barsten veroorzaakt in andere.
Dat gebeurde bij de Royal Bank of Scotland (RBS) in 2012. Een IT-medewerker van een van de grootste banken van Groot-Brittannië probeerde één simpele update door te voeren aan een deel van het IT-systeem. Gevolg: zo’n dertien miljoen rekeninghouders konden dagenlang niet bij hun geld. Salarissen werden niet overgemaakt, huren niet betaald. Naderhand maakte topman Ross McEwan bekend dat de bank honderden miljoenen ponden ging steken in IT om deze minder complex te maken. Eerste stap: het verminderen van de meer dan drieduizend verschillende systemen en applicaties waar de bank op draait.
Een bijkomend probleem is dat deze voortschrijdende complexiteit niet evolutionair, maar schoksgewijs is verlopen. Er zijn in Nederland veel overnames en fusies geweest in de bancaire sector – ABN ging samen met AMRO, en daarna weer met Fortis, ING fuseerde met Postbank. Hierbij werden steeds bestaande systemen ‘aan elkaar geknoopt,’ zoals een oud-medewerker van ING het zegt.
Zo moesten bij de fusie van ING en Postbank tiencijferige rekeningnummers in een systeem gezet worden dat alleen maar zevencijferige rekeningnummers aankon, zegt de oud-medewerker. ‘We moesten toen de systemen openbreken om dat aan te passen. Maar dit waren systemen die met virtueel ducttape aan elkaar zaten en waarvan niemand nog wist hoe ze werkten.’ Het was voor hem en zijn collega’s gissen naar hoe ze het op moesten lossen. ‘We gingen ervoor zitten en dachten: ‘Nou, eerst voerden we dát in in het systeem, nu voeren we dít in. Wat er uitkomt, ziet er ongeveer hetzelfde uit. Dus het zal wel goed zijn.’
Niemand bij banken weet hoe de IT-systemen precies in elkaar zitten
De systemen hebben door allerhande overnames, fusies en natuurlijke groei tot een voor banken moeilijk beheersbare complexiteit geleid, menen onze bronnen. Maar een verkeerd ingeladen databestand (ING), een simpele update aan het systeem (RBS) of een fusie tussen twee verschillende banken (Postbank en ING) zouden niet zo’n groot probleem zijn geweest als al die jaren was bijgehouden hoe de systemen precies in elkaar zaten. En dat is het tweede obstakel: hoe de IT-systemen precies werken, is na al die jaren van complexiteitsgroei nooit opgeschreven.
Systeemontwerpen, programmabeschrijvingen – de bouwtekeningen van de middeleeuwse toren plus uitbreiding – bestaan vaak niet, zegt Jeff Goris, die voorheen bij ING en ABN als projectmanager werkte. Wil je iets aan die toren aanpassen? Dan moet je weten hoe die precies in elkaar zit. Want wat gebeurt er als je onderaan een steen weghaalt?
Dat die kennis nooit is opgeschreven, ligt aan de ene kant aan de programmeurs zelf, weet Arno Jellema van IT-adviesbedrijf The Consultancy Firm, dat onder meer projecten deed voor ING en Citibank. ‘IT’ers documenteren niet uit zichzelf, want die kennis is hun goudmijn. Dat is hun wisselgeld én de reden dat zij interessant zijn voor hun baas.’
Aan de andere kant hoort het ontbreken van documentatie bij softwaregroei, zegt Egon Berghout, hoogleraar informatietechnologie aan de Rijksuniversiteit Groningen. Het schrijven van nieuwe software moet vaak in een hoog tempo gebeuren. Noteren hoe het precies allemaal in elkaar steekt, daar is geen tijd voor.
Veel oud-IT’ers omschrijven de verhouding tussen de IT- en managementafdeling bij banken dan ook als een strijd. De laatste wil graag een nieuwe app die ze aan de buitenwereld kan laten zien. De IT-afdeling wordt gesommeerd zo snel mogelijk het product af te leveren. Berghout: ‘Daarom moet je de mensen die de kennis in hun hoofd hebben dwingen dat op te schrijven.’
De kennis over de IT-systemen bij banken vloeit weg
Het gevolg van het gebrekkige noteren van de systeeminformatie is dat die kennis vaak slechts in de hoofden zit van een handjevol medewerkers. En zo heeft geleid tot een ‘wild web van allerlei systeemonderdelen die met elkaar samenhangen,’ zegt de eerdergenoemde voormalig medewerker van ING, die ook bij ABN heeft gewerkt. ‘Er zijn maar drie mensen in de hele organisatie die snappen hoe dat precies werkt.’
Dat maakt banken afhankelijk van een select groepje – doorgaans grijsharige – programmeurs die al tientallen jaren bij de instelling werken. Programmeurs die vaak binnen nu en vijf à tien jaar met pensioen gaan.
Als ze binnen nu en vijf jaar die kennis niet gaan vastleggen, kan dat hun voortbestaan bedreigen. Als er dan een storing komt, heb je een probleem
En dat kan tot precaire situaties leiden, zegt een oud-medewerker van ABN Amro. Hij vertelt dat er een paar jaar geleden een grote storing was op een essentieel onderdeel van de software. Er was maar één collega op de hele afdeling die precies wist hoe dat deel van het systeem werkte: een man van 64 die een paar weken later met pensioen zou gaan. ‘Na vier nachten doorwerken was die oude man helemaal op,’ zegt de ex-medewerker van ING en ABN. ‘Dat was voor ons een wake-upcall.’
Volgens René Baas, vicepresident van IT-adviesbureau Burnt Oak Partners Benelux, zien banken die leegloop van kennis nu ‘als een ijsberg op zich afkomen.’ Want, zo zegt hij, ‘als ze binnen nu en vijf jaar die kennis niet gaan vastleggen, kan dat hun voortbestaan bedreigen. Als er dan een storing komt, heb je een probleem. Dan zijn er misschien geen mensen meer om dat op te lossen.’
De IT-systemen bij banken zijn niet gemaakt voor de eenentwintigste eeuw
Terug naar die middeleeuwse toren. Die een te complexe constructie heeft waarvan de bouwtekeningen veelal ontbreken. En architecten heeft die (binnenkort) niet meer bij banken werken.
Een vierde probleem is dat de toren nooit berekend is op het snelle, digitale leven anno 2016. IT-hoogleraar Berghout vertelt dat de systemen zijn ontworpen toen mensen voor overboekingen niet een iPhone uit hun zak haalden. Je ging naar een filiaal om daar de overdracht op papier te regelen. Maar mensen checken nu acht keer per dag hun saldo en willen op elk moment van de dag geld over kunnen maken.
Dat alles vindt plaats op systemen die vroeger veel minder van deze transacties behandelden. Om die systemen dat toch voor elkaar te laten krijgen, worden allerlei kunstgrepen toegepast, zegt de oud-medewerker van ABN Amro. Oftewel: de toren wordt volgehangen met elektrisch licht, aircosystemen - op het dak staan zelfs jacuzzi’s.
Gezien de vele crashes en storingen waar banken mee kampen, kan die toren dat niet aan, meent Berghout. De instabiliteit is dan een combinatie van factoren: de complexiteit van de systemen, de documentatie die ontbreekt waardoor een crash moeilijk op te lossen is en de overbelasting van die systemen. Berghout: ‘Je kunt niet eindeloos op zo’n toren blijven doorbouwen. Die valt een keer om.’
Of, wat hij zelf heeft meegemaakt: een bankrekening die van de een op de andere dag verdwijnt. Ken je die mop van de hoogleraar informatica die jaarlijks honderden studenten lesgeeft over hoe bedrijven verantwoord met IT moeten omgaan? Hij werd vervolgens zelf slachtoffer van zo’n rommelig systeem.
Een aantal jaar geleden was zijn ING-rekening plotseling weg. Geld overmaken ging niet meer. Zijn saldo checken ook niet. De medewerkers van ING hadden geen idee waar zijn rekening was. Zeggen wat het probleem was, konden ze ook niet. Toen is hij overgestapt op een andere bank (het geld kreeg hij wel terug). Volgens hem een probleem dat typisch met doorgeschoten legacy te maken had. Een informatiesysteem dat zo groot en complex geworden is, dat het kan voorkomen dat een rekening in het luchtledige verdwijnt.
Voordat u massaal besluit uw geld van de bank te halen, is een nuancering hier wel op zijn plaats, zegt hoogleraar informatica Groote. Het gros van de IT-storingen raakt de consumenten nauwelijks. Die vinden plaats achter de grote betonnen muren die om de middeleeuwse toren heen opgetrokken zijn.
Groote: ‘Banken hebben inmiddels zo veel geleerd van de omgang met deze systemen, dat er honderden vangnetten in opgehangen zijn.’ De updates aan IT voeren ze vaak ‘s nachts door. Gaat het fout, dan is er in de meeste gevallen een back-up van het systeem voorhanden. Toch glippen er jaarlijks tientallen storingen langs die vangnetten. En kunnen klanten niet bij hun geld en lopen winkels miljoenen mis.
En wat kunnen banken eraan doen?
Waarom doen banken hier niks aan? Dat heeft met een aantal zaken te maken. Om het probleem echt aan te pakken, is een cultuuromslag nodig (toegegeven: waar sommige banken al wel mee bezig zijn).
Dat zit zo: pas sinds ongeveer het begin van deze eeuw is IT echt belangrijk geworden, legt IT’er Ali Niknam uit. Hij is de oprichter van de in september gestarte Bunq-bank. ‘IT was voorheen een soort administratief systeem dat je moest hebben, niet het ding dat je moest zíjn. De realiteit is inmiddels anders: IT is het enige wat ertoe doet.’
Niknam vergelijkt het met een ijsverkoper die ineens moet overgaan op hutspot. ‘De hele gedachtecirkel van je bedrijf moet anders.’ En dat gaat bij banken – vaak gigantische ondernemingen – nou eenmaal niet zo snel.
Dat banken zich wel degelijk steeds meer zorgen maken over deze legacy-problematiek, blijkt uit een in april vorig jaar verschenen rapport van accountants- en adviesbureau KPMG. Uit een navraag onder tweehonderd commissarissen van Nederlandse financiële instellingen komt naar voren dat zij legacy bestempelen als de grootste ‘uitdaging’ voor hun organisatie. Meer nog dan cyberveiligheid.
IT was voorheen een soort administratief systeem dat je moest hebben, niet het ding dat je moest zíjn. De realiteit is inmiddels anders: IT is het enige wat ertoe doet
Een van de weinige banken wereldwijd die voor een radicale oplossing heeft gekozen, is de Commonwealth Bank of Australia (CBA). Vanaf 2008 tot aan 2013 hebben zij beetje bij beetje hun oude systemen ‘gemigreerd’ naar een ‘nieuwe kern.’ Een tijdrovend en kostbaar proces, want het betekende dat de rekeningen van twaalf miljoen Australiërs overgezet moesten worden.
Volgens een woordvoerder van CBA heeft het overzetten van de systemen ‘meer dan een miljard Australische dollar [650 miljoen euro, GR]’ gekost. Maar het was het waard, zegt hij. ‘Het aantal grote storingen is in acht jaar gedaald van ruim vierhonderd per jaar naar veertig in 2015.’
De kosten en complexiteit van zo’n operatie is wat veel Nederlandse banken lange tijd heeft tegengehouden, zegt consultant Hans Eysink Smeets, auteur van het boek Porn for Bankers. Eysink Smeets werkte eerder samen met ING, ABN Amro en de Spaanse bank BBVA. ‘Het is alsof je bij een groot schip dat onderweg is van Rotterdam naar New York de motor moet vervangen. Een gigantische operatie met veel risico’s: de systemen moeten intussen wel door blijven draaien.’
Veel geld investeren in IT betekent ook minder winst maken. ‘En dat is toch waar het bij banken om draait,’ zegt Arno Jellema van The Consultancy Firm. ‘Als de investering in IT zo hoog is dat je de komende drie jaar geen winst maakt, krijg je dat nooit verkocht aan je aandeelhouders.’
De eerdergenoemde voormalig IT’er bij ABN bracht een aantal jaar geleden in kaart wat het betekende als zijn bank zo’n grote systeemtransformatie zou doorvoeren: 1,5 miljard euro. Productontwikkeling zou bij de transformatie voor een paar jaar stilstaan. Volgens hem funest voor banken, in een tijd waarin je je vooral onderscheidt met nieuwe apps voor de consument.
Volgens hoogleraar Berghout is het vernieuwen van de oude systemen echter de enige juiste oplossing, risico’s of niet. ‘Als ze in de top bij banken verstand van IT zouden hebben, zouden ze dat ook inzien.’ En daar ontbreekt het volgens hem juist aan. Het bovengenoemde rapport van KPMG velt een hard oordeel over de gemiddelde IT-kennis van de commissarissen van de vijftig grootste financiële instellingen in Nederland. Volgens de onderzoekers bezit 81 procent van de commissarissen geen enkele IT-expertise.
Dat er zo weinig IT-kennis is bij financiële instellingen is zorgelijk, zegt Berghout. Want hoe kunnen commissarissen en bestuurders erop toezien dat er verantwoord met IT wordt omgegaan? Hoe kunnen zij erop toezien dat de legacy banken niet boven het hoofd groeit? Of dat er genoeg maatregelen worden genomen om grote storingen, zoals die van ING in 2013, te voorkomen?
Wie controleert de banken op hun IT?
Wat banken dan wel doen? Dat is moeilijk te zeggen. Banken zijn gesloten instellingen. Een woordvoerder van de Rabobank zegt dat er bij het betalingsverkeer van de bank ‘een beweging plaatsvindt om complexiteit en legacy te reduceren,’ zodat de bank ‘een toekomstvast betalingsverkeer kan bieden.’ Volgens hem worden de systemen voortdurend vernieuwd en aangepast.
Een ABN-woordvoerder zegt dat de bank bezig is met een grootschalig project om de IT-infrastructuur en -applicaties ‘verder te standaardiseren.’ Op deze manier willen ze de complexiteit verminderen. Het project bestaat volgens haar uit het vervangen van oudere systemen en het herinrichten van bestaande systemen.
ING zegt bezig te zijn met een grote transformatie van zijn systemen. Na de incidenten die zich de afgelopen jaren hebben voorgedaan, is de bank aan de gang gegaan met ‘het versneld vervangen en vernieuwen van de betaalverwerkende systemen.’ Volgens de woordvoerder moet dit leiden tot ‘een sterk vereenvoudigd IT-landschap met gestandaardiseerde systemen en vergaande geautomatiseerde processen.’
Het klinkt bemoedigend, maar of ABN, ING en Rabobank daadwerkelijk genoeg doen om de veiligheid van die systemen te garanderen? Chris Verhoef, hoogleraar informatica aan de VU, is daar kritisch over. ‘Het punt is: dat weten we niet,’ zei hij tegen de Volkskrant. ‘De bankenwereld is allesbehalve transparant. Tijdens de crisis bleek dat het geen goed idee is geweest om de banken toezichtloos te laten investeren. Het is de vraag of ze die vrijheid op technologisch gebied wel aankunnen.’
Officieel is het De Nederlandsche Bank (DNB) die het toezicht over de banken moet houden. Sinds 2014 controleert zij Nederlandse bancaire instellingen op hun IT-complexiteit. Maar vanuit de IT-wereld is veel kritiek op deze controle van DNB. IT-consultant Jellema twijfelt of de toezichthouder überhaupt wel de technische expertise heeft de banken op complexiteit te controleren. Om de duizenden IT-systemen van banken te monitoren, heb je volgens Jellema ook duizenden IT’ers nodig.
Volgens een woordvoerder van DNB bestaat het team dat de financiële instellingen van Nederland (ook verzekeraars, pensioenfondsen) op complexiteit controleert uit veertien man. Zij moeten zich daarnaast ook nog eens bezighouden met de cyberveiligheid van deze instellingen.
Of de banken verantwoordelijk met hun financiële systemen omgaan, is dus moeilijk te zeggen. Het is mogelijk dat storingen, zoals bij ING in 2013, zich nog eens voor zullen doen – iets wat de bank zelf ook toegeeft. Tot nu toe waren de consequenties van zulke storingen in Nederland te overzien. Ja, transacties gingen niet door, mensen konden in de ergste gevallen een dag niet bij hun rekening, maar uiteindelijk was niemand zijn of haar geld definitief kwijt.
Of een grootschaliger IT-crash zoals bij de Royal Bank of Scotland Nederland in de toekomst bespaard blijft? Oftewel: klanten die wekenlang niet bij hun geld kunnen en een totale inzinking van het betalingsverkeer? IT-consultant Rémon van Riemsdijk: ‘Er is geen IT-directeur in Nederland die daarvoor zijn hand in het vuur durft te steken.’
Dit verhaal schreef ik met Amber Kortzorg en Rosalyn Saab.