IT-kæmpen IBM har nu i seks uger haft held til at mørklægge detaljerne i det massive nedbrud som ramte blandt andet den internationale it-koncerns finanskunder 9. april i år.
Men hvis følgerne af nedbruddet havde haft indflydelse på norske pengeinstitutter, havde offentligheden formentlig kendt til langt flere detaljer omkring det massive nedbrud, som ud over Danske Bank også ramte storkunder som Carlsberg, DSV og Arla.
Den norske lovgivning pålægger nemlig nabolandets pendant til Finanstilsynet at offentliggøre årsager og redegørelser af større it-nedbrud i finansbranchen af hensyn til gennemsigtigheden, fordi princippet om gennemsigtighed i sig selv har en præventiv og positiv virkning.
Det fortæller Frank Robert Berg, der er chef for sektionen for it-tilsyn hos den norske kontrolmyndighed Kredittilsynet.
“Kredittilsynet har en offentlig oplysningspligt. Alle endelige rapporter er faktisk offentlige,” siger Frank Robert Berg.
Pligten til offentliggørelse bunder i den norske offentlighedslov. Hensigten med loven er, at myndigheder ikke skal hemmeligholde ting, der ikke behøver hemmeligholdes. Og det at undtage information fra offentligheden må begrundes i loven, fortæller sektionschefen.
I Danmark er situationen den modsatte. Her må Finanstilsynet ikke offentliggøre rapporter og redegørelser om it-nedbrud af konkurrencemæssige hensyn.
Men i Norge har man altså valgt fuld indsigt i redegørelserne. Og det sker selvom sandheden både kan gøre ondt på den ramte virksomhed og have store økonomiske konsekvenser i form af kursudsving og store skader på renommeet hos den berørte virksomhed.
Norsk forvaltningslov
“Hvis der ikke foreligger en saglig begrundelse for at undtage information fra offentligheden, er det at aktiekursen kan påvirkes ikke i sig selv en begrundelse,” siger Frank Robert Berg.
Det er den norske forvaltningslov, som pålægger Kredittilsynet og andre offentlige institutioner en hvis grad af offentlighed. I særlige tilfælde kan Kredittilsynet alligevel tilbageholde oplysninger, eksempelvis af hensyn til beskyttelse af persondata, eller særligt følsomme konkurrenceforhold. Men så skal årsagen begrundes i henhold til særlige lovregler, fortæller Frank Robert Berg.
Samtidig indførte Norge i november sidste år et rapporteringssystem, som pålægger banker og pengeinstitutter at rapportere alle hændelser ved it-nedbrud til kredittilsynet.
Bekymret for afhængighed
Selv om Norges finanssektor ikke blev direkte ramt af det massive nedbrud 9. april bekymrer hændelsen alligevel det norske Kredittilsyn. Problemet er, at den Norske finansbranche efterhånden er temmelig afhængig af IBM, der driver stadigt flere nordiske bankers it-systemer, fortæller Frank Robert Berg.
I myndighedens nyeste Risiko- og sårbarhedsanalyse peger Kredittilsynet på IBM’s drift af en lang række nordiske banker, som kan repræsentere en koncentrationsrisiko.
“Nu har man lagt mange æg i den samme kurv. Og vi viser, at det kan være en koncentrationsrisiko,” siger Frank Robert Berg.
I øjeblikket står IBM eksempelvis bag driften af Nordea Bank Norge samt Danske Banks datterselskab Fokus Bank i Norge. Desuden drifter IBM gennem danske SDC (Skandinavisk Data Center) de norske Terra banker, som består af mange mindre sparekasser.
Ifølge Frank Robert Berg har stort set alle pengeinstitutter i praksis outsourcet driften af deres it-systemer til eksterne firmaer, og den virkelighed må Kredittilsynet som kontrolinstans navigere i.
Ingen hjemmel i Danmark
Derfor kan Kredittilsynet i modsætning til det danske Finanstilsyn gå direkte til leverandører for at kontrollere sikkerheden. Den mulighed sikres gennem kredittilsynets IKT-forskrift, der gælder for hele finanssektoren. Den pålægger eksempelvis bankerne at sikre Kredittilsynet mulighed for at inspicere leverandøren i kontrakterne, hvis de outsourcer driften. Dette gælder også for IBM.
I Danmark har Finanstilsynet ikke hjemmel til direkte at tage kontakt til leverandøren. Men hvis banken har outsourcet driften, kan Finanstilsynet i stedet for at kontrollere sikkerheden hos leverandøren tage kontakt til kunden.
“Banken er pålagt at regulere aftalen med leverandøren, så Kredittilsynet har ret til at inspicere leverandørens leverancer til banken,” siger Frank Robert Berg.