De financiële sector is een van de meest kritieke industrieën ter wereld. Veel banken werken echter met een enorme last op hun schouders: een sterk verouderde IT. Hoe is dit probleem te overwinnen en wat wint de klant daarmee? We bespreken het met Valdis Janovs, die tot voor kort Head of Instant, Retail Payments and Cards bij Tietoevry was.
Eerst een korte achtergrond over Tietoevry. Het Finse Tieto en het Noorse EVRY fuseerden in 2019 tot Tietoevry, momenteel gevestigd in Finland maar actief in heel Scandinavië, de Baltische staten en ook grootschalig aanwezig in Nederland, zij het achter de schermen. Het bedrijf biedt een breed scala aan financiële diensten en producten, waaronder de backend voor directe betalingen, kaarten en oplossingen die zijn afgestemd op specifieke sectoren. Veel van deze expertises zijn bij Tietoevry beland door fusies en overnames in de 56-jarige geschiedenis van het bedrijf.
“Wij helpen banken om te moderniseren, om hun betalingsmogelijkheden te verbeteren”, aldus Janovs, waar we kort voor de aankondiging van zijn vertrek mee spraken. Wereldwijd biedt het bedrijf “een volledig productgeoriënteerde business”, zegt hij, “wat betekent dat we kant-en-klare producten aanbieden”. In één live implementatie ondersteunt het meer dan 40 miljoen betaalpassen, zowel debit als credit. In totaal werkt dit platform samen met ongeveer 100 banken en externe verwerkers wereldwijd en verwerkt het meer dan 20 miljard transacties per jaar. Meer dan 200 miljoen mensen maken dagelijks gebruik van de platforms van Tietoevry.
Moderniteit versus oudheid
Tietoevry bevindt zich dus in een goede positie om ons te vertellen over de kwestie die we hebben benoemd. En er is genoeg om over te praten. “We hebben gemerkt dat de platforms die we ontwikkelen extreem modern zijn in vergelijking met veel banken die we zijn tegengekomen, vooral in West-Europa en Scandinavië”, zegt Janovs. We moeten ons in Nederland aangesproken voelen dus. Dit is allesbehalve verbazingwekkend. Als vroege gebruikers van IT gingen veel financiële instellingen in de jaren zeventig en tachtig aan de slag met technologie. Zo ook de overheid, bijvoorbeeld binnen de Belastingdienst.
Janovs wijst erop dat er in de jaren negentig wel enige modernisering plaatsvond in het westerse bankwezen, maar dat de pure complexiteit van de taak voor velen onoverkomelijk werd daarna. Gezien de compliance-noodzaak en de onmogelijkheid van downtime, was en is ‘rip-and-replace’ geen optie.
Dit is een probleem met vele facetten. Elke nieuwe betaaloplossing of betaalkaart heeft te maken met een ingewikkeld testproces. “Er zijn veel onderlinge afhankelijkheden”, zoals Janovs het bescheiden omschrijft. En dan hebben we het nog niet eens gehad over de steeds schaarser wordende expertise in de vele dialecten van COBOL waarin oude banktechnologie vaak is geprogrammeerd…
IT in het bankenwezen is een kwestie van “measure ten times, cut once“, zegt Janovs. Verandering betekent risico. Maar verandering is nodig om aan de verwachtingen van de klant te voldoen, zegt hij. En dat zijn er nogal wat: “Meerdere digitale kanalen, volledig digitale workflows. Dat is inclusief onboarding [d.w.z. het openen van een rekening] en realtime verwerking van alles.” Geen tijd voor batch processing buiten de kantooruren dus. Het tijdstip van de dag is nu irrelevant, zegt Janovs. Dit maakt het voortdurende gebruik van verouderde IT steeds moeilijker te verteren.
Dit is overigens niet nieuw. Janovs benadrukt hoe instant betalingen, gevoed door de explosie van mobiele apps, nu al meer dan tien jaar gemeengoed zijn. Dit betekent dat je een kernarchitectuur moet hebben die altijd in de lucht is. “Voor veel banken is dat een uitdaging. En de grootste uitdaging is om ervoor te zorgen dat de betaling niet alleen binnenkomt, maar ook meteen voor iets anders kan worden gebruikt.” Het toeval wil dat Tietoevry deze barrière weet te omzeilen.
Waarom Tietoevry?
Zoals gezegd moeten de systemen van Tietoevry tientallen miljoenen kaarten ondersteunen, die allemaal worden gebruikt voor betalingen meerdere keren per dag, altijd en overal. Gelukkig omzeilt Tietoevry de COBOL-achtige IT-oudheid die banken intern nog steeds gebruiken. “Het maakt ons niet uit welke coderingstaal ze gebruiken, want onze producten zijn cloud-native, cloud-ready. We draaien op Unix, Oracle databases en microservices op sommige van de cloudimplementaties.”
Hoe komt het dat Tietoevry zich niet in oude programmeerparadigma’s hoeft te verdiepen om zijn modernisering voor elkaar te krijgen? Dat zou je namelijk best mogen verwachten, gezien het feit dat dergelijke moderniseringen intern meestal worden tegengehouden vanwege deze opgelopen technical debt. “Als we aan deze migratieprojecten beginnen, moeten we de brongegevens analyseren, maar niet de taal waarin ze zijn gecodeerd”, zegt Janovs. “We hebben iemand nodig die de business logic of de business needs aan de kant van de bank kan uitleggen. Dan kunnen we de data ingesten, transformeren en in het nieuwe platform laden. We hebben dit al verschillende keren gedaan.”
Uiteindelijk draait dit alles om risicoverlaging. Banken willen niet langer vertrouwen op de expertise van een beperkt aantal mensen (van wie velen de pensioengerechtigde leeftijd al gepasseerd zijn) en in plaats daarvan hun activiteiten elders onderbrengen, vertaald in een modern taalgebruik van Kubernetes, IT best practices en cloudadoptie. “We elimineren de oude systemen uit de workflow.” Een bepaald aantal, meestal tientallen, nieuwe interfaces moet interne medewerkers dezelfde functionaliteit bieden die ze gewend zijn. Uiteraard zijn ze ontworpen om PCI en SSF compliant te zijn, zoals de wet vereist. Maar ook: “Een van onze toegevoegde waarden is dat we ook regionaal compliant zijn”, stelt Janovs.
Geen cloudzorgen
De banksector is een kritieke sector en heeft te maken met veel meer dan alleen compliancebehoeften. Cyberdreigingen zijn alomtegenwoordig. Tietoevry wijst hier naar best of breed, zegt Janovs. Er zijn daarnaast tal van interne en externe pentests bovenop certificaten en standaarden zoals ISO 27001. Tevens biedt Tietoevry zijn diensten aan in een SaaS, public cloud setting. Dit kan op AWS, maar ook Azure. Hierdoor heeft Tietoevry de “ingebouwde securitylaag” die deze clouds inherent bieden en kan het bedrijf “uitblinken in automation”, zoals Janovs het verwoordt.
Tietoevry gebruikt de cloud al bijna tien jaar. Dit kwam voort uit een eenvoudige behoefte om efficiënter te werken. Automation via Ansible en Terraform was een bijzonder prettig voordeel ten opzichte van de oude on-prem setup, die ook gepaard ging met de eindeloze rompslomp van het onderhoud van hardware bij het bedrijf. Een aantal diensten draait via Azure, het als eerste geadopteerde publieke cloudplatform van Tietoevry. Maar: “Voor onze betalingen en kaarten hebben we gemerkt dat AWS meer voordelen biedt”. Het bedrijf is dus niet gebonden aan een specifieke leverancier.
Deze cloudadoptie is een succes gebleken, en nadrukkelijk ook tijdens Covid toen ontwikkeling op afstand een noodzaak werd. Tietoevry co-innoveert hiernaast met meerdere cloudproviders door middel van strategische overeenkomsten.
Een ander voordeel voor klanten is simpelweg dat de adoptie veel sneller gaat dan voorheen. Vroeger duurde het misschien twee jaar om een nieuw kaartbeheersysteem te implementeren, zegt Janovs. Nu kan een SaaS-aanbod, mits aan bepaalde voorwaarden is voldaan, binnen een week worden geïnstalleerd en kan de certificering snel beginnen voor een volledige uitrol, die onvermijdelijk enige tijd in beslag neemt. Op dat moment hebben we het echter niet meer over een technologische beperking, maar een institutionele. “Je kunt op ‘installeren’ klikken en het zet alle Infrastructure-as-Code op in de publieke cloud”, vertelt Janovs.
Compliance-problemen? Niet zo snel
Sommige banken zijn misschien huiverig als ze ‘cloud’ horen. Maar Janovs gelooft dat ze zich geen zorgen hoeven te maken. Sterker nog, ze zouden dit andersom moeten zien ten opzichte van on-prem, zegt hij. “Security is veel beter geregeld in de cloud dan wanneer je je op maat gemaakte systemen intern bouwt of een soort private cloud opzet. Banken realiseren zich niet altijd dat hun teams van bijvoorbeeld 15 of 20 securityspecialisten minder kunnen dan de honderden AWS- of Azure-medewerkers die zich volledig op dit gebied richten.” Bovendien is deze laatste groep belast met het aanpakken van cyberdreigingen. Dit doen ze op grote schaal en in voortdurende beweging, vaak uitgerust met de nieuwste informatie van partners of vanuit interne threat intelligence.
“Maar hoe zit het dan met een soevereine cloud?”, zullen sommigen zich afvragen. Zouden de waardevolle persoonlijke gegevens van EU-burgers niet voor het grijpen liggen voor Amerikaanse autoriteiten als ze dat zouden willen, gezien de CLOUD en DATA Acts uit Washington? De onzekerheid hierover lijkt te blijven hangen, en dat is al een tijdje zo. “Dat is een reis die nog moet worden volbracht”, geeft Janovs toe. Dit is eigenlijk het antwoord dat we hadden verwacht, want zelfs de EU lijkt het niet te weten. Verschillende wetten beperken tegelijkertijd het gebruik van openbare clouds die door de Amerikanen worden geëxploiteerd, maar maken het ook mogelijk om ze via bepaalde omwegen alsnog in te zetten.
Janovs is echter onvermurwbaar: “Dit is geen punt van zorg. Dit is omdat alle cloudproviders waar we mee werken regionale dataverwerking toestaan, waarvoor zeer strikte overeenkomsten gelden. We weten in principe waar de gegevens zijn.” Het is eigenlijk alleen wanneer Tietoevry zich bezighoudt met opkomende economieën dat het soms op problemen stuit vanwege strenge gegevenswetten. In zo’n geval (of voor sommige Europeanen die nog steeds aarzelen) is een on-prem implementatie nog steeds heel goed mogelijk.
Conclusie: tijd om verder te gaan
Sommige banken hebben er eeuwen over gedaan om te moderniseren. Dat is begrijpelijk, maar de moderne behoeften dwingen hen ertoe nu toch echt overstag te gaan. Gelukkig lijkt het erop dat de taak die voor hen ligt niet zo omslachtig is als je zou denken. Misschien zullen er intern slordige pogingen worden gedaan om COBOL in Java te veranderen door middel van AI, zoals IBM heeft voorgesteld. Dit is geen wondermiddel, want je moet dan nog steeds kijken naar de fundamentele bedrijfsbehoeften en -processen. Die moeten blijven bestaan voor de bedrijfscontinuïteit, maar ze kunnen inderdaad volledig worden vervangen.
Dus, tot slot, over wat voor soort migratie hebben we het? Tietoevry handhaaft uiteindelijk de bedrijfsprocessen terwijl het het fundament volledig vervangt. In feite is het een migratie zonder dat de exacte functionaliteit van elke regel code moet worden uitgeplozen – dat is misschien nog steeds iets wat banken in hun eigen tijd moeten doen als ze kritieke functionaliteit willen behouden. Om nieuwe producten aan te bieden hoeft men echter niet zo ver te gaan. Dat is waar Tietoevry direct hulp kan bieden.
Lees ook: Wijziging belastingregels vertraagd door IT-problemen Belastingdienst