Finanstilsynet slakter EDB Ergo

Finanstilsynet slakter EDB Ergo

Refser selskapets tjenestekvalitet og risikoanalyse etter bankkrisen i påsken.

Onsdag i påskeuka inntraff en maskinvarefeil hos EDB Ergogroup, som drifter de fleste norske bankene. Årsaken til uttaksnekt, dobbeltposteringer og problemene med minibanker gjennom påsken skyldtes at en reserveserver ikke ble oppdatert på samme måte som hovedserveren.

Når hovedserveren feilet på grunn av maskinvarefeil, var det derfor ingen reell reserveløsning på plass.

Hovedserveren ble oppgradert etter at beredskapstester viste at kapasiteten til denne serveren var for liten til å takle sterk trafikk.

I et brev til EDB Ergogroup er Finanstilsynet lite imponert over grunnen til at systemene feilet så grundig. Håndtering og oppfølging av endringen er kritikkverdig, ifølge tilsynet. Ansvaret for å følge opp og sjekke at endringen ble fullt ut gjennomført, ble overlatt til den avdelingen som gjennomførte halvparten av endringen.

Feilen berørte en helt sentral, kritisk komponent i kortbetalingsløsningen i Norge.

Kort nedetid, ei uke problemer

Hvor sentralt dette var, vises ved at selv om den tekniske nedetiden varte i sju timer, så var problemene for kundene og all feilretting ikke unnagjort før ei uke seinere. Det var 140.000 kunder som ble rammet direkte, med over 200.000 transaksjoner, viser et foreløpig anslag. Dette er langt over det akseptable for Finanstilsynet.

– Betalingssystemene er en vesentlig del av et velfungerende finansmarked, og det hviler et betydelig ansvar både på bankene og deres leverandører av IKT-tjenester for at betalingssystemene fungerer slik de skal, sier konstituert finanstilsynsdirektør Emil R. Steffensen i en pressemelding.

En svikt som ble avdekket i oppfølgingen, var at krisegruppa som fikset den opprinnelige serverfeilen ikke hadde oversikt over hvilken rolle den spilte i tjenesteleveringen. Finanstilsynet krever en bredere samordning med representanter for forretningsområdene, som i dette tilfellet var bankene og Nets.

I den generelle delen som avslutter brevet gir Finanstilsynet sviende kritikk til kvalitetsrutinene i Ergogroup.

“EDB [har] ikke i tilstrekkelig grad lagt vekt på kvalitet ut fra en helhetsvurdering. Dette gjelder ikke bare til de krav den enkelte bank har satt gjennom avtalene med EDB, men også på det selvstendige ansvaret EDB har for å etablere og forvalte et system for måling og oppfølging av kvalitet på alle nivåer”.

Om risikohåndtering heter det at “håndteringen av risiko ikke vært tilfredsstillende. EDB har et selvstendig ansvar for å sikre tilstrekkelig kvalitet og håndtering av risiko på sin virksomhet.”

Krever svar innen september

Kritikken er basert på rapporter og møter med EDB Ergogroup siden krisen oppsto og supplerende informasjon fra Nets Norway og 55 banker. Det har også vært møter med FNO om regelverket for BankAxept-løsningen.

Brevet til EDB Ergogroup utfordrer styret i selskapet til å komme med forslag til tiltak for at feil, følgefeil og beredskap ikke skal forekomme. Svaret må komme innen utgangen av august. Men allerede nå er kravene til driftsløsningene i alle bankene skjerpet som følge av denne feilen, som det framgår i dette rundskrivet.

I et eget brev til Nets ber tilsynet om at styret i selskapet tar tak i beredskapshånderingen og hvordan helheten i systemet ivaretas i krisegrupper. Nets skal også implementere en risikoanalyse hvor forholdet til BankAxept og andre samhandlingspartnere er tatt med.

Les om:

Enterprise