»Alternativet i Danmark var ikke supergodt. Vi skulle købe servere og selv sætte det op eller købe servere i et driftscenter, så der var ikke rigtigt et alternativ,« fortæller Thomas Stig Jacobsen.
Han har været med til at planlægge og definere it-arkitekturen, siden Lunar Way i 2015 startede med sin bank-app, der serviceres af Amazons AWS cloud-services med bagudintegration til bankernes mainframes.
Det var ikke kun de praktiske udfordringer med selv at håndtere og vedligeholde hardware, der gjorde cloud-løsningen tiltrækkende. Teknologiudviklingen i skyen var et ekstra trækplaster.
»Det er også nemmere at tiltrække arbejdskraft – det er mere spændende med de nye teknologier, der udvikles i skyen,« mener Thomas Stig Jacobsen, som Version2 møder under AWS re:Inforce-sikkerhedskonference.
En jungle af 3-bogstavsforkortelser
Lunar Way startede med, hvad Thomas Stig Jacobsen betegner som »en simpel arkitektur«, der senere er blevet udbygget og blandt andet overholder en række compliance-programmer og veldefinerede sikkerhedspolitikker.
»Der er compliance-mæssige programmer som PCI, ISO, CSA som vi skal overholde, ligesom vi skal leve op til Nykredits sikkerhedspolitik,« forklarer Thomas Stig Jacobsen med henvisning til internationale standarder som standarden for betalingskort PCI (Payment Card Industry) og de mange forskellige standarder fra ISO (International Standard Organisation).
Relevant i denne forbindelse kan nævnes sikkerhedsstandarden ISO27001, standarden for cloud-specifikke kontroller ISO 27017 samt standarden for personlig databeskyttelse ISO27018. Og så er der best practices fra CSA (Cloud Security Alliance).
Du kan se en oversigt over, hvordan de forskellige AWS services passer med de forskellige compliance-programmer her.
Da Nykredit Bank er Lunar Ways partnerbank, skal Lunar Way også overholde Nykredit Banks sikkerhedspolitikker.
»Det er kontroller for, hvordan man tester om sikkerhedspolitikker opretholdes, eksempelvis om kryptering er slået til. Det er noget vi og Nykredit synes er vigtigt, og så skal vi finde tilsvarende i AWS' sikkerhedspolitik og mappe dem,« forklarer Thomas Stig Jacobsen.
Udviklere og compliance – et mismatch?
De mange compliance-programmer er måske ikke noget, som udviklere umiddelbart tænder på, men det er en del af virkeligheden for softwarevirksomheder i den finansielle sektor – som Lunar Way, der er reguleret af Finanstilsynet.
»Vi har et stort ansvar for de, kunder vi repræsenterer, og vi er bevidste om det ansvar,« siger Thomas Stig Jacobsen.
Af de omkring 100 ansatte i Lunar Way arbejder omkring 30 i udvikling, og her foregår udviklingen i små teams, hvor der er en backend-udvikler, app-udviklere til iOS og Android samt nogle andre roller.
Det er vigtigt, at hvert enkelt team er bevidst om compliance- og sikkerhedsmæssige krav.
»Der er ikke et enkelt team med sikkerhedshatten på. Vi skal sørge for, at de sikkerhedsmæssige tiltag håndteres ude i de enkelte teams,« siger Thomas Stig Jacobsen og understreger, at det også sikres at eventuelle partnere også lever op til compliancekrav.
»Hvis vi får en ny partner, har vi en process, hvor det compliance-mæssige tjekkes. Hvad gør de med data, hvordan er sikkerheden og så videre. Vi går det hele igennem med direktionen.«
Kontroltårnet og Lunar Way
Lunar Way har været med til at afprøve et af de nye AWS-produkter, AWS Control Tower, via et preview-program, og Thomas Stig Jacobsen er umiddelbart glad for de muligheder, kontroltårnet giver for at implementere regler for sikkerhed og compliance på tværs af AWS-konti.
Det passer godt ind i Lunar Ways organisatoriske setup med distribuerede teams, da Control Tower ved hjælp af såkaldte guardrails kan sikre best practices og forhindre, at der anvendes services og konfigurationer, som strider imod sikkerheds- eller compliance-mæssige krav.
Kontroltårnet opretter blandt andet et centralt log-arkiv ved hjælp af AWS CloudTrail og AWS Config, ligesom det er muligt at lave sikkerheds-audits på tværs af AWS-konti.
»Det er nemmere at lave nye konti, der lever op til specifikke regler og alle sammen leverer de her metrics og logs,« siger Thomas Stig Jacobsen.
Automatisk kontrol af log
Thomas er også blevet interesseret i et andet AWS-produkt, der kan være med til at sikre Lunar Ways cloud-baserede systemer.
Det er GuardDuty, der automatisk analyserer logs fra AWS for at finde mistænkelig adfærd, kompromitteret sikkerhed eller en udvikler, der gør noget usædvanligt.
»Vi vil se nærmere på det i næste kvartal. Vi begynder at få flere og flere udviklere, hvilket giver flere og flere logs, der skal ses igennem. Hvem har adgang, hvem har tilgået data, hvilke services og systemer og så videre. Der kan et automatiseret system nok hjælpe os,« forventer Thomas Stig Jacobsen.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
