AI, DORA og økende cybertrusler endrer finanssektoren. De som lykkes, kombinerer innovasjon, sikkerhet og kontroll over egne systemer og data.
Norske banker har digitalisert seg til verdenstoppen. Bak den sømløse hverdagen til millioner av kunder – BankID, Vipps og sanntidsbetalinger – ligger tiår med teknologisk utvikling levert i tett samarbeid mellom bankene og deres teknologipartnere.
Samtidig som kravene fra EU og norske myndigheter øker, og cybertruslene eskalerer, vet vi at bankene bærer på tiår med kompleksitet. Behovet for videre modernisering – og for å ta i bruk AI på en trygg og effektiv måte – har aldri vært større.
Vivicta har vært tett på utviklingen siden starten. Fra EDB Business Partner og ErgoGroup, via EVRY og Tietoevry, til dagens Vivicta har selskapet fulgt norsk bank- og finansnæring gjennom digitaliseringsbølge etter digitaliseringsbølge – fra kjernebank og betalingsinfrastruktur til sky, data og nå kunstig intelligens.
I dag er Vivicta et selvstendig selskap med over 7 000 ansatte globalt, flere enn 800 av dem i Norge. Erfaringen med de historiske systemene er fortsatt en viktig del av fundamentet – men brukes nå til å løse nye utfordringer.
For bank og forsikring betyr det én ting: å koble det etablerte med det nye, og gjøre det mulig å modernisere i takt med både regulatoriske krav og teknologisk utvikling. Med tung kompetanse innen AI og inngående kjennskap til bransjens kompleksitet, jobber Vivicta i dag med å realisere morgendagens løsninger – på toppen av det som allerede finnes.
– Vi har ikke bare sett denne transformasjonen utenfra. Vi har vært en del av den, direkte involvert i driften, side om side med kundene, sier Sigrun Hansen Bock, leder for bank og forsikring i Vivicta.
Finanssektoren møter i dag tre krefter som alle trekker i ulike retninger: regulatorisk press, kostnadseffektivisering og teknologisk fornyelse. Klarer man å håndtere alle tre samtidig, har man et konkurransefortrinn. Klarer man det ikke, risikerer man å tape på alle fronter.
– De som vinner i finans fremover, er ikke de som digitaliserer mest. Det er de som har best kontroll på risiko, kost og kompleksitet mens de gjør det, sier Bock.
DORA – EUs nye regelverk for digital operasjonell robusthet – illustrerer dette godt. Mange institusjoner har behandlet DORA som en dokumentasjonsøvelse. Juristene er satt til å skrive rapporter, og compliance-boksen er krysset av. Men det er ikke det DORA krever.
– DORA handler om styring, ikke bare drift. Man må vite hva man har, hvordan det henger sammen, og hvordan man kommer tilbake hvis noe skjer. Det er en test på om virksomheten faktisk er robust – ikke bare om den ser robust ut på papiret, sier Bock.
For mange banker avslører DORA-prosessen noe ubehagelig: at de ikke har full oversikt over sine egne systemer, sine egne avhengigheter og sine egne kritiske kjeder. Det er her kompleksiteten i den tekniske infrastrukturen blir synlig.
Store norske banker og forsikringsselskaper eier sin egen kompleksitet. Hos banker som inngår i ulike allianser finner vi et ekstra lag: de er avhengige av felles infrastruktur og kjernesystemer som er bygget opp over tiår, med integrasjoner som ingen enkelt aktør fullt ut kjenner fra innsiden.
Dette er ikke et nytt problem, og det innebærer en unødvendig høy risiko å undervurdere det.
– Monolittiske kjernebanksystemer lar seg ikke modernisere uten å forstå dem i dybden. Det holder ikke å lese dokumentasjonen. Man må ha vært der når de ble til, sier Kim Engvik, kundeansvarlig for bank i Vivicta.
Vivicta har nettopp denne kompetansen. Ikke som historisk kuriositet, men som operativt fortrinn: evnen til å drifte, videreutvikle og gradvis modernisere systemer som bærer på tiår med forretningslogikk – uten å ta ned kritisk infrastruktur i prosessen.
Parallelt med å håndtere kompleksiteten fra fortiden, bygger Vivicta infrastrukturen for fremtiden. Og her er det en kritisk faktor som bør diskuteres enda mer: hvor dataene faktisk befinner seg, og hvem som i prinsippet kan få tilgang til dem.
– For kunder i regulerte sektorer er ikke dataplassering et teknisk spørsmål. Det er et spørsmål om kontroll og suverenitet, sier Engvik.
Vivicta har dupliserte datasentre i Norge, Sverige og Finland. Det betyr høytilgjengelighetsløsninger og gjenoppretting i Norden, ikke underlagt øvrige utenlandske jurisdiksjoner. For banker med krav om at data skal forbli på norsk eller nordisk jord, men som samtidig ønsker å dra nytte av moderne skytjenester, er dette en kombinasjon få kan matche.
– Fordi dataplassering og tilgangsstyring er bygget inn i selve arkitekturen, kan vi levere norsk, nordisk, EU-basert eller offshore – i hvilken som helst kombinasjon – uten at det går på bekostning av sikkerhet eller etterlevelse. Kundene velger modell; sikkerheten følger med uansett. For oss handler dette om å gi bankene reell valgfrihet, ikke bare et standardtilbud, sier Engvik.
Denne fleksibiliteten kombineres med det Engvik beskriver som kjernen i Vivictas infrastrukturfilosofi: sikker, kontrollert kommunikasjon mellom lokale data, privat sky og offentlige skytjenester.
– Bankene trenger tilgang til global innovasjon, men kan ikke miste kontroll over hvor data befinner seg og hvem som har tilgang. Vi løser det ved at alle eksterne forbindelser går gjennom styrte grensesnitt med klare regler for dataflyt og jurisdiksjon. Det er balansen mange banker søker, men få har fått helt på plass.
Morgendagens bankdrift kjennetegnes ikke bare av stabil infrastruktur. Den kjennetegnes av evnen til å se hva som skjer – i sanntid – og å handle raskt når noe går galt.
Vivicta investerer tungt i automatisering og innsyn: verktøy og prosesser som gir bankene full oversikt over systemtilstand, avhengigheter og ytelse, og som gjør det mulig å identifisere og håndtere hendelser langt raskere enn tradisjonelle driftsmodeller tillater.
– Vi beveger oss bort fra reaktiv drift mot prediksjon og automatisert respons. Det handler om å vite hva som kan skje, ikke bare å rydde opp etter at det har skjedd, sier Engvik.
For en bransje der nedetid ikke bare koster penger, men kan true samfunnskritisk funksjonalitet, er dette ikke lenger valgfritt, men en forutsetning og ofte et krav.
Og nettopp her kobles de to trådene i Vivictas posisjonering sammen: den dype erfaringen med kompleks, kritisk drift – og evnen til å modernisere og automatisere den. Det er kombinasjonen av disse to som gjør Vivicta til noe mer enn enten en tradisjonell driftsleverandør eller en ren skyaktør.
Sigrun Hansen Bock er tydelig på at sikkerhet og innovasjon ikke er motsetninger. Det er en forutsetning–konsekvens-relasjon.
– Når grunnmuren er robust, blir sikkerhet en driver for innovasjon. Det gir fart, ikke friksjon.
Og en sterk driver som legger premisser for sikkerhet allerede i dag, er kvanteteknologi. – Det holder ikke å si at data er godt sikret i dag. Angripere stjeler kryptert informasjon nå – og venter på at kvantemaskiner skal bli kraftige nok til å låse den opp. Bank og forsikring opererer med konfidensialitetsforpliktelser som strekker seg over tiår. Det betyr at kvantesikker kryptografi ikke er et fremtidsspørsmål – det er et spørsmål vi må besvare idag.
Kunstig intelligens er også på vei inn i norsk finans – ikke bare i form av chatboter og agenter i kundegrensesnittet, men i overvåking, oppgjørsprosesser og operasjonelle beslutninger. Når disse lagene automatiseres, stiller det langt sterkere krav til styringsmodellene som ligger i bunn.
– Den store AI-revolusjonen i bank skjer ikke der kunden ser den. Den kommer til å skje i kjernen, i prosessene, i driften. Og der er kravene til kontroll, sikkerhet og regelverksetterlevelse aller størst, sier Bock.
Vivicta er posisjonert for nettopp dette: som en partner som kombinerer innovasjonsevne med operasjonell tyngde, og som kan hjelpe bankene med å ta i bruk ny teknologi uten å sette stabiliteten på spill.
– Innovasjon uten kontroll er risiko. Kontroll uten innovasjon er stagnasjon. Vi er her for å hjelpe bankene med lykkes med begge deler, avslutter Bock.