image

Column: De Security Bubble

vrijdag 18 mei 2012, 10:03 door Peter Rietveld, 8 reacties

Credit rating agencies zijn net mensen. Ze produceren ratings zoals de bakker brood, dag in dag uit volgens vaste patronen en inzichten. Ook negeren ze, net als gewone mensen, risico’s. Totdat het echt niet meer kan. Zo hebben de agencies jaren lang diverse landen bestraft met lagere ratings en dus hogere rentes omdat ze de banken niet vrij genoeg lieten om aan iedereen geld uit te lenen.

Banken moesten marktaandeel kopen, zakenbank worden en ook nog dingen doen als verzekeraar – wat beloond werd met hoge ratings en dus goedkoop geld en hogere winsten. Dat leidde tot een samenklontering in de bankenwereld tot de onoverzichtelijke en onbestuurbare lappendekens die in 2009 omvielen. Ook werden overheden lager gewaardeerd omdat ze geld leenden buiten de internationale kapitaalmarkten om, bijvoorbeeld van de eigen pensioenfondsen, zoals in ons land ooit de gewoonte was. Bedrijven die onvoldoende schulden maakten en dus teveel eigen vermogen bezaten, werden negatief beoordeeld omdat dat een uiting zou zijn van onvoldoende ondernemend vermogen en omdat ze een aantrekkelijk doel werden voor de Leveraged Buy Out, de non plus ultra methode van de hedgefunds.

En dan vallen de schellen van de ogen en moet alles helemaal anders. De credit rating agencies maken een draai van 180 graden. Bedrijven moeten plotseling juist eigen kapitaal aanhouden en banken moeten vereenvoudigen. En iedereen moet deze nieuwe inzichten per direct volgen via de machtsregels van de financiële markten, ongeacht de krakende portemonnees van burgers, gevestigde rechtsbeginselen of lopende contracten.

Na de erkenning van een ontwikkeling en de draai rechtsomkeert schieten de agencies eerst een tijdje door, totdat het oordeel uiteindelijk tot normale proporties wordt teruggebracht.

De toekomst voorspellen kunnen de economen van deze agencies dus niet. Maar ze doen het wel, met als gevolg dat hun voorspellingen rond de eurocrisis net zo sterk uiteen lopen als de horoscopen van de Flair, de Telegraaf en Girls Magazine. De invloed van de rating agencies is echter wel iets groter dan ‘pas overmorgen op voor lange donkere vrouw’. Die invloed is zelfs bijzonder groot en wordt ook telkens maar groter, want de kant en klare binaire voorspellingen zijn de grondstof voor de computer trading systemen, en die zijn weer allesbepalend in de huidige economie. De agencies zijn bovendien feitelijk bij wet boven onze regeringen gesteld, zodat de credit rating van een land inmiddels belangrijker is dan de stembusuitslag.

Er is geen weg terug. Maar er is wel een weg vooruit. De credit rating agencies gebruiken steeds geavanceerdere modellen met steeds meer factoren om nauwkeuriger uitkomsten te hebben. En wie weet; de overgang naar fuzzy logic en de doorgaande groei van het rekenvermogen maken ongekende zaken mogelijk. Maar makkelijk is het niet. Vertaalcomputers moeten een veel eenvoudiger taak uitvoeren – het omzetten van één taal in een andere is vele malen simpeler dan het voorspellen van de wereldeconomie. Na meer dan veertig jaar van grote inspanning begint de vertaalmaterie eindelijk enigszins duidelijk te worden. Het verbeteren van de voorspellingslogica van de rating algoritmes is dan ook een hele lange weg met ongetwijfeld hard vallen en moeizaam weer opstaan. Heel veel vallen. Maar het is de enige weg.

Mocht je nog denken dat we na de huidige crisis een tijdje rust krijgen om bij te komen, dan moet ik je teleurstellen: ons economisch model is manisch depressief met trekken van borderline. Paniek zit ingebakken in dit systeem, omdat het gebaseerd is op een maakbaarheidsgeloof van de economie waar de Sovjets liberaal bij afsteken. En dat allemaal door een onwrikbaar geloof in wat computers vermogen: de wereld wordt bestuurd door rekenmodellen.

In de Cyber Warfare scenario’s wordt daarom voorzichtig onderzocht hoe digitale oorlog ooit de computerbesturing van onze wereld kan raken, via de systemen van de credit rating agencies. Voorwaar een beangstigende gedachte.

We maken op dit moment een omslag door van ICT security naar Cyber security: de digitale weerbaarheid van landen en organisaties staat inmiddels ruimschoots in de schijnwerpers, getuige de dagelijkse nieuwsitems. En, dat moet gezegd, daar is ook wel aanleiding toe – voor een deel van de criminaliteit is of wordt ‘cyber’ de belangrijkste dimensie. De buit van cybercrime lijkt nog nergens naar – de totale wereldwijde opbrengst van digitale bankenfraude komt overeen met ongeveer twee geldwagenovervallen. Niet te vergelijken dus met de kosten van simpele interne besturingsfouten als de London Whale van JP Morgan, Nick Leeson van Barings Bank of Jerome Kerviel van de Société Générale. Maar, het is een feit, de opgaande trend is onmiskenbaar.

Het is een kwestie van tijd voordat de gevoeligheid van een land of een bedrijf voor cyber incidenten mee gaat tellen in de credit rating. En zo dus een daadwerkelijke factor wordt in de bedrijfsvoering of de regering. Deze relatie wordt overigens al jaren geclaimd door de adepten van ISO-normering. Maar een tegeltje in de receptie van een hoofdkantoor en een logo op de website is nog iets anders dan een positieve waardering van Moody’s. Toch hebben de tegeltjes wel gelijk, de relatie is terecht. Als cyber security zo belangrijk is, dan geldt dat ook de financiële kant van de zaak. Rating Agencies rekenen in risico’s, dus de link is er gewoon ook echt.

Deze ontwikkeling is uitermate interessant voor ons vakgebied. Ongetwijfeld zal het soortelijk gewicht van Cyber security in eerste instantie doorschieten, net als rond 2000 de verwachtingen van wat internet vermocht de boel nogal uit balans trokken. Ik geef het alvast maar een naam: de Security Bubble. Gouden tijden voor alle security toko’s, en dan in eerste instantie voor de stropdassenvariant die zich bezighoudt met compliance. Dat gaat een tijdje goed, tot de rating agencies er na een paar grote incidenten – en dus met een beetje geluk pas na een jaar of tien - achter komen dat je met papieren exercities en colonnes managers geen gaten kunt dichten in de beveiliging van computers. Dit inzicht is het afgelopen jaar al doorgedrongen tot de cyber warfare wereld, waar de cyber warrior tot het hoogste goed is uitgeroepen. Cyber warriors: pure techneuten. Hun marktwaarde is het afgelopen jaar in de Verenigde Staten dan ook al scherp gestegen. Er komt al wat lucht in de ballon.

Iedere IT-er die iets met Security doet of wil doen kan hiermee zijn voordeel doen als hij in staat wil blijven de rekeningen te betalen – ga iets doen met security management, zoals grossieren in dashboards, matrices, best practices en allerhande hoge abstracties rond het woord cyber. Als deze benadering dan uiteindelijk bij de toekomstvoorspellers van de rating agencies door de mand is gevallen volgt de eerste Security Bust. Dan moet je je in de technologie verdiepen en je stropdas in de prullenbak gooien. Er komt immers nog die tweede cyclus met een tweede Security Bubble en ook daar kun je bij zijn.

Als ik een beleggingsadvies zou mogen geven, bijvoorbeeld om je verdampte pensioen te compenseren: koop eerst aandelen in security stropdassen. Laat je niet beïnvloeden door je eigen vakkennis die zegt dat het double-zero’s, n00bs en prutsers zijn. Deze gebakken-lucht-profeten gaan een goudgerande tijd tegemoet. Niet over zeuren: profiteer ervan. Maar blijf bij de les, want zodra ze door de mand vallen – en dat gebeurt vanzelf – moet je je aandelen kwijt zijn. Ruil ze op tijd in voor security slobbertruien.

Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Laatste 10 columns


Meer columns van Peter Rietveld.
Reacties (8)
18-05-2012, 10:10 door Anoniem
Goede column.
Het draait uiteindelijk allemaal om de techniek en niet om het "gelul" er om heen.
18-05-2012, 10:41 door Overcome
Hmmm... een van de mindere columns. Afgezien dat de achternaam van Nick geen Leesing maar Leeson is (http://en.wikipedia.org/wiki/Nick_Leeson), is het probleem vele malen groter dan wat hierboven wordt geschetst. Ook de slobbertruien zullen het probleem namelijk niet oplossen. Een business probleem, want dat is security nog steeds, is helaas niet zo makkelijk te vertalen in een technisch probleem. Geef technici de ruimte en het wordt een ratjetoe van halve oplossingen, lastig te beheren configuraties, puntoplossingen zonder architectuurgedachte, lastig te sturen en daardoor dure migraties/ integraties en ga zo maar verder. Laat het een managementprobleem en de kans is groot dat de "oplossing" blijft steken in papieren exercities, audits waarvan de rating wat naar beneden wordt gepraat na het zuiver op papier oplossen van enkele tekortkomingen die een auditor belangrijk vindt maar die op risicogebied weinig voorstelt (b.v. het schrijven van een nieuwe procedure die niemand volgt maar wel het juiste vinkje oplevert), ISO stempels die weinig zeggen over dedaadwerkelijke technische beveiliging van systemen etc.

Was het maar zo eenvoudig dat de drive of het initiatief bij de slobbertruien lag, dan waren we zo klaar. (En dat zeg ik als voormalig security slobbertrui die zijn slobbertrui maar lastig op kan bergen.) Ik heb in mijn functie genoeg pentesten laten uitvoeren en de resultaten onder ogen gekregen. Naast het feit dat de pentesters de security maatregelen van de slobbertruien op kritieke punten wisten te omzeilen, mede doordat de producten en diensten zo enorm complex waren geworden, lieten de pentesters net zo goed steken vallen en werden kritieke lekken door tijd-, kennis- of geldgebrek over het hoofd gezien (we kunnen nu eenmaal niet de 10 duurste pentesters 1 maand full-time laten testen op een internet-facing applicatie).

Om een security bubble tegen te gaan zullen heel veel zaken doorgevoerd moeten worden, waarbij awareness bij alle partijen en managers in het bijzonder doorslaggevend zal zijn, en dienen heel veel mensen met tegenstrijdige belangen met elkaar samen te werken. Dat zie ik voorlopig niet gebeuren. Een bubble zal er dus altijd zijn, zoals die er de komende jaren al was. De oplossing is echter wat minder eenvoudig dan technici de leiding geven in dit vraagstuk.
18-05-2012, 15:56 door Anoniem
Devil is in the details. Je kunt stropdassen tot en met, maar het gaat om de 0000 en 1111...
18-05-2012, 17:36 door AaronZahn
Ik bespeur frustratie en onjuiste voorspellingen.. Bijvoorbeelde de volgende:

"Gouden tijden voor alle security toko’s, en dan in eerste instantie voor de stropdassenvariant die zich bezighoudt met compliance."

Denk je nou echt dat in deze tijden ieder bedrijf compliant wil zijn? De huidige maturity van de security organisaties is nog lang niet zo ver dat we succesvol ISMS-en gaan invoeren. Eerst zal de grond geëffend moeten worden en de fundering worden gelegd. Daar zul je zeker een sterke security officer voor nodig hebben, maar die compliance speelt echt pas over een aantal jaar... Zal ook goedkoper zijn als de fundering er ligt ;)
19-05-2012, 00:46 door slartibartfast
Ha fijn, weer zo'n adept van de stelling dat security alleen een technisch probleem is. Ik ben dagelijks in de weer met die zogeheten cybersecurity nerds en ja; ze weten ongelofelijk veel van de problematiek en helpen ons erg de boel dicht te spijkeren en dat zo te houden.

Maar wat ben ik blij met ons (wel pragmatisch opgezette) ISMS dat zeker stelt dat we het management betrekken (want daar komt de poen vandaan), dat we audits doen (ook vulnerability testing uiteraard), dat we onze documenten bijhouden, en risicoanalyses samen met de business doen zodat we weten wat er beschermd moet worden en wat niet.

Nee; met alleen techneuten redden we het niet. In geen enkele industrie overigens. Waarom zou de security wereld anders zijn?

Leuk verhaal om te lezen maar de clou is nergens op gebaseerd.
20-05-2012, 00:54 door choi
Deze gebakken-lucht-profeten gaan een goudgerande tijd tegemoet. Niet over zeuren: profiteer ervan. Maar blijf bij de les, want zodra ze door de mand vallen – en dat gebeurt vanzelf – moet je je aandelen kwijt zijn. Ruil ze op tijd in voor security slobbertruien.

Heel pragmatisch advies ja. Zeer post-moderne levenshouding. Post-modern pragmatisme staat gelijk aan het soort cynisme dat ons in deze ellende heeft gestort.

China Most Favored Nation? Ja, ze treden de mensenrechten met voeten maar ze zorgen er wel voor dat de dollar blijft drijven en hun fabrieken produceren voor een habbekrats iCrap, die dan weer tegen hoge winstmarges in het westen kan worden verkocht (en dat de Chinese FoxxCon werknemers en masse zelfmoord plegen vanwege de extreme werkdruk maakt niet uit, als de nieuwste iCrap maar voor kerst geleverd kan worden, en oh die Steve Jobs, wat een genie, vreselijk dat die dood is!).

Sub Prime hypotheken? Tuurlijk, het is rommel maar die idioten weten dat niet dus laten we er maar van profiteren zolang het duurt (en dat die mensen die hypotheken, waar ze in de eerste plaats nooit voor in aanmerking hadden mogen komen, niet terug kunnen betalen en uit hun huis worden gezet maakt niet uit, we hebben onze aandelen in deze toxic assets lang voor de ballon barstte verkocht).

Et cetera, ad nauseam.....greed never learns...
20-05-2012, 15:45 door Erik van Straten
Een prima column die tot denken zet. Echter:
Door Peter Rietveld: De buit van cybercrime lijkt nog nergens naar – de totale wereldwijde opbrengst van digitale bankenfraude komt overeen met ongeveer twee geldwagenovervallen. Niet te vergelijken dus met de kosten van simpele interne besturingsfouten als de London Whale van JP Morgan, Nick Leeson van Barings Bank of Jerome Kerviel van de Société Générale.
In http://www.cda.nl/Upload/Nistelrooij/2012_05_15_nieuwsbrief_37.htm lees ik:
Door Lambert van Nistelrooij: In Nederland was vorig jaar voor 93 miljoen euro schade door fraude bij internetbankieren alléén.
In http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+WQ+E-2011-011906+0+DOC+XML+V0//NL:
Door Lambert van Nistelrooij en Wim van de Camp: De kans op een storing van wereldwijde kritieke informatie-infrastructuur binnen de aankomende tien jaar wordt daarin geschat op 10 tot 20 procent met een mondiaal economisch kostenkaartje van ongeveer 250 miljard dollar.
In http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/rapporten/2012/03/16/rapport-over-omvang-en-schade-id-fraude/rapport-over-omvang-en-schade-id-fraude.pdf:
Door PWC (medio 2011): Circa 77% van de identiteitsfraudezaken waar burgers aangaven slachtoffer te zijn tussen 2007 en mei 2011 kende een gemiddeld schadebedrag van circa €2.800. Door het kleine aantal hoge bedragen ligt dit bedrag hoog, op totaal niveau geeft namelijk meer dan de helft van de respondenten aan onder de €1.000 schade te hebben geleden. Als deze cijfers worden toegepast op de gehele Nederlandse bevolking van 16,5 miljoen inwoners betekent dit een totaal schadebedrag van tussen de €1,09 miljard en €1,29 miljard voor de periode van 2007 tot 2011.
In http://www.tno.nl/content.cfm?context=overtno&content=nieuwsbericht&laag1=37&laag2=2&item_id=2012-04-10%2011:37:10.0:
Door TNO op 10 april 2012: Cybercrime kost de Nederlandse samenleving jaarlijks tenminste tien miljard euro, oftewel 1,5 tot 2 procent van ons bbp. Dat is evenveel als de economische groei die we in 2010 nog hadden. Dit blijkt uit verkennend onderzoek door TNO. Er zijn echter sterke aanwijzingen dat de werkelijke kostenpost een factor twee of drie hoger ligt.
M.a.w. de getallen lopen nogal uiteen, maar de urgentie zou wel eens hoger kunnen zijn dan Peter Rietveld lijkt te schetsen.

M.b.t. mijn eigen rol in deze: persoonlijk streef ik ernaar om de brug te slaan tussen techniek en management en te zeggen waar het op staat. Essentieel is dat het management bereid is naar je te luisteren. Doen ze dat niet (ofwel omdat de rapportages niet aanspreken ofwel omdat ze menen het zelf beter te weten) dan trek ik me terug en ga iets anders doen (niet security gerelateerd).
20-05-2012, 23:27 door Anoniem
Leuke column. Vooral als je de humor kunt inzien van vergelijking tussen de rating agencies en security stropdassen. Wel treffend denk ik, vooral omdat veel dingen die ge-hypt worden zowel bubble worden als ook barsten. Ik ga het advies zeker nader onderzoeken;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.