Declinul robusteței și a rezilienței (R&R) Ce avem de făcut? Daniel Daianu Conferința de Risc Management, București Palatul Parlamentului, 12 Martie 2014
Cuprins Vulnerabilitățile sistemului financiar Determinații principali ai unor probleme majore Evenimente din trecut cu impact negativ major Cum să prevenim evenimentele cu impact sistemic Cum să răspundem la crize Cum să abordăm amenințările cibernetice Lecții învățate și nevoia creșterii robusteței sistemului financiar
Unde regăsim vulnerabilitățile sistemului? La nivel Micro: probleme interne, întreruperi ale serviciilor externalizate, lipsa segregărilor sau vechiul sistem de supraveghere bazată pe reguli La nivel Macro: o paradigmă eronată în judecarea riscurilor, complexitatea crescută care determină instabilitate. Metode/concepte greșite, algoritmi care determină căderi majore. Omogenitatea (toți derulează aceleași activități) care minimizează riscurile individuale, dar poate duce la căderi sistemice. Reglementare și supraveghere deficitară Regimul internațional Războiul/terorismul cibernetic, hack-tivism-ul, atacuri și criminalitate informatică
Ce poate determina o problemă organizațională? (1) Pierderea controlului datorită noilor tehnologii și a interconectărilor Căderile tehnologice care pot fi generate de măsuri improprii de păstrare a datelor care duc la pierderea informațiilor de business esențiale. Erori sau intruziuni (accidentale sau intenționate) în programele de management al informațiilor financiare. Localizarea centrelor de recuperare în caz de dezastru în locații necorespunzătoare (anumite evenimente pot afecta ambele locații), posibilele căderi ale companiile de outsourcing pentru centrele de date, sistemele esențiale, sau furnizorii telecom. Proceduri neactualizate, necorespunzătoare sau lipsa lor totală.
Ce poate determina o problemă majoră?(2) Faptele oamenilor prin incapacitatea gestionării complexității, sau cu intenție prin sabotaj intern sau atacuri directe în cadrul companiilor majoritatea atacurilor sistemelor de securitate sunt de acest tip. Amenințările cibernetice. Importante căderi ale infrastructurilor de comunicații prin atacuri distribuite de blocare a serviciilor (DDOS) sau ale acțiuni ostile (malicious) coordonate. Atacuri teroriste directe sau indirecte cauzând pierderi de active esențiale. Scurgeri de informații sensibile prin spionaj sau hacktivism Atacuri asupra sistemului energetic - pierderea infrastructurilor esențiale
Exemple de evenimente negative majore Căderi tehnologice: Nasdaq probleme de conectivitate (August 2013), Goldman Sachs (August 2013), Knight Capital Group (August 2012), May 6, 2010 Flash Crash Erori umane: Nasdaq (October 2013) întreruperea temporară a tranzacționării, acțiunile Premier Oil shares (1999) și Adway (2006) Rogue trading: London Whale (JPM, October 2013), Kweku Adoboli (UBS, 2011), Jerome Kerviel (SG, August 2008), Yasuo Hamanaka (Sumitomo Corporation, 1996), Nick Leeson (Barings, 1996) Modele eronate: LTCM (September 1998), JWM Partners (July 2009), Atacuri cibernetice: Citigroup (June 2011), Fidelity Investments, Scottrade, E*Trade, Charles Schwab (2010)
Cum să prevenim căderile care pot avea impact sistemic? La nivel Micro Un sistem financiar-bancar mai simplu O creștere a cerințelor C&L (Admati and Hellvig). Revenirea la reglementările Glass-Steagall și cele anti-trust Implementarea și impunerea de politici și proceduri de securitate corespunzătoare pentru entități și firmele de outsourcing creșterea nivelului de maturitate a acestora pe baza standardelor și a celor mai bune practici Dezvoltarea, implementarea și evaluarea periodică a analizelor de risc și a planurilor de continuitate a afacerii, dublate de scenarii de testare
Cum să prevenim căderile care pot avea impact sistemic? (2) La nivel de Sistem sau Macro: Sisteme mult mai simple Regândirea conectivităților, stabilirea unei noi paradigme de reglementare segregarea activităților de business (Glass Steagall, cerințele raportului Volcker) Reglementarea până la eliminare a produselor financiare sofisticate; Legislație antitrust (separare pentru a evita too big to fail ) La nivel Global: Este necesar un nou regim internațional de tip Breton Woods Noi politici și decizii instituționale în zona euro
Cum să răspundem la crize? La nivel Macro: asigurarea unei colaborări corespunzătoare între autoritățile publice pentru combaterea rapidă a efectelor căderilor SIFI prin toate mijloacele necesare, inclusiv acte normative de urgență Necesitatea definirii de mecanisme clare și credibile pentru bailing out, bailing-in, salvarea sau închiderea instituțiilor financiare Implementarea unui centru de management și răspuns la situații de criză (de tip CERT) pentru colectarea, analizarea și răspunsul la evenimente. Acest centru să fie interconectate în rețeaua națională și europeană de răspuns la crize. La nivel Micro: existența la nivel de entitate sau piață a unei echipe calificate de profesioniști pentru înțelegerea, prevenirea (cât e posibil) și remedierea vulnerabilităților. Această echipă să fie responsabilă pentru aplicarea planurilor de continuitate a afacerii și recuperare după dezastru.
Cum să abordăm amenințările cibernetice? Atacurile cibernetice pot fi ținute sub control, impactul lor să fie diminuat, dar nu pot fi eliminate. Reglementările, cele mai bune practici, schimbul de informații sunt esențiale, inclusiv crearea unui program național de protecție cibernetică / CERT (Computer Emergency Response Team). Izolarea serviciilor infrastructurilor esențiale pentru menținerea capacităților acestora, impunerea de reguli pentru asigurarea educării în domeniul securității a personalului cheie, definirea unui set minimal de cerințe de securitate pentru protecția zonelor sensibile (centre de date, noduri de comunicații, etc.), dezvoltarea de capacități pentru reducerea pierderilor și revenire la normal.
Amenințările cibernetice: o îngrijorare națională, sau numai la nivelul sistemului financiar? Ambele. Din acest motiv la nivel european sunt în pregătire sau finalizate două directive EU : i. Directiva pentru infrastructurile critice, unde instituțiile financiare sunt menționate alături de cele din energie, telecom/it și transport ii. Directiva aferentă securității informațiilor și a rețelelor De asemenea sunt realizate, la nivel internațional, mai multe teste de stres la atacuri cibernetice : US, UK, țările nordice. Alerte internaționale, studii și recomandări sunt realizate pentru a adresa acest subiect.
Cazuri celebre de atacuri cibernetice Aprilie 2007 Rețeaua guvernamentală a Estoniei a fost atacată din exterior prin metoda DDOS care a dus la blocarea accesării sistemelor naționale, ca urmare a unei dispute cu Rusia după îndepărtarea unui monument memorial. Serviciile guvernamentale și activitățile financiarbancare on-line au fost temporar întrerupte. Atacurile au fost mai mult o revoltă cibernetică, și nu atacuri de distrugere, estonienii putând reporni serviciile în câteva ore/zile. Octombrie 2012 Firma rusească Kaspersky a descoperit un atac generalizat, mondial, numit Octombrie Roșu, care opera încă din anul 2007. Atacatorii obțineau informații beneficiind de vulnerabilitățile programelor Microsoft. Țintele principale ale atacurilor păreau a fi țările din Europa de Est, fostele țări URSS și Asia Centrală, deși victime au fost și în Europa de Vest și SUA. Virusul colecta informații de la ambasade, firmele de cercetare, instalații militare și energetice, infrastructuri critice nucleare și financiare.
Cazuri celebre de atacuri cibernetice (2) Ianuarie 2009 Hackerii atacă infrastructura de Internet a Israelului în timpul ofensivei militare in Gaza. Atacul, direcționat pe obiectivele guvernamentale, a fost executat de pe cel puțin 5.000.000 de calculatoare din întreaga lume cărora li s-a luat controlul fără cunoștiința proprietarilor. Ianuarie 2011 Guvernul Canadian raportează un atac cibernetic major asupra agențiilor sale, inclusiv cele de cercetare în apărare. Atacul a forțat Departamentul de Finanțe și Trezorerie să se deconecteze de la Internet. Octombrie 2010 - Stuxnet, prima armă cibernetică, deosebit de complexă, proiectată să interfereze și să distrugă sistemele de control industrial produse de Siemens, a fost descoperită în Iran și Indonezia, atac corelat cu programul nuclear iranian.
Cazuri celebre de atacuri cibernetice (3) Martie 2013 Instituțiile financiare ale Coreei de Sud, cât și sistemul de transmisie TV, au fost atacate, în urma unei dispute cu Coreea de Nord. Iulie 2011 Într-un discurs al secretarului de stat american pentru apărare, prezentând strategia de apărare cibernetică, s-a menționat că unul din subcontractorii din domeniul apărării a fost atacat și 24.000 de fișiere cu informații secrete au fost sustrase.
Lecții pentru arhitectura financiară O nouă abordare este necesară pentru a revoluționa arhitectura sistemului: Noi reglementări și o supraveghere bazată pe riscuri, pentru prevenirea modului de funcționare anti-ciclic al reglementărilor, și un nou cadru de supraveghere pentru managementul complexității Utilizarea a noi modele de supraveghere care să ia în considerare multitudinea de legături și interconexiunile complexe Noua arhitectură a sistemului trebuie să limiteze potențialul de contagiune. Acest scop se poate atinge și prin centralizarea compensării și a tradingului contrapărți, diversificare și mai multă modularitate a sistemelor (pentru prevenirea contagiunii) Nu este problema unei singure țări. De aceea răspunsul pentru a preveni și a remedia trebuie să fie atât național cât și internațional, trebuie aplicate cele mai bune practici
Îmbunătățirea robusteței sistemului financiar De-compozabilitatea sistemului poate fi atinsă prin întoarcerea la un model de banking simplu, atenție crescută pe piețele locale, utilizarea stimulentelor din reglementări pentru promovarea diversității structurilor balanțelor contabile, a modelelor de business și a sistemului de management a riscurilor Modularizarea sistemului poate fi atinsă prin separarea instituțiilor financiare complexe în scopul reducerii căderilor în cascadă după o sincopă majoră și a reducerii contaminărilor potențial multiple Adaptarea regimului internațional