Declinul robusteei i a

rezilienei (R&R)
Ce avem de fcut?
Daniel Daianu
Conferina de Risc Management, Bucureti
Palatul Parlamentului, 12 Martie 2014

Cuprins

Vulnerabilitile sistemului financiar

Determinaii principali ai unor probleme majore
Evenimente din trecut cu impact negativ major
Cum s prevenim evenimentele cu impact sistemic
Cum s rspundem la crize
Cum s abordm ameninrile cibernetice
Lecii nvate i nevoia creterii robusteei sistemului
financiar

Unde regsim vulnerabilitile

sistemului ?
La nivel Micro: probleme interne, ntreruperi ale serviciilor
externalizate, lipsa segregrilor sau vechiul sistem de
supraveghere bazat pe reguli
La nivel Macro: o paradigm eronat n judecarea riscurilor,
complexitatea crescut care determin instabilitate.
Metode/concepte greite, algoritmi care determin cderi
majore. Omogenitatea (toi deruleaz aceleai activiti) care
minimizeaz riscurile individuale, dar poate duce la cderi
sistemice. Reglementare i supraveghere deficitar
Regimul internaional
Rzboiul/terorismul cibernetic, hack-tivism-ul, atacuri i
criminalitate informatic

Ce poate determina o problem

organizaional? (1)

Pierderea controlului datorit noilor tehnologii i a

interconectrilor
Cderile tehnologice care pot fi generate de msuri improprii
de pstrare a datelor care duc la pierderea informaiilor de
business eseniale. Erori sau intruziuni (accidentale sau
intenionate) n programele de management al informaiilor
financiare. Localizarea centrelor de recuperare n caz de
dezastru n locaii necorespunztoare (anumite evenimente
pot afecta ambele locaii), posibilele cderi ale companiile de
outsourcing pentru centrele de date, sistemele eseniale, sau
furnizorii telecom.
Proceduri neactualizate, necorespunztoare sau lipsa lor
total.

Ce poate determina o problem

major?(2)
Faptele oamenilor prin incapacitatea gestionrii
complexitii, sau cu intenie prin sabotaj intern sau atacuri
directe n cadrul companiilor majoritatea atacurilor
sistemelor de securitate sunt de acest tip.
Ameninrile cibernetice. Importante cderi ale
infrastructurilor de comunicaii prin atacuri distribuite de
blocare a serviciilor (DDOS) sau ale aciuni ostile (malicious)
coordonate. Atacuri teroriste directe sau indirecte cauznd
pierderi de active eseniale.
Scurgeri de informaii sensibile prin spionaj sau hacktivism
Atacuri asupra sistemului energetic - pierderea
infrastructurilor eseniale

Exemple de evenimente negative majore

Cderi tehnologice: Nasdaq probleme de conectivitate (August 2013),
Goldman Sachs (August 2013), Knight Capital Group (August 2012), May
6, 2010 Flash Crash
Erori umane: Nasdaq (October 2013) ntreruperea temporar a

tranzacionrii, aciunile Premier Oil shares (1999) i Adway (2006)

Rogue trading: London Whale (JPM, October 2013), Kweku Adoboli
(UBS, 2011), Jerome Kerviel (SG, August 2008), Yasuo Hamanaka
(Sumitomo Corporation, 1996), Nick Leeson (Barings, 1996)
Modele eronate: LTCM (September 1998), JWM Partners (July 2009),

Atacuri cibernetice: Citigroup (June 2011), Fidelity Investments,

Scottrade, E*Trade, Charles Schwab (2010)

Cum s prevenim cderile care pot

avea impact sistemic?
La nivel Micro
Un sistem financiar-bancar mai simplu
O cretere a cerinelor C&L (Admati and Hellvig).
Revenirea la reglementrile Glass-Steagall i cele anti-trust
Implementarea i impunerea de politici i proceduri de securitate
corespunztoare pentru entiti i firmele de outsourcing creterea
nivelului de maturitate a acestora pe baza standardelor i a celor mai bune
practici
Dezvoltarea, implementarea i evaluarea periodic a analizelor de risc i a
planurilor de continuitate a afacerii, dublate de scenarii de testare

Cum s prevenim cderile care pot

avea impact sistemic? (2)
La nivel de Sistem sau Macro:
Sisteme mult mai simple
Regndirea conectivitilor, stabilirea unei noi paradigme de
reglementare segregarea activitilor de business (Glass Steagall,
cerinele raportului Volcker)
Reglementarea pn la eliminare a produselor financiare sofisticate;
Legislaie antitrust (separare pentru a evita too big to fail)
La nivel Global:
Este necesar un nou regim internaional de tip Breton Woods
Noi politici i decizii instituionale n zona euro

Cum s rspundem la crize?

La nivel Macro:
asigurarea unei colaborri corespunztoare ntre autoritile publice
pentru combaterea rapid a efectelor cderilor SIFI prin toate mijloacele
necesare, inclusiv acte normative de urgen
Necesitatea definirii de mecanisme clare i credibile pentru bailingout,
bailing-in, salvarea sau nchiderea instituiilor financiare
Implementarea unui centru de management i rspuns la situaii de criz
(de tip CERT) pentru colectarea, analizarea i rspunsul la evenimente.
Acest centru s fie interconectate n reeaua naional i european de
rspuns la crize.
La nivel Micro:
existena la nivel de entitate sau pia a unei echipe calificate de
profesioniti pentru nelegerea, prevenirea (ct e posibil) i remedierea
vulnerabilitilor. Aceast echip s fie responsabil pentru aplicarea
planurilor de continuitate a afacerii i recuperare dup dezastru.

Cum s abordm ameninrile

cibernetice?
Atacurile cibernetice pot fi inute sub control, impactul
lor s fie diminuat, dar nu pot fi eliminate.
Reglementrile, cele mai bune practici, schimbul de
informaii sunt eseniale, inclusiv crearea unui program
naional de protecie cibernetic / CERT (Computer
Emergency Response Team).
Izolarea serviciilor infrastructurilor eseniale pentru
meninerea capacitilor acestora, impunerea de reguli
pentru asigurarea educrii n domeniul securitii a
personalului cheie, definirea unui set minimal de cerine
de securitate pentru protecia zonelor sensibile (centre de
date, noduri de comunicaii, etc.), dezvoltarea de
capaciti pentru reducerea pierderilor i revenire la
normal.

Ameninrile cibernetice: o ngrijorare

naional, sau numai la nivelul
sistemului financiar?
Ambele. Din acest motiv la nivel european sunt n pregtire
sau finalizate dou directive EU :
i. Directiva pentru infrastructurile critice, unde
instituiile financiare sunt menionate alturi de cele
din energie, telecom/IT i transport
ii. Directiva aferent securitii informaiilor i a reelelor
De asemenea sunt realizate, la nivel internaional, mai multe
teste de stres la atacuri cibernetice : US, UK, rile nordice.
Alerte internaionale, studii i recomandri sunt realizate
pentru a adresa acest subiect.

Cazuri celebre de atacuri

cibernetice

Aprilie 2007 Reeaua guvernamental a Estoniei a fost atacat din

exterior prin metoda DDOS care a dus la blocarea accesrii sistemelor
naionale, ca urmare a unei dispute cu Rusia dup ndeprtarea unui
monument memorial. Serviciile guvernamentale i activitile financiarbancare on-line au fost temporar ntrerupte. Atacurile au fost mai mult o
revolt cibernetic, i nu atacuri de distrugere, estonienii putnd reporni
serviciile n cteva ore/zile.
Octombrie 2012 Firma ruseasc Kaspersky a descoperit un atac
generalizat, mondial, numit Octombrie Rou, care opera nc din anul
2007. Atacatorii obineau informaii beneficiind de vulnerabilitile
programelor Microsoft. intele principale ale atacurilor preau a fi rile
din Europa de Est, fostele ri URSS i Asia Central, dei victime au fost i
n Europa de Vest i SUA. Virusul colecta informaii de la ambasade,
firmele de cercetare, instalaii militare i energetice, infrastructuri critice
nucleare i financiare.

Cazuri celebre de atacuri

cibernetice (2)
Ianuarie 2009 Hackerii atac infrastructura de Internet a Israelului n
timpul ofensivei militare in Gaza. Atacul, direcionat pe obiectivele
guvernamentale, a fost executat de pe cel puin 5.000.000 de calculatoare
din ntreaga lume crora li s-a luat controlul fr cunotiina proprietarilor.
Ianuarie 2011 Guvernul Canadian raporteaz un atac cibernetic major
asupra ageniilor sale, inclusiv cele de cercetare n aprare. Atacul a forat
Departamentul de Finane i Trezorerie s se deconecteze de la Internet.
Octombrie 2010 - Stuxnet, prima arm cibernetic, deosebit de complex,
proiectat s interfereze i s distrug sistemele de control industrial
produse de Siemens, a fost descoperit n Iran i Indonezia, atac corelat cu
programul nuclear iranian.

Cazuri celebre de atacuri

cibernetice (3)
Martie 2013 Instituiile financiare ale Coreei de Sud, ct i sistemul de
transmisie TV, au fost atacate, n urma unei dispute cu Coreea de Nord.

Iulie 2011 ntr-un discurs al secretarului de stat american pentru

aprare, prezentnd strategia de aprare cibernetic, s-a menionat c
unul din subcontractorii din domeniul aprrii a fost atacat i 24.000 de
fiiere cu informaii secrete au fost sustrase.

Lecii pentru arhitectura financiar

O nou abordare este necesar pentru a revoluiona arhitectura sistemului:
Noi reglementri i o supraveghere bazat pe riscuri, pentru prevenirea
modului de funcionare anti-ciclic al reglementrilor, i un nou cadru de
supraveghere pentru managementul complexitii
Utilizarea a noi modele de supraveghere care s ia n considerare
multitudinea de legturi i interconexiunile complexe
Noua arhitectur a sistemului trebuie s limiteze potenialul de
contagiune. Acest scop se poate atinge i prin centralizarea compensrii i
a tradingului contrapri, diversificare i mai mult modularitate a
sistemelor (pentru prevenirea contagiunii)
Nu este problema unei singure ri. De aceea rspunsul pentru a preveni i
a remedia trebuie s fie att naional ct i internaional, trebuie aplicate
cele mai bune practici

mbuntirea robusteei
sistemului financiar
De-compozabilitatea sistemului poate fi atins prin
ntoarcerea la un model de banking simplu, atenie crescut
pe pieele locale, utilizarea stimulentelor din reglementri
pentru promovarea diversitii structurilor balanelor
contabile, a modelelor de business i a sistemului de
management a riscurilor
Modularizarea sistemului poate fi atins prin separarea
instituiilor financiare complexe n scopul reducerii cderilor
n cascad dup o sincop major i a reducerii contaminrilor
potenial multiple
Adaptarea regimului internaional