De zwitserse kaasbank

De bancaire sector wordt geplaagd door de ene na
de andere storing.  Internet storingen bij
verschillende grootbanken. Dan weer een
transactierun die niet goed inlas, die niet goed
hersteld werd met nog een Internet storing tot
gevolg door een legitieme DDoS aanval van klanten
die hun saldi massaal wilden checken.

Meestal zijn dit soort massale disrupties het
gevolg van een stapeling van soms kleine issues,
die bij elkaar zorgen voor het omvallen van een
proces.  In de hoek van de veiligheidsindustrie
spreekt men wel van het swiss cheese model.
Meestal zijn er meerdere invloedsferen die leiden
tot problemen.  In al die invloedsferen zitten
gaten, maar als je verschillende plakjes kaas over
elkaar heen legt dan dicht elke laag wel een gat
en zo wordt alles veiliger.  Soms valt er toch
iets doorheen ondanks alle plakjes omdat gaten
samenvallen.

Zo zijn er organisatorische invloeden, zoals een
reorganisatie, massa ontslag, de verkeerde
accenten binnen de bedrijfscultuur.  Bij
reorganisaties is niet ondenkbaar dat er dan gaten
vallen omdat de beste mensen vaak het eerst gaan.

Een andere invloedsfeer is unsafe supervision.
Vertaald naar de bancaire sector gaat het dan om
het management dat niet op de juiste manier
toeziet op de bedrijfskritische processen.
Toegespitst op deze sector is er een exodus van
IT-bouw en beheer naar lagelonenlanden geweest.
Is er wel het juiste toezicht gehouden op wat men
daar met de systemen heeft gedaan?  Om dat echt in
het snotje te krijgen is heel scherp toezicht
nodig.  Naar mijn weten wordt dat niet regulier
toegepast maar er zijn banken bezig om hier
invulling aan te geven.  Door deze invloedsfeer
kunnen ook gaten ontstaan.

Dan zijn er de ``preconditions for unsafe acts''.
We weten dat operators/gebruikers fouten maken.
Daarom is het van belang om systemen zo te
ontwerpen dat je onfortuinlijke fouten helemaal
niet kunt maken.  Een transactierun tweemaal
uitvoeren mag niet mogelijk zijn tenzij een
aantoonbaar volledige roll-back heeft
plaatsgevonden.  Of een herstelscript toetst of de
transactie al is uitgevoerd.  Dit kun je
bewerkstellingen door unieke (random) getallen aan
transacties te verbinden.  Onvoldoende
voorzorgsmaatregelen leiden tot gaten, maar alles
dichtkrijgen doe je ook niet.  Hoeft ook niet als
je met meer plakjes kaas werkt.

Tenslotte is er nog de ``unsafe act'' zelve.  Vrij
vertaald: het maken van de fout.  Denk hier
bijvoorbeeld aan degene die in plaats van 1
aandeel voor 600000 yen dacht te verkopen, het
omgekeerde deed: 600000 aandelen voor 1 yen.  De
schade een paar honderd miljoen Euro.  Dit heet
het fat-finger syndrome: de trader tikte verkeerde
zaken in op de computer.  We weten echter dat
mensen fouten maken, dus ik spreek liever van het
thin-design syndrome.  Door een gedegen ontwerp is
deze fatale fout namelijk 100% te voorkomen.  Voor
dit geval: inputvalidatie.  Bestaan er wel zoveel
aandelen van dat bedrijf: neen.  Heeft de trader
wel zoveel aandelen in bezit: neen.  Is de prijs
ook maar enigszins realistisch: neen.  Dus:
transactie weigeren.  Maar nee: dit bedrijf kon
veertig keer verkocht worden met de enorme schade
tot gevolg.

Bancaire systemen groeien over de tijd, zeker de
transactiesystemen.  Dus er is geen sprake van een
vooropgezet ontwerp waar expliciet rekening is
gehouden met principes zoals het swiss cheese
model.  Of het uitvoeren van een FMECA: Failure
mode, effects & criticality analysis.  Of een vorm
van RAMS analyse, in dit geval wellicht een
Reliability, Availability, Maintainability,
Security analyse.

We moeten dus accepteren dat transactiesystemen
over het algemeen zonder dit soort overdenkingen
tot stand zijn gekomen.  Dat is een risico want
het kan zijn dat over bepaalde situaties
onvoldoende en expliciet is nagedacht, checklists
niet zijn afgelopen, en best practices onvoldoende
ingevuld.

Er is dus een inhaalslag te maken, en ik pleit
ervoor dat de sector dit entameert.  Ik pleit ook
voor een niet vrijblijvende aanpak waarbij
toezichthouders een controlerende rol nemen.
Incidentenpolitiek is hier niet de oplossing, dan
rennen we van het ene naar de andere operationele
debacle.

Overigens is de combinatie van kaas en bank niet
ver gezocht:  Credito Emiliano is een lokale bank
die Parmezaanse kaas accepteert als onderpand voor
leningen.  Doe mij maar de zwitserse kaasbank.

X

Meer weten over de wondere wereld van ICT
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef

Prof. dr Chris Verhoef is hoogleraar informatica
aan de Vrije Universiteit in Amsterdam en
wetenschappelijk adviseur voor overheid en
bedrijfsleven.  Hij schrijft regelmatig een
column in de AG.  Hij is te bereiken via email:
x@cs.vu.nl.  Deze tekst is copyright SDU.  Niets
van deze uitgave mag zonder schriftelijke
toestemming van de uitgever worden overgenomen of
worden gepubliceerd.