Falende beurzen piepelen toezichthouder

De NASDAQ was op 22 augustug 2013 uren down door
software problemen.  Nog geen maand ervoor had een
groep van 17 amerikaanse beurzen, waaronder NASDAQ
zelf, een zeer gedetailleerd commentaar gestuurd
aan de toezichthouder (de Security Exchange
Committee) als reactie op een verscherping van de
regels omtrent het vlekkeloos functioneren van de
IT-systemen.

De SEC stelt regelgeving voor om compliance en
integriteit te verbeteren waarbij voldoende niveau
van capaciteit, integriteit, veerkracht,
beschikbaarheid, en beveiliging nodig is om het
werk aan te kunnen en bovendien te zorgen voor
eerlijke en ordelijke markten die werken zoals
bedoeld.  De waakhond eist meer: scheduled
testing, disaster recovery, backup systemen, en
coordinatie van ketentests.  Ook te voren aangeven
van wezenlijke veranderingen, etc.  Kortom: een
hele goede stap in de richting van gereguleerde
automatisering van de financiele markten.

Natuurlijk zijn de 17 beurzen het helemaal met de
SEC eens.  Alleen zijn er zorgen over veel van de
definities van de toezichthouder.  De beurzen
steggelen over precieze definities en beginnen
weer bij Adam en Eva nog voor de zondeval.  Dit om
de vaart er goed in te houden, dat spreekt.

De eerste maar betreft een negental industrie
standaarden waar de beurzen aan moeten voldoen.
Onder andere standaarden van het National
Institute of Standards and Technology, zeg maar de
NEN van de VS.  Denk aan de nieuwste versie van de
NIST code voor informatiebeveiling en
privacybescherming.

Liever zien de beurzen dat het snor zit als
je voldoet aan ``generally accepted standards''.
Ah, dus kennelijk zijn de lokale NEN-normen dat
niet bij de beurzen.  Kortom, men poogt harde
industrienormen van tafel te vegen ten faveure van
wat nu gemiddeld genomen de praktijk is.  Maar die
is nu juist niet goed, zoals de disrupties een en
andermaal aantonen.

En verder komt het 17-tal met een hele batterij
aan beperkingen om zoveel mogelijk uit te sluiten
van regelgeving.  Systemen, uitval, inbraken: zo
min mogelijk, zo weinig mogelijk, zo beperkt
mogelijk.

De club van 17 vraagt voorts naar de bekende weg:
definieer precies wat een wezenlijke verandering
is.  Precieze grenswaarden wanneer je nu precies
moet rapporteren.  Wanneer en hoe personeel
zich nu precies bewust wordt van een system
compliance of integriteits issue?  Men kan zich
niets concreets bij die bewustwording voorstellen.
Kan de toezichthouder dat niet heel precies
formuleren?  Kunnen we daarna weer over die
definities gaan bakkeleien!

Men stelt zich grotendeels als ontwetende op: we
hebben geen idee, hoe dat verplichte testen dan
gaat.  We hebben daar echt meer sturing en
discussie met jullie voor nodig.  Men draait de
rollen om: de toezichthouder moet alwetend zijn en
pas daarna volgen we natuurlijk de bevelen slaafs
op.  Als het dan mis gaat, weten we aan wie het
ligt.

Er zitten ook terechte punten in de reactie: testen
in productie is geen goed idee, en verplichte
online toegang vanuit de toezichthouder ook niet.
Maar die punten vallen in het niet door de stroom
aan spijkers op laag water.  Die zaken zijn
overigens allemaal oplosbaar.

Bij de recente disruptie van de NASDAQ faalde het
backup systeem.  En een data flood zou ook een rol
spelen.  In reactie op de SEC regels jammeren de
beurzen  over de veel te brede definitie van
system disruption.  De SEC laat daar namelijk ook
onder vallen: ``a queuing of data between system
components or queuing of messages to or from
customers of such duration that normal service
delivery is affected''.  Men beargumenteert dat
ook, het is namelijk meer dan eens een sterk
signaal dat er een probleem aankomt dat voor
uitval gaat zorgen.  Pakt men aan het eind van de
queue de berichten wel op?  Zijn er niet teveel
tegelijk?  Kan het systeem deze flood wel aan?

De 17 beurzen wijzen deze brede definitie af:
queuing is normaal: dat zie je altijd tussen
systemen.  Toch had de SEC gelijk want het was
juist een queue die niet verwerkt kon worden die
tot de flash freeze leidde.

We kunnen blijven kissebissen over definities,
normenkaders, alles precies uitschrijven, en nog
tien rondjes polderen.  Liever zie ik dat de
beurswaakhond eens flink zijn tanden in beurs
systemen zet.

X

Meer weten over de wondere wereld van ICT
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef

Prof. dr Chris Verhoef is hoogleraar informatica
aan de Vrije Universiteit in Amsterdam en
wetenschappelijk adviseur voor overheid en
bedrijfsleven.  Hij schrijft regelmatig een
column in de AG.  Hij is te bereiken via email:
x@cs.vu.nl.  Deze tekst is copyright SDU.  Niets
van deze uitgave mag zonder schriftelijke
toestemming van de uitgever worden overgenomen of
worden gepubliceerd.