Credit rating agencies zijn net mensen. Ze produceren ratings zoals de bakker brood, dag in dag uit volgens vaste patronen en inzichten. Ook negeren ze, net als gewone mensen, risico’s. Totdat het echt niet meer kan. Zo hebben de agencies jaren lang diverse landen bestraft met lagere ratings en dus hogere rentes omdat ze de banken niet vrij genoeg lieten om aan iedereen geld uit te lenen.

Banken moesten marktaandeel kopen, zakenbank worden en ook nog dingen doen als verzekeraar – wat beloond werd met hoge ratings en dus goedkoop geld en hogere winsten. Dat leidde tot een samenklontering in de bankenwereld tot de onoverzichtelijke en onbestuurbare lappendekens die in 2009 omvielen. Ook werden overheden lager gewaardeerd omdat ze geld leenden buiten de internationale kapitaalmarkten om, bijvoorbeeld van de eigen pensioenfondsen, zoals in ons land ooit de gewoonte was. Bedrijven die onvoldoende schulden maakten en dus teveel eigen vermogen bezaten, werden negatief beoordeeld omdat dat een uiting zou zijn van onvoldoende ondernemend vermogen en omdat ze een aantrekkelijk doel werden voor de Leveraged Buy Out, de non plus ultra methode van de hedgefunds.

En dan vallen de schellen van de ogen en moet alles helemaal anders. De credit rating agencies maken een draai van 180 graden. Bedrijven moeten plotseling juist eigen kapitaal aanhouden en banken moeten vereenvoudigen. En iedereen moet deze nieuwe inzichten per direct volgen via de machtsregels van de financiële markten, ongeacht de krakende portemonnees van burgers, gevestigde rechtsbeginselen of lopende contracten.

Na de erkenning van een ontwikkeling en de draai rechtsomkeert schieten de agencies eerst een tijdje door, totdat het oordeel uiteindelijk tot normale proporties wordt teruggebracht.

De toekomst voorspellen kunnen de economen van deze agencies dus niet. Maar ze doen het wel, met als gevolg dat hun voorspellingen rond de eurocrisis net zo sterk uiteen lopen als de horoscopen van de Flair, de Telegraaf en Girls Magazine. De invloed van de rating agencies is echter wel iets groter dan ‘pas overmorgen op voor lange donkere vrouw’. Die invloed is zelfs bijzonder groot en wordt ook telkens maar groter, want de kant en klare binaire voorspellingen zijn de grondstof voor de computer trading systemen, en die zijn weer allesbepalend in de huidige economie. De agencies zijn bovendien feitelijk bij wet boven onze regeringen gesteld, zodat de credit rating van een land inmiddels belangrijker is dan de stembusuitslag.

Er is geen weg terug. Maar er is wel een weg vooruit. De credit rating agencies gebruiken steeds geavanceerdere modellen met steeds meer factoren om nauwkeuriger uitkomsten te hebben. En wie weet; de overgang naar fuzzy logic en de doorgaande groei van het rekenvermogen maken ongekende zaken mogelijk. Maar makkelijk is het niet. Vertaalcomputers moeten een veel eenvoudiger taak uitvoeren – het omzetten van één taal in een andere is vele malen simpeler dan het voorspellen van de wereldeconomie. Na meer dan veertig jaar van grote inspanning begint de vertaalmaterie eindelijk enigszins duidelijk te worden. Het verbeteren van de voorspellingslogica van de rating algoritmes is dan ook een hele lange weg met ongetwijfeld hard vallen en moeizaam weer opstaan. Heel veel vallen. Maar het is de enige weg.

Mocht je nog denken dat we na de huidige crisis een tijdje rust krijgen om bij te komen, dan moet ik je teleurstellen: ons economisch model is manisch depressief met trekken van borderline. Paniek zit ingebakken in dit systeem, omdat het gebaseerd is op een maakbaarheidsgeloof van de economie waar de Sovjets liberaal bij afsteken. En dat allemaal door een onwrikbaar geloof in wat computers vermogen: de wereld wordt bestuurd door rekenmodellen.

In de Cyber Warfare scenario’s wordt daarom voorzichtig onderzocht hoe digitale oorlog ooit de computerbesturing van onze wereld kan raken, via de systemen van de credit rating agencies. Voorwaar een beangstigende gedachte.

We maken op dit moment een omslag door van ICT security naar Cyber security: de digitale weerbaarheid van landen en organisaties staat inmiddels ruimschoots in de schijnwerpers, getuige de dagelijkse nieuwsitems. En, dat moet gezegd, daar is ook wel aanleiding toe – voor een deel van de criminaliteit is of wordt ‘cyber’ de belangrijkste dimensie. De buit van cybercrime lijkt nog nergens naar – de totale wereldwijde opbrengst van digitale bankenfraude komt overeen met ongeveer twee geldwagenovervallen. Niet te vergelijken dus met de kosten van simpele interne besturingsfouten als de London Whale van JP Morgan, Nick Leeson van Barings Bank of Jerome Kerviel van de Société Générale. Maar, het is een feit, de opgaande trend is onmiskenbaar.

Het is een kwestie van tijd voordat de gevoeligheid van een land of een bedrijf voor cyber incidenten mee gaat tellen in de credit rating. En zo dus een daadwerkelijke factor wordt in de bedrijfsvoering of de regering. Deze relatie wordt overigens al jaren geclaimd door de adepten van ISO-normering. Maar een tegeltje in de receptie van een hoofdkantoor en een logo op de website is nog iets anders dan een positieve waardering van Moody’s. Toch hebben de tegeltjes wel gelijk, de relatie is terecht. Als cyber security zo belangrijk is, dan geldt dat ook de financiële kant van de zaak. Rating Agencies rekenen in risico’s, dus de link is er gewoon ook echt.

Deze ontwikkeling is uitermate interessant voor ons vakgebied. Ongetwijfeld zal het soortelijk gewicht van Cyber security in eerste instantie doorschieten, net als rond 2000 de verwachtingen van wat internet vermocht de boel nogal uit balans trokken. Ik geef het alvast maar een naam: de Security Bubble. Gouden tijden voor alle security toko’s, en dan in eerste instantie voor de stropdassenvariant die zich bezighoudt met compliance. Dat gaat een tijdje goed, tot de rating agencies er na een paar grote incidenten – en dus met een beetje geluk pas na een jaar of tien - achter komen dat je met papieren exercities en colonnes managers geen gaten kunt dichten in de beveiliging van computers. Dit inzicht is het afgelopen jaar al doorgedrongen tot de cyber warfare wereld, waar de cyber warrior tot het hoogste goed is uitgeroepen. Cyber warriors: pure techneuten. Hun marktwaarde is het afgelopen jaar in de Verenigde Staten dan ook al scherp gestegen. Er komt al wat lucht in de ballon.

Iedere IT-er die iets met Security doet of wil doen kan hiermee zijn voordeel doen als hij in staat wil blijven de rekeningen te betalen – ga iets doen met security management, zoals grossieren in dashboards, matrices, best practices en allerhande hoge abstracties rond het woord cyber. Als deze benadering dan uiteindelijk bij de toekomstvoorspellers van de rating agencies door de mand is gevallen volgt de eerste Security Bust. Dan moet je je in de technologie verdiepen en je stropdas in de prullenbak gooien. Er komt immers nog die tweede cyclus met een tweede Security Bubble en ook daar kun je bij zijn.

Als ik een beleggingsadvies zou mogen geven, bijvoorbeeld om je verdampte pensioen te compenseren: koop eerst aandelen in security stropdassen. Laat je niet beïnvloeden door je eigen vakkennis die zegt dat het double-zero’s, n00bs en prutsers zijn. Deze gebakken-lucht-profeten gaan een goudgerande tijd tegemoet. Niet over zeuren: profiteer ervan. Maar blijf bij de les, want zodra ze door de mand vallen – en dat gebeurt vanzelf – moet je je aandelen kwijt zijn. Ruil ze op tijd in voor security slobbertruien.

Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Laatste 10 columns