Το χάος που“πάγωσε” τα ψηφιακά συστήματα σε όλο τον κόσμο την περασμένη Παρασκευή είναι ακριβώς το είδος της κρίσης για το οποίο οι χρηματοπιστωτικές ρυθμιστικές αρχές ανησυχούν τα τελευταία χρόνια. Το χειρότερο είναι ότι οι εποπτικές αρχές των αμερικανικών τραπεζών επέκριναν πρόσφατα σε εκθέσεις τους τις κορυφαίες τράπεζες για κακή διαχείριση τέτοιων λειτουργικών κινδύνων. Όλα μαζί αποτελούν μια προειδοποίηση για τους κινδύνους που ελλοχεύουν από λίγους κυρίαρχους τρίτους που παρέχουν κρίσιμες υπηρεσίες στον κλάδο.
Ένα μικροσκοπικό κατεστραμμένο αρχείο σε μια ενημερωμένη έκδοση λογισμικού ασφαλείας από την CrowdStrike προκάλεσε πολύωρες διακοπές λειτουργίας σε τράπεζες, διαχειριστές κεφαλαίων και χρηματιστήρια, συμπεριλαμβανομένων προβλημάτων στις Bank of America και JPMorgan Chase & Co., μεταξύ άλλων. Το πρόβλημα δεν ήταν μεμονωμένο: μόλις την προηγούμενη ημέρα, το δίκτυο πληρωμών υψηλής αξίας του Ηνωμένου Βασιλείου “πάγωσε” εν μέσω ενός ξεχωριστού προβλήματος, καθυστερώντας τις αγορές κατοικιών και άλλες συναλλαγές.
Ευτυχώς, σε σύγκριση με τις αεροπορικές εταιρείες που έπρεπε να ακυρώσουν πτήσεις λόγω των προβλημάτων της CrowdStrike, οι περισσότερες αγορές και τα συστήματα πληρωμών εξακολουθούσαν να λειτουργούν, ακόμη καιαν μεμονωμένες τράπεζες αντιμετώπιζαν προβλήματα στα ΑΤΜ ή στα γραφεία συναλλαγών. Ωστόσο, η διακοπή λειτουργίας ήταν μια έντονη υπενθύμιση ότι ο τραπεζικός κλάδος και οι εποπτικές αρχές τους πρέπει να κάνουν περισσότερα για να μετριάσουν τέτοια πιθανά προβλήματα.
Μια ανησυχία είναι ότι ακόμη και ορισμένες από τις μεγαλύτερες τράπεζες δεν είναι ενήμερες για αυτούς τους κινδύνους με τον τρόπο που θα έπρεπε. Στις ΗΠΑ, το Office of the Comptroller of the Currency (OCC), το οποίο εποπτεύει όλες τις εθνικές τράπεζες και τα υποκαταστήματα ξένων τραπεζών, διαπίστωσε ότι οι μισές από τις 22 μεγαλύτερες τράπεζες που εποπτεύει έχουν ανεπαρκή κατανόηση του λειτουργικού κινδύνου, σύμφωνα με έρευνα του Bloomberg News. Επιτυχημένες επιθέσεις στον κυβερνοχώρο ή σημαντικά προβλήματα σε έναν ή περισσότερους από τους κορυφαίους παρόχους υπολογιστικού νέφους θα μπορούσαν να κάνουν τις τράπεζες με αδύναμη διαχείριση κινδύνου να δυσκολεύονται να προσφέρουν τις βασικές λειτουργίες. 
Σφάλματα υπολογιστών, σφάλματα συναλλαγών και απάτες οδηγούν σε ζημιές
Μέρος της εστίασης είναι ο καλύτερος τρόπος μέτρησης της κλίμακας των ζημιών που θα μπορούσε να αντιμετωπίσει κάθε μεμονωμένη τράπεζα, κάτι που στις ΗΠΑ έχει γίνει ένας σημαντικός αγώνας στον πυρήνα των προσπαθειών των ρυθμιστικών αρχών για την επικαιροποίηση των κεφαλαιακών κανόνων στο πλαίσιο του λεγόμενου ρυθμιστικού πλαισίου της Βασιλείας 3. Χωρίς καλύτερη κατανόηση και έλεγχο των κινδύνων, οι ρυθμιστικές αρχές θα πρέπει να προτιμούν περισσότερο κεφάλαιο παρά λιγότερο.
Υπάρχει, ωστόσο, ένα μεγαλύτερο και απλούστερο πρόβλημα για το οποίο οι εποπτικές αρχές ανησυχούν όλο και περισσότερο: Η υπερβολική εξάρτηση των τραπεζών και των αγορών από έναν περιορισμένο αριθμό τρίτων μερών για πράγματα όπως οι υπηρεσίες υπολογιστικού νέφους, το λογισμικό και τα εργαλεία μοντελοποίησης κινδύνου. Το Ηνωμένο Βασίλειο, για παράδειγμα, διαπίστωσε ότι το 65% των βρετανικών χρηματοπιστωτικών επιχειρήσεων χρησιμοποιούσαν τους ίδιους τέσσερις παρόχους cloud. Και νωρίτερα φέτος, το Διεθνές Νομισματικό Ταμείο αφιέρωσε ένα κεφάλαιο της ετήσιας έκθεσής του για τη χρηματοπιστωτική σταθερότητα στους κινδύνους στον κυβερνοχώρο, σημειώνοντας ότι οι μεγαλύτερες συστημικά σημαντικές τράπεζες του κόσμου εξαρτώνται όλο και περισσότερο από κοινούς παρόχους τεχνολογίας πληροφοριών. Το ΔΝΤ διαπίστωσε μεγαλύτερη επικάλυψη στη χρήση των ίδιων προϊόντων και υπηρεσιών πληροφορικής από τις μεγάλες τράπεζες απ’ ό,τι συνέβαινε στις ασφαλιστικές εταιρείες ή στους διαχειριστές περιουσιακών στοιχείων.
Οι ρυθμιστικές αρχές έχουν διερευνήσει το ενδεχόμενο να χαρακτηρίσουν ως συστημικά σημαντικούς ορισμένους πολύ μεγάλους παρόχους μη χρηματοπιστωτικών υπηρεσιών, γεγονός που θα οδηγούσε σε στενότερη παρακολούθηση των δραστηριοτήτων τους και ενδεχομένως θα ωθούσε τις τράπεζες να διαφοροποιήσουν τις εταιρείες που χρησιμοποιούν. Η Ευρωπαϊκή Κεντρική Τράπεζα εξετάζει τις τράπεζες σχετικά με το θέμα αυτό εδώ και αρκετό καιρό, εν μέρει επειδή η περιοχή δεν διαθέτει μεγάλες εγχώριες εταιρείες cloud computing, με αποτέλεσμα να έχει λιγότερη εποπτεία.
Οι τράπεζες έχουν υπερασπιστεί τους μεγάλους παρόχους cloud, όπως η Microsoft, η Alphabet και η Amazon.com, επισημαίνοντας ότι διαθέτουν πολλά διαφορετικά κέντρα δεδομένων διάσπαρτα σε όλο τον κόσμο. Αυτό θα πρέπει να καθιστά εξαιρετικά απίθανο να καταστραφούν όλα ταυτόχρονα από μια φυσική καταστροφή, απώλεια ενέργειας ή επίθεση στον κυβερνοχώρο. Ωστόσο, η καταστροφική αναβάθμιση λογισμικού της Παρασκευής ανέδειξε την αδυναμία αυτού του επιχειρήματος.
Για να είμαστε δίκαιοι, η ταχύτητα με την οποία ο χρηματοπιστωτικός κλάδος προσαρμόστηκε στις ανάγκες του κορονοϊού για την τηλεργασία δείχνει ότι το σύστημα μπορεί να γίνει περισσότερο ανθεκτικό όταν αυτό είναι απαραίτητο. Όμως η τάση λίγων κυρίαρχων προμηθευτών πληροφορικής που παρέχουν ταυτόχρονα όλο και πιο εξελιγμένες υπηρεσίες σε πολλές από τις μεγαλύτερες τράπεζες του κόσμου εδραιώνεται όλο και περισσότερο. Μια μεγαλύτερη καταστροφή θα μπορούσε εύκολα να βρίσκεται στον ορίζοντα.
Απόδοση – Επιμέλεια: Στάθης Κετιτιζάν
BloombergOpinion
Πηγή: philenews.com
