Haos koji je u petak zamrznuo digitalne sistem širom svijeta upravo je ona vrsta krize zbog koje finansijski regulatori strepe posljednjih godina. Što je još gore, supervizori američkih banaka nedavno su kritizirali vodeće zajmodavce zbog lošeg upravljanja takvim operativnim rizicima u privatnim izvještajima. Zajedno su signal za uzbunu o opasnostima nekoliko dominantnih trećih strana koje pružaju kritične usluge industriji.
Jedna sićušna oštećena datoteka u ažuriranju sigurnosnog softvera kompanije CrowdStrike Holdings Inc. uzrokovala je sate prekida rada banaka, upravitelja novca i berzi, uključujući probleme u Bank of America Corp. i JPMorgan Chase & Co., između ostalih. Smetnja nije bila jedinstvena: samo dan prije, britanska mreža za plaćanja visoke vrijednosti zaustavila se zbog zasebnog problema s obradom, zaustavljajući kupovine kuća i druge transakcije.
Nizak nivo zaštite
Srećom, u poređenju s aviokompanijama koje su morale otkazati letove zbog problema s CrowdStrikeom, većina tržišta i sistema plaćanja i dalje funkcionira, čak i ako su se pojedinačne banke suočile s kvarovima na bankomatima ili šalterima za trgovanje. No prekid je i dalje oštar podsjetnik da bankarska industrija i njeni nadzornici moraju učiniti više kako bi ublažili takve potencijalne katastrofe.
Jedna od briga je da čak ni neke od najvećih banaka nisu na nivou zaštite od ovih rizika na način na koji bi trebale biti. U SAD-u, Ured nadzornika valute (OCC), koji nadzire sve nacionalne banke, savezne štedionice i podružnice stranih banaka, otkrio je da polovica od 22 najveće banke koje nadzire slabo razumije operativni rizik, prema izvještaju Bloomberg Newsa. Uspješni kibernetički napadi ili veliki problemi kod jednog ili više vodećih pružatelja usluga računarstva u oblaku mogli bi ostaviti zajmodavce sa slabim upravljanjem rizikom koji se bore za održavanje osnovnih funkcija.
Bankarski nadzornici stavljaju više fokusa na široko pitanje operativnih rizika - koji pokrivaju sve, od prevara i grešaka u trgovanju do kvarova računara. To može dovesti do velikih troškova za banke u vidu odšteta, tužbi ili kazni. U stres testu Federalnih rezervi 2024., ukupni potencijalni gubici od operativnog rizika projicirani su na 193 milijarde dolara za 31 banku koja je učestvovala. To je bio najveći pojedinačni izvor boli za zajmodavce, veći od 175 milijardi dolara gubitaka na kreditnim karticama kako je izračunato.
Računalne prevare, pogreške u trgovanju i prevare uzrokuju gubitke | Ukupni troškovi prema vrsti gubitka za sve banke u stres testu u SAD-u 2024/Bloomberg
Dio fokusa je na tome kako najbolje izmjeriti razmjere gubitaka s kojima bi se svaka pojedinačna banka mogla suočiti, što je u SAD-u postalo glavni predmet borbe u naporima regulatora da ažuriraju kapitalna pravila prema tzv. Basel 3 endgame. Banke koje podliježu stres testiranju već imaju određeni kapital potreban za te rizike kao dio svoje zaštite od stresa, ali se žale da ovom pristupu nedostaje transparentnosti. Endgame, u međuvremenu, pokušava uvesti jasniji model za kapital operativnog rizika, ali koristi metodu određivanja veličine banaka i njihovih prošlih gubitaka koja izgleda strože nego u drugim jurisdikcijama. Nijedan pristup nije zadovoljavajući — ali bez boljeg razumijevanja i kontrole rizika, regulatori bi trebali preferirati više kapitala, a ne manje.
Međutim, postoji veći i jednostavniji problem zbog kojeg su nadzornici finansijske stabilnosti sve više zabrinuti: Pretjerano oslanjanje banaka i tržišta na ograničeni broj trećih strana za usluge poput računarstva u oblaku, softvera i alata za modeliranje rizika. UK je, na primjer, otkrio da 65 posto britanskih finansijskih kompanija koristi ista četiri pružatelja usluga oblaka. Ranije ove godine, Međunarodni monetarni fond posvetio je jedno poglavlje svog godišnjeg Izvještaja o finansijskoj stabilnosti kibernetičkim rizicima, napominjući da se najveće svjetske sistemski važne banke sve više oslanjaju na zajedničke pružatelje informacijske tehnologije. MMF je utvrdio veće preklapanje u korištenju istih IT proizvoda i usluga od velikih banaka nego što je to bio slučaj kod osiguravatelja ili upravitelja imovinom.
Regulatori su istražili mogućnost da nekim vrlo velikim nefinansijskim pružateljima usluga dodijele sistemski važne oznake, što bi dovelo do bližeg nadzora njihovih operacija i potencijalno potaknulo banke da diversificiraju kompanije koje koriste. Evropska centralna banka već neko vrijeme ispituje banke o tome, djelomično zato što regiji nedostaju velike domaće kompanije za računarstvo u oblaku, ostavljajući je s manje nadzora.
Banke su branile velike pružatelje usluga računarstva u oblaku kao što su Microsoft Corp., Alphabet Inc. i Amazon.com Inc. ističući da imaju mnogo različitih podatkovnih centara raštrkanih diljem svijeta. To bi trebalo učiniti krajnje malo vjerovatnim da bi svi mogli biti isključeni istovremeno zbog prirodne katastrofe, gubitka struje ili kibernetičkog napada. Međutim, katastrofalna nadogradnja softvera od petka razotkriva slabost ovog argumenta.
Da budemo pošteni, brzina kojom se finansijska industrija prilagodila direktivama o ostanku kod kuće za Covid-19 pokazuje da sistem može pronaći otpornost kada je to najpotrebnije. Ali trend nekoliko dominantnih IT dobavljača koji pružaju sve sofisticiranije usluge mnogim najvećim svjetskim bankama u isto vrijeme postaje sve više ukorijenjen. Veća bi katastrofa mogla biti odmah iza ugla.
.webp){kind=icon}
