Клиринговите компании, които преди извършваха сделки за стотици милиарди долари всеки ден, се озоваха в драматично различна ера тази седмица: старите дни на обработка на сделките се завърнаха, пише Bloomberg.
Рано сутринта във вторник в Европа малко известна, но критично важна софтуерна компания, която поддържа безпроблемното функциониране на пазарите на акции, облигации и стоки, се оказа неспособна да продължи работа по обичаен начин. Базираната в Лондон ION Trading UK се поддаде на кибератака.
Изведнъж в офиси по целия свят трейдърите и брокерите се обърнаха към електронни таблици, за да следят своите сделки, фирмите прибягнаха до въвеждане на отделни сделки на уебсайтове, предоставени от борсите, а служителите обясниха на семействата си защо ходят на работа през нощта, посочват запознати източници.
Сякаш клиринговите къщи се върнахте в 80-те години на миналия век, преди да се развие електронната търговия, или в 90-те години на миналия век, когато мрежата едва започваше да променя света. Но имаше ключова разлика - банките и брокерите, обработващи клиентски сделки на борси, включително Intercontinental Exchange, CME Group и Cboe Global Markets, вече нямат орди служители, които гарантират, че сделките се потвърждават, обработват и уреждат.
„Кибератаката срещу ION ни напомня на всички, че въпреки най-добрите усилия на всяка организация да се защити, тези проблеми ще възникват и участниците на пазара трябва да бъдат непрекъснато бдителни и подготвени за подобни случаи“, заяви Джоузеф Шифано, ръководител на регулаторните въпроси в Eventus, фирма за софтуер за търговско наблюдение.
За пазара на деривати това беше шамар. Компаниите не само нямаха подходящ персонал, за да се справят с кризата, но много от работниците бяха твърде млади, за да знаят как да поддържат дейността си. Това беше и вторият път само за една седмица, когато голям пазар беше ударен. Човешка грешка на Нюйоркската фондова борса предизвика бурни колебания в цените в началото на търговията на 24 януари.
Банките и другите финансови фирми често определят киберриска като един от тези, от които се страхуват най-много - тъй като взаимосвързаността на финансовата система има потенциала да засили разклоненията от всяка атака. И двата инцидента също така подчертаха колко жизненоважни могат да бъдат системите, които са в основата на търговските процеси, и че колкото и сложни да са те, уязвимостите дебнат.
Потвърдените атаки
ION за първи път забеляза, че проблемът предотвратява достъпа до някои от системите ѝ в 2:30 сутринта лондонско време. Отне повече от пет часа на базираната в Дъблин фирма — основана от италианския магнат Андреа Пигнатаро, за да потвърди атаката от руската група LockBit, според кореспонденция от ION, видяна от Bloomberg.
Не след дълго засегнатите 42 клиента на ION започнаха да съобщават за затруднения. Американският клирингов отдел на холандския кредитор ABN Amro Bank изпрати бележка до клиентите, че атаката ще забави обработката за една нощ и че е принуден да се справя с трансакциите ръчно. StoneX Financial заяви, че предприема „алтернативни мерки“ за изчистване на сделки и приоритизиране на изтичащи договори. Marex Group прибягна до предоставяне на клиентите на „индикативни“ стойности на трансакциите по техните сметки.
На Лондонската борса за метали (LME)— едно от последните места в света, където все още се търгува лице в лице — връщането към ръчната обработка беше познато на много ветерани брокери, но също така предостави възможност на по-младите служители да докажат своята технологична мощ.
Когато системите на ION излязоха от строя, екип от програмисти в една лондонска брокерска компания се опита да изгради своя собствена система, която да отговаря на сделките на клиентите, и я пуснаха в експлоатация за часове, твърди човек, запознат с въпроса.
Опасността за ликвидността
Въпреки че тези видове творчески усилия помагат за смекчаване на последиците досега, предизвикателствата нарастват с напредването на кризата. Неофициално Лондонската брокерска компания предупреди LME, че очаква дилърите да намалят активността си поради търкания при обработката на сделките, намалявайки ликвидността, посочва запознатото лице.
Страхът от заразяване накара Асоциацията на фючърсната индустрия да проведе повече от половин дузина обаждания в продължение на няколко дни, за да даде възможност на членовете да обсъдят ситуацията и да споделят подходяща информация. Повече от 600 души са се включили в едно от тези обаждания. Някои са клиенти на ION, пряко засегнати от атаката.
Прекъсването, което все още продължава, засегна жизненоважни процеси, включително съпоставянето на сделките, изчисляването на исканията за маржин и регулаторното отчитане на големи пазарни позиции. Това остави много клиенти в неведение дали печелят или губят пари и предизвика призиви за повече обезпечение, добавят запознати източници.
„Изолираният“ проблем
В сряда CME, Intercontinental Exchange и Cboe казаха, че техните членове са имали проблеми с доставчик на софтуер от трета страна. Тези проблеми могат да повлияят на времето за публикуване на борсовите отчети до края на деня, посочват фирмите. LME и Euronext също признаха, че някои от техните клиенти са били засегнати.
„LME следи отблизо ликвидността на всички места откакто се случи инцидентът и все още не е видял никакви доказателства за засегната ликвидност“, се казва в изявление на борсата, изпратено по имейл. „Продължаваме да работим в тясно сътрудничество със засегнатите членове, за да им помогнем да продължат бизнеса си възможно най-нормално и да намалим всяко по-широко въздействие“, добавят от LME.
Проблемът „в момента е изолиран за малък брой по-малки и средни фирми и не представлява системен риск за финансовия сектор“, според изявление на Тод Конклин, зам.-помощник секретар на Службата за киберсигурност и защита на критична инфраструктура на Министерството на финансите на САЩ.
Регулаторите в Обединеното кралство, включително Органът за финансово поведение, започнаха да разследват инцидента, според хора, запознати с въпроса, които пожелаха анонимност. Националният център за киберсигурност, част от щаба на правителствените комуникации на разузнавателната агенция, също е замесен, добавят те.
Федералното бюро за разследване също търси информация за кибератаката и се е свързало с ръководителите на ION, казаха хора, запознати с въпроса. Агенцията е запозната със ситуацията, се казва в изявление.
В четвъртък вечерта CFTC заяви, че инцидентът е повлиял на способността на някои клирингови членове да му предоставят точни данни и че ще забави своя седмичен търговски отчет за пазара на деривати, докато не бъдат отчетени всички сделки.
ION съобщи на клиентите си в четвъртък, че системите ѝ няма да работят напълно до 5 февруари и фирмата все още не е успяла да започне няколко важни стъпки за възстановяване, според имейл кореспонденцията, видяна от Bloomberg.
LockBiton, групата зад атаката, заплаши в четвъртък да публикува „всички налични данни“, за които твърди, че са откраднати от ION, на нейния уебсайт в „dark web“, освен ако платформата за търговия с деривати не плати неопределен откуп до 4 февруари.
Не е ясно дали ION е платила или планира да плати откупа, а индустрията все още се справя с ефектите на вълните, които инцидентът може да има. Освен клиентите, които са пряко засегнати, банките и брокерите, които търгуват с тях, не могат да съпоставят сделки.
Резултатът засега е, че клиринговите компании връщат часовника с години назад в импровизиран тест за техните служители.