Сривът на CrowdStrike е друго остро предупреждение за банките

Разчитането на шепа доставчици на трети страни създава рискове за финансовата индустрия

09:01 | 24 юли 2024

Автор: Пол Дж. Дейвис

Снимка: Bloomberg

Хаосът, който замрази цифровите системи по света в петък, е точно онзи вид криза, за която финансовите регулатори се тревожат през последните години. Нещо по-лошо, американските банкови надзорници наскоро критикуваха водещи кредитори за лошото управление на такива оперативни рискове след поверителни проверки. Заедно те са тревожен сигнал за опасностите от няколко доминиращи трети страни, предоставящи критични услуги на индустрията.

Един малък повреден файл в актуализация на софтуера за сигурност от CrowdStrike Holdings Inc. причини прекъсвания с часове на банки, парични мениджъри и фондови борси, включително проблеми в Bank of America Corp. и JPMorgan Chase & Co., наред с други. Проблемът не беше еднократен: само предишния ден мрежата на Обединеното кралство за плащания на висока стойност спря на фона на отделен проблем с обработката, който задържа покупките на жилища и други транзакции.

За щастие, в сравнение с авиокомпаниите, които трябваше да отменят полети в резултат на проблемите с CrowdStrike, повечето пазари и платежни системи все още функционираха, дори ако отделни банки се сблъскаха с повреди в банкомати или бюра за търговия. Но затварянето все пак беше остро напомняне, че банковата индустрия и нейните надзорници трябва да направят повече, за да смекчат подобни потенциални бедствия.

Едно притеснение е, че дори някои от най-големите банки не се справят с тези рискове по начина, по който трябва да бъдат. В САЩ Службата на контролера на валутата (OCC), която контролира всички национални банки, федерални спестовни асоциации и клонове на чуждестранни банки, установи, че половината от 22-те най-големи банки, които тя наблюдава, имат лоша представа за оперативния риск, според статия на Bloomberg News. Успешни кибератаки или големи проблеми при един или повече от водещите доставчици на облачни изчисления може да направят така, че кредиторите със слабо управление на риска да не могат да поддържат основни функции.

Банковите регулатори обръщат повече внимание на широкия проблем с оперативните рискове - които обхващат всичко - от измами и грешки при търговия до компютърни сривове. Това може да доведе до огромни разходи за банките за компенсации, съдебни дела или глоби. В стрес теста на Федералния резерв от 2024 г. общите потенциални загуби от оперативен риск бяха прогнозирани на 193 милиарда долара за 31-те банки, участващи в него. Това беше най-големият отделен източник на болка за кредиторите, по-голям от 175 милиарда долара загуби по кредитни карти, изчислени от проучването.

Част от фокуса е върху това как най-добре да се измери мащабът на загубите, с които може да се сблъска всяка отделна банка, което в САЩ се превърна в основна битка в основата на усилията на регулаторите да актуализират капиталовите правила в рамките на Базел 3. Банките, подложени на стрес тестове, вече разполагат с известен капитал, необходим за тези рискове като част от своя буфер за стрес, но се оплакват, че на този подход липсва прозрачност. Ендшпилът междувременно се опитва да въведе по-ясен модел за капитал с оперативен риск, но използва метод за оразмеряване на банките и техните минали загуби, който изглежда по-суров от други юрисдикции. Нито един от двата подхода не е задоволителен, но без по-добро разбиране и контрол на рисковете, регулаторите трябва да предпочитат повече капитал, а не по-малко.

Съществува обаче по-голям и по-прост проблем, за който надзорните органи за финансова стабилност са все по-загрижени: Прекомерното разчитане на банките и пазарите на ограничен брой трети страни за неща като облачни изчислителни услуги, софтуер и инструменти за моделиране на риска. Обединеното кралство, например, установи, че 65% от британските финансови компании използват едни и същи четири облачни доставчика. И по-рано тази година Международният валутен фонд посвети глава от годишния си доклад за финансова стабилност на кибер рисковете, отбелязвайки, че най-големите системно важни банки в света стават все по-зависими от общи доставчици на информационни технологии. МВФ установи по-голямо припокриване в използването на едни и същи ИТ продукти и услуги от големите банки, отколкото при застрахователите или мениджърите на активи.

Регулаторите са проучили налагането на системно важни обозначения на някои много големи доставчици на нефинансови услуги, което би довело до по-стриктно наблюдение на техните операции и потенциално ще накара банките да диверсифицират компаниите, които използват. Европейската централна банка разпитва банките за това от известно време, отчасти защото в региона липсват големи местни компании за облачни изчисления, което го оставя с по-малко надзор.

Банките защитиха големите облачни доставчици като Microsoft Corp., Alphabet Inc. и Amazon.com Inc., като посочиха, че те имат много различни центрове за данни, разпръснати по света. Това би трябвало да направи изключително малко вероятно всички те да бъдат нокаутирани едновременно от природно бедствие, загуба на мощност или кибератака. Катастрофалният ъпдейт на софтуера в петък обаче разкрива слабостта на този аргумент.

За да бъдем честни, скоростта, с която финансовата индустрия се приспособи към директивите за оставане у дома по време на Covid-19, показва, че системата може да намери устойчивост, когато е най-необходима. Но тенденцията няколко доминиращи ИТ доставчици да предоставят все по-сложни услуги на много от най-големите банки в света едновременно става все по-утвърдена. По-голямо бедствие лесно може да бъде точно зад ъгъла.

Пол Дж. Дейвис е колумнист в Bloomberg Opinion, отразяващ банкирането и финансите. Преди това е бил репортер за Wall Street Journal и Financial Times.