Hur systemrisk cyberrisk hotar amerikanska banker och företag inom finansiella tjänster
Även med COVID-19 som dominerar rubrikerna är biologiska virus det bara en typ av systemrisk för vårt banksystem och våra ekonomier. Faktum är att vårt växande beroende av informationsteknik har gjort ekonomier över hela världen utsatta för systemrisker som förstärks av vad som ofta kallas common-mode-fel där till synes överflödiga eller oberoende system faktiskt är beroende eller sårbara för ett gemensamt hot. .
Sådana misslyckanden (betrakta tsunamin som hobblade och förstörde kärnkraftverket i Fukushima) är svåra eller till och med omöjliga att förutsäga utifrån historiska data. Ingenstans är detta mer sant än i banksektorn, där riskerna ständigt förändras och där en omvärdering av systemrisker och en ny generation av riskhanteringsverktyg behövs, medan det fortfarande finns tid.
Cyberattacker utgör systemiska risker
Amerikanska banker och finansiella tjänsteföretag är bland de största användarna av cybersäkerhetsteknik. Ändå är de inte immuna mot cyberattacker eller fel som kan orsaka omfattande störningar för kritiska tjänster. Nya tidningar från New York Federal Reserve Bank och Bank of England belysa flera viktiga problem. Modellering av New York Fed, till exempel, visade hur en attack mot en enda stor bank, en grupp mindre banker eller en allmänt använd tjänsteleverantör kan ha "allvarliga konsekvenser för stabiliteten i det bredare finansiella systemet i form av spillover till investerare, borgenärer och andra marknadsaktörer. ”
Dessutom har finanssektorn ett djupt nätverk av ömsesidigt beroende system och beroende av åldrande IT-infrastruktur och långvariga protokoll (t.ex. SWIFT och Kerberos) ökar antalet och olika systemrisker inom sektorn.
Detta är inget långsökt scenario. Nya attacker mot leverantörer som Travelex och Finastra illustrera det exakta scenariot som tillsynsmyndigheter och säkerhetsexperter har varnat för. Utanför USA, framgångsrika ryska förnekande av tjänsteangrepp mot mål för offentlig och privat sektor i Lettland, Estland och Ukraina, inklusive det förödande 2017 NotPetya skadlig programvara attack, gör klart att cyberattacker inte bara finns i arsenalen av utländska motståndare, utan har aktivt distribuerats i offensiva operationer, med säkerhetsskador i miljarder dollar.
Tre steg till bättre hantering av cyberrisker
Det finns tre viktiga sätt som banksektorn, tillsynsmyndigheterna och politiska beslutsfattare i hela regeringen kan och bör arbeta tillsammans för att hantera detta problem. Låt oss ta en närmare titt på var och en.
Större öppenhet
En av de större utmaningarna som banker och bankinnehavare står inför är brist på korrekt information om frekvensen och svårighetsgraden av incidenter. Medan nationell säkerhet och konkurrensbehov kan kräva att detaljer om vissa attacker hålls under omslaget, är det inte tillräckligt med anseende om att inte avslöja cyberincidenter. Upplysningar hjälper ledning, styrelser, försäkringsgivare, tillsynsmyndigheter och hela regeringen att korrekt förstå bredden och djupet i de utmaningar som står inför. De hjälper också till att förskåda det som väntar. Kort sagt: En mer fullständig datamängd skulle göra det möjligt att mäta, prissätta och mildra cyberrisken av alla intresserade parter.
I samband med banker och finansiella tjänster, informerar investeringar i IT-system, cybersäkerhet, personal och utbildning i korrekt prissättning av cyberrisk och bredare operativa riskproblem. Det stöder också företagets riskhantering, omfattande kapitalanalys och granskning (CCAR) och andra stresstestinitiativ. Slutligen kan det också förse FDIC och SEC med viktig information som kan vägleda regeringens beslutsfattande i händelse av en långtgående sektorsspecifik incident, som inträffade i Ukraina.
Cyberförsäkring
Jämfört med två decennier sedan utgör cyberrisk idag betydande ansvar för många organisationer. Denna risk inkluderar kostnader relaterade till svar på it-incidenter, böter, förlorade inkomster från affärsavbrott och anseende för anseende. Bekräftande cyberförsäkring är fortfarande i sin linda. Förvirrade täckningssystem inom yrkesansvarspolicy och så kallade "tysta" cyberrisk drar försäkringsgivare längre från sin ursprungliga avsikt. Även här kommer mer omfattande rapportering av händelser att leda till mer målinriktad och effektiv cyberriskförsäkring, vilket förbättrar ansvarsskyldigheten för både försäkrade och transportörer. Till exempel kan FDIC kräva att banker och finansinstitut med innehav över ett visst tröskelvärde har en robust cyberriskförsäkring för att kvalificera sig för FDIC-stöd.
Kraven för att ha sådan policy kan fokusera de försäkrade enheternas uppmärksamhet på faktorer som bidrar till cyberincidenter som åldrande IT-infrastruktur, dålig lappning och hantering av IT-konfigurationshantering och så vidare. Eftersom cyberrisk kan vara utbredd och systemisk kan system för ömsesidighet också övervägas, vilket möjliggör riskdelning i ett offentlig-privat partnerskap. Enligt sådana arrangemang får försäkringsbolagen rimliga priser för delar av den täckningsgräns som erbjuds medan US Treasury tillhandahåller en backstop. Att stimulera till bättre metoder på detta sätt och uppmuntra bekräftande försäkring som en del av balansräkningen kommer att vara tidvattnet som lyfter alla båtar.
Ansvar på styrelsenivå
När världen blir mindre och mer sammankopplad, måste chefer och styrelser för innehav av banker och finansinstitut hållas ansvariga för att säkerställa en rimlig standard för vård i frågor som rör cybersäkerhet och cyberrisk. Tillsynsmyndigheternas och marknadernas uppmärksamhet bör fokuseras på observerbara fenomen: Logg- och sensordata; operativ övervakning och insatsfunktioner; programvarukorrigeringar; säkerhetsuppdateringar; och granskningar av auktorisering och autentisering.
I många organisationer kommer detta skifte att kräva ytterligare befogenheter och investeringar i CISO-funktionen, inklusive strängare urval och utbildning av styrelser om bästa praxis och terminologi. Samtidigt bör styrelser förväntas bli bekanta med språket för it-risk. För banker kan sådana åtgärder krävas som en del av FDIC-försäkringsberättigande.
De efterföljande, spridda offentliga-privata ansträngningarna för att bekämpa COVID-19 har understrukit värdet av organiserade, top-down-metoder för systemrisker. När vi arbetar för att starta om våra ekonomier efter de drastiska åtgärder som vidtagits för att skydda folkhälsan bör vi vara medvetna om att störningar av nyckelsektorer eller internetinfrastruktur genom mänskliga fel eller fientliga statliga eller icke-statliga aktörer har potential att vara lika förödande som COVID-19.
Lyckligtvis är det inte för sent för både den amerikanska regeringen och bank- och finanssektorn att agera och minska sannolikheten för systemfel. Var och en av de enkla stegen som beskrivs ovan kommer att gå långt för att ge branschen en bättre bild av utmaningen den står inför, vägen till robust täckning och god bolagsstyrning för dessa viktiga institutioner. Tillsammans säkerställer dessa åtgärder att det amerikanska banksystemet, som står bakom världens reservvaluta, bättre kan hantera systemrisker.
Relaterat innehåll:
Jason Crabtree grundade QOMPLX 2014 tillsammans med Andrew Sellers. Som VD för QOMPLX är Mr. Crabtree ansvarig för den övergripande visionen och långsiktiga riktningen för företaget, förutom att övervaka alla aspekter av företagets verksamhet. Innan QOMPLX, Jason senast ... Visa Full Bio
Rekommenderad läsning:
Fler insikter
