Barr dari The Fed memperingatkan adanya ‘risiko konsentrasi’ dalam keamanan siber bagi perbankan

WASHINGTON — Banyak bank, dan bahkan lembaga perbankan pemerintah, membuat kontrak dengan beberapa perusahaan teknologi yang sama, dan hal itu dapat menimbulkan masalah bagi bank-bank individual dan sistem keuangan yang lebih luas, kata Wakil Ketua Federal Reserve untuk Pengawasan Michael Barr.

“Kami memiliki banyak sekali lembaga keuangan yang bergantung pada sejumlah kecil penyedia, dalam beberapa kasus, untuk produk dan layanan penting,” kata Barr dalam obrolan santai di pertemuan gabungan Dewan Koordinasi Sektor Jasa Keuangan dan Komite Infrastruktur Informasi Keuangan dan Perbankan, sebuah kemitraan publik-swasta yang menangani keamanan siber yang bernaung di bawah Departemen Keuangan. “Jadi, jika penyedia layanan tersebut memiliki masalah, masalah tersebut dapat menyebar dengan cepat ke seluruh sistem keuangan.”

Biasanya bank-bank kecil yang mengandalkan penyedia layanan teknologi luar karena sumber daya mereka lebih terbatas dibandingkan dengan lembaga yang lebih besar, katanya. Namun, lembaga yang lebih besar menimbulkan risiko karena mereka menghadirkan “wadah yang lebih besar” bagi pelaku kejahatan.

Namun, bukan hanya bank yang cenderung menggunakan sejumlah kecil kontraktor pihak ketiga untuk kebutuhan keamanan siber mereka, kata Barr. Badan pemerintah, seperti Fed, juga cenderung menggunakan sejumlah kecil perusahaan luar yang dapat tumpang tindih dengan bank yang mereka awasi.

“Lembaga pemerintah menggunakan sejumlah penyedia layanan, dan banyak lembaga keuangan menggunakan penyedia layanan yang sama,” kata Barr. “Jadi, jika terjadi masalah pada salah satu penyedia layanan tersebut, itu akan menjadi masalah bagi sektor keuangan secara keseluruhan.”

Untuk mengatasi risiko tersebut, Barr mengatakan bank harus benar-benar memeriksa kontraktor pihak ketiga mereka, dengan fokus pada kemampuan perusahaan untuk pulih dari peretasan atau kejadian keamanan siber, selain kemampuan perusahaan untuk mencegahnya.

“Lembaga keuangan perlu memperhatikan risiko konsentrasi yang berasal dari aktivitas ini,” kata Barr. “Kita tidak bisa menghilangkannya.”

Risiko dari pelanggaran keamanan siber penting bagi para bankir dan regulator. Gangguan TI yang meluas disebabkan oleh pembaruan yang bermasalah dari perusahaan keamanan siber CrowdStrikemisalnya, menyebabkan penundaan dan masalah di sejumlah lembaga perbankan dalam suatu kejadian yang disebut oleh seorang analis sebagai “dampak paling luas yang pernah kami lihat dengan alat keamanan.”

Departemen Keuangan telah menjadikan keamanan siber sebagai landasan pekerjaannya di bidang perbankan. Proyek BentengKemitraan publik-swasta terbesar Departemen Keuangan, menawarkan alat keamanan siber gratis untuk bank dan ruang bagi para bankir dan petugas penegak hukum untuk melawan penyerang siber.

Barr juga membahas kecerdasan buatan, khususnya AI generatif, di sektor perbankan. Ia memperingatkan tentang “perlombaan senjata” antara keamanan siber dan pelaku kejahatan seiring pesatnya perkembangan teknologi.

“AI akan mengubah persaingan senjata antara pihak yang bertahan dan pihak yang menyerang,” katanya. “Di satu sisi, AI generatif akan digunakan dengan cara yang lebih canggih untuk serangan jahat. Kemampuan untuk mengulangi serangan dengan cara yang jauh lebih kreatif dan cepat, untuk menyebarkan serangan tersebut dengan model AI, akan menjadi risiko yang nyata.”

Dia menyuarakan kekhawatirannya dari regulator lain tentang keberadaan model AI di antara perusahaan keuangan dan dampaknya terhadap stabilitas keuangan.

“Ketika Anda memiliki otomatisasi, kecepatan, dan keberadaaan, ketiga hal tersebut secara bersamaan dapat menimbulkan risiko stabilitas keuangan yang signifikan bagi sistem keuangan,” katanya.

Barr juga mengatakan bahwa AI dapat digunakan secara diskriminatif jika datanya bias, atau jika cara AI dilatih menimbulkan bias. Dan jika bank tidak memiliki wawasan tentang mengapa AI, misalnya, menolak memberikan kredit kepada konsumen, maka hal itu dapat menimbulkan masalah.

“Jika Anda memiliki model dan tidak dapat menjelaskan mengapa model tersebut ditolak kreditnya, atau mengalami perubahan harga kredit, hal itu menimbulkan kekhawatiran tentang pemberian pinjaman yang wajar,” katanya. “Anda mungkin berakhir dengan apa yang disebut orang sebagai redlining digital, di mana AI generatif dapat digunakan dengan cara yang berdampak pada pemutusan akses, padahal yang ingin Anda lakukan adalah menggunakan AI generatif atau teknologi lain untuk meningkatkan akses dan mengurangi bias dalam sistem.”