NCUA memiliki titik buta peraturan; Kongres harus bertindak untuk menghilangkannya

Ketika ditanya apa yang membuat saya tetap terjaga di malam hari, saya menjawab dua hal — keamanan siber dan pemulihan otoritas vendor pihak ketiga untuk Administrasi Credit Union Nasional. Mengapa NCUA terus meminta wewenang ini kepada Kongres? Karena tangan kami telah diikat sejak kekuasaan sementara ini berakhir 22 tahun yang lalu.

Banyak hal telah berubah sejak saat itu. Risiko keamanan siber telah meningkat. Saat ini terdapat lebih banyak organisasi layanan credit union dan vendor pihak ketiga yang beroperasi di sektor credit union dengan sedikit atau tanpa pengawasan. Kekhawatiran saya adalah kurangnya pengawasan dapat menyebabkan gangguan keuangan sistemik dan hilangnya kepercayaan masyarakat terhadap sistem credit union.

Semakin banyak aktivitas fundamental dalam operasi credit union, seperti pinjaman, layanan peminjaman dan penyimpanan, pengembangan dan pemeliharaan infrastruktur keamanan siber, Undang-Undang Kerahasiaan Bank atau kepatuhan anti pencucian uang, dan manajemen keuangan, yang dialihdayakan ke vendor pihak ketiga yang tidak diatur. Faktanya, sekitar 90% — hampir $2 triliun — aset industri disentuh atau dikelola oleh penyedia layanan pihak ketiga.

Serikat kredit juga menggunakan vendor pihak ketiga untuk menyediakan layanan teknologi, termasuk keamanan informasi dan perbankan seluler dan online. Data anggota juga disimpan di server vendor — termasuk di server yang tidak menggunakan perlindungan standar seperti autentikasi multifaktor. Dan, beberapa vendor pihak ketiga melakukan outsourcing layanan ke penyedia pihak keempat atau kelima atau memiliki penyedia layanan teknologi yang berlokasi di luar negeri. Pengalihdayaan ini menghasilkan banyak lapisan hubungan dan risiko pihak ketiga ketika serikat kredit memperoleh satu alat atau produk.

Mengingat risiko tambahan dalam mengasuransikan industri yang, semakin banyak, menyerahkan operasi bisnis penting kepada penyedia layanan pihak ketiga yang tidak diatur, dewan NCUA, sebagai perusahaan asuransi, mungkin perlu memikirkan perubahan pada tingkat operasi normal Dana Asuransi Saham. untuk melindungi terhadap risiko-risiko ini.

Selain itu, ketergantungan sistem credit union pada teknologi dan penyedia layanan dari luar juga merupakan penyebab terjadinya risiko konsentrasi yang signifikan. Pemroses inti yang umum digunakan membual dalam iklan bahwa kliennya memegang 90% aset sistem serikat kredit. Seolah-olah mereka menantang pelaku dunia maya dan penipu untuk menargetkan mereka.

Gangguan atau serangan terkoordinasi terhadap penyedia layanan ini dan penyedia layanan lainnya dapat menyebabkan skenario bencana, menyebabkan ratusan bahkan ribuan credit unions dan puluhan juta anggotanya kehilangan akses terhadap dana secara bersamaan – yang akan memiliki dampak sistemik yang jauh melampaui kredit. sektor serikat pekerja.

Konsentrasi ini menggarisbawahi pentingnya kebutuhan NCUA akan otoritas vendor pihak ketiga sebagai tindakan pencegahan, yang dirancang untuk melindungi keamanan finansial 141 juta orang Amerika yang bergantung pada credit unions untuk layanan keuangan mereka.

Permasalahan mengenai otoritas vendor menjadi semakin mendesak setelah penyedia layanan inti yang lebih kecil untuk credit unions mengalami pemadaman selama beberapa hari. November lalu, NCUA menerima laporan insiden dunia maya dari beberapa credit unions kecil yang menyatakan bahwa penyedia layanan inti mereka mengalami gangguan sistem. Lusinan serikat kredit, terutama serikat kredit kecil yang melayani komunitas pedesaan dan berpenghasilan rendah hingga menengah di 40 negara bagian dengan aset agregat hampir $1 miliar dan hampir 100,000 anggota mengalami gangguan layanan penting seperti pertanyaan rekening dasar, penarikan dan penyetoran, pinjaman pembayaran dan pencairan.

Vendor pihak ketiga yang terlibat menggambarkan serangan itu sebagai “insiden keamanan siber yang terisolasi.” Namun, serangan tersebut diperkuat oleh influencer di media sosial yang memicu ketakutan akan pencalonan dengan mendorong anggota untuk menarik dana dari rekening mereka.

Kurangnya kewenangan NCUA terhadap vendor credit union dan penyedia layanan pihak ketiga mengakibatkan respons yang tertunda dan kurang efektif. Kurangnya pertukaran informasi menghambat upaya koordinasi antar pemangku kepentingan utama baik di tingkat federal maupun negara bagian. Terlebih lagi, kurangnya informasi dan kerja sama dari vendor pihak ketiga membuat penentuan cakupan dan kerusakan menjadi lebih sulit.

Yang lebih penting adalah dampaknya terhadap anggota serikat kredit yang terkena dampak. Selama beberapa hari, para vendor tidak bersedia memberikan informasi kepada NCUA mengenai jumlah credit unions yang terkena dampak. Akhirnya, pihak ketiga secara sukarela membagikan sebagian daftar credit unions yang terkena dampak. Selain itu, lembaga jasa keuangan federal lainnya tidak dapat membantu kami karena produk layanan teknologi hanya mendukung serikat kredit dan bukan bank.

Dampak dari insiden dunia maya ini menunjukkan bagaimana permasalahan yang dihadapi oleh satu vendor dapat dengan cepat berubah menjadi krisis yang menimpa beberapa credit unions, anggotanya, dan sistem secara keseluruhan. Berkat pemikiran cepat dan kolaborasi antara staf NCUA dan institusi yang terkena dampak, kami akhirnya dapat mengatasi pelanggaran ini. Namun demikian, peristiwa ini berfungsi sebagai peringatan yang menggarisbawahi kebutuhan NCUA untuk mendapatkan kembali otoritas vendor.

Kemungkinan besar kita tidak akan seberuntung itu di masa depan.

Tidak adanya otoritas vendor akan semakin penting karena organisasi layanan credit union dan vendor pihak ketiga memanfaatkan peningkatan penggunaan kecerdasan buatan dan layanan pembayaran real-time oleh lembaga keuangan. Dan, karena credit unions merupakan bagian integral dari infrastruktur ekonomi penting AS, titik buta peraturan ini merupakan kerentanan tambahan dalam pertahanan negara AS terhadap negara-negara asing yang bermusuhan.

Kantor Akuntabilitas Pemerintah, Dewan Pengawasan Stabilitas Keuangan dan Kantor Inspektur Jenderal NCUA semuanya mendukung permintaan ini. Ketika Kongres memberikan wewenang yang diperlukan, NCUA akan menetapkan rencana prioritas berbasis risiko untuk vendor pihak ketiga. Rencana ini akan berkonsentrasi pada layanan yang diberikan oleh vendor dengan akses ke informasi anggota terkait keamanan informasi, keamanan siber, kepatuhan BSA/AML, perlindungan keuangan konsumen, dan bidang lain yang menimbulkan risiko sistemik.

Sekarang saatnya untuk menutup titik buta peraturan yang semakin meningkat ini. Mengapa kita masih menunggu?