Pemadaman selama lima hari di Capital One menyoroti risiko pihak ketiga

Selama akhir pekan, gangguan terhadap transfer keuangan melanda puluhan bank, termasuk Capital One, dalam sebuah episode yang menyoroti masalah ketahanan teknis dan risiko pihak ketiga, dua hal yang mendapat perhatian khusus dari regulator dalam beberapa tahun terakhir.

Capital One dan 26 bank lainnya mengalami pemadaman listrik mulai Rabu yang menyebabkan beberapa penyetoran, pembayaran, dan transfer tertunda. Vendor jasa keuangan Fidelity Information Services, yang lebih dikenal sebagai FIS, mengatakan pada hari Senin bahwa pemadaman listrik mengawali gangguan tersebut.

FIS menyediakan operasi perbankan dan layanan pembayaran kepada lebih dari 5.800 perusahaan dan memproses $12 triliun pada tahun 2023. Juru bicara fintech tersebut mengatakan pemadaman tersebut “disebabkan oleh pemadaman listrik di wilayah setempat dan kegagalan perangkat keras” yang terjadi pada hari Rabu.

Juru bicaranya menjelaskan bahwa pemadaman ini “bukanlah akibat dari insiden dunia maya” dan bahwa FIS “dengan tulus meminta maaf kepada klien kami dan pelanggan mereka yang terkena dampak pemadaman sistem ini.”

Bank of Oklahoma mengatakan dalam sebuah kiriman Facebook pada hari Rabu bahwa pemadaman tersebut mempengaruhi bank tersebut dan 26 bank lainnya, dan menambahkan bahwa ini adalah “masalah sistem di luar kendali kami.” Pada hari Selasa, perusahaan induknya, BOK Financial, mengatakan di situs webnya bahwa mereka akan “mengembalikan biaya yang salah dihitung pada rekening yang terkena dampak pemadaman listrik.”

Laporan lokal juga menunjukkan Cadence Bank di Tupelo, Mississippi mengalami gangguan.

Reaksi media sosial

Gangguan tersebut, terutama yang mempengaruhi pelanggan Capital One, menimbulkan kehebohan di media sosial. Pelanggan mengeluh bahwa setoran langsung mereka tidak masuk ke rekening mereka dan mereka menunggu lebih dari satu jam dengan perwakilan layanan pelanggan.

Pada hari Rabu, hari pertama pemadaman, akun layanan pelanggan Capital One di platform media sosial X mengatakan bank tersebut sedang menghadapi masalah teknis dengan vendor pihak ketiga yang mengganggu beberapa layanan. Dalam email kepada nasabah pada malam berikutnya, bank mengatakan pemadaman tersebut “menunda pemrosesan beberapa transaksi termasuk setoran langsung dan kredit Pembayaran Awal untuk setoran langsung, serta pembayaran dan transfer elektronik (ACH).”

Dua hari kemudian, pada hari Jumat ketika banyak orang mengharapkan gaji mereka disetorkan, Down Detector melaporkan bahwa pemadaman Capital One telah menghasilkan lebih dari 280.000 laporan, dengan masalah utama adalah masalah simpanan.

Pelanggan Capital One yang tidak bisa mengakses gaji mereka marah pada X. Beberapa berkreasi dengan kartun dan GIF.

Pelanggan Capital One yang tidak bisa mengakses gaji mereka marah pada X.

Seperti yang sering terjadi, pemadaman listrik mengganggu perwakilan layanan pelanggan Capital One.

Di LinkedIn dan X, pelanggan memberikan tautan ke halaman web yang dapat digunakan orang untuk menyampaikan keluhan tentang Capital One kepada Biro Perlindungan Keuangan Konsumen.

Pada hari Minggu, Capital One mengirim email kepada pelanggan yang menyatakan bahwa masalah tersebut telah teratasi dan sistem yang terkena dampak telah dipulihkan.

“Kami dengan tulus meminta maaf atas gangguan dan dampak apa pun terhadap kemampuan Anda mengakses layanan Capital One tertentu,” tulis perusahaan itu. “Kami juga memahami betapa frustrasinya situasi ini, dan kami berkomitmen untuk memperbaikinya.”

Perhatian terhadap risiko dan ketahanan pihak ketiga

Regulator di AS dan Eropa telah meminta bank untuk mengambil tanggung jawab lebih besar atas keamanan dan ketahanan vendor pihak ketiga. Seperti yang dicontohkan oleh pemadaman listrik yang disebabkan oleh FIS selama akhir pekan, kegagalan di pihak ketiga dapat menyebabkan kegagalan di banyak perusahaan lain, bahkan seluruh industri.

Tahun lalu, contoh nyata yang berdampak pada banyak industri adalah pemadaman listrik Crowdstrike. Dalam contoh tersebut, gangguan selama berhari-hari menyebabkan beberapa maskapai penerbangan menunda dan membatalkan penerbangan, beberapa lembaga penyiaran berhenti mengudara untuk sementara, dan beberapa konsumen melaporkan masalah saat masuk ke rekening bank mereka atau menggunakan layanan perbankan digital lainnya.

Regulator dan pembuat undang-undang dalam beberapa tahun terakhir berupaya meminimalkan risiko sistemik yang ditimbulkan oleh sejumlah besar bank yang mengandalkan vendor pihak ketiga yang sama untuk layanan perbankan inti seperti pembayaran dan transfer.

Baru-baru ini, di Uni Eropa, Undang-Undang Ketahanan Operasional Digital (Digital Operational Resilience Act) mulai berlaku pada hari Jumat, yang menerapkan peraturan yang dirancang untuk melindungi sektor keuangan blok tersebut dari kegagalan skala besar yang mungkin diakibatkan oleh serangan siber atau gangguan teknis, seperti yang berdampak pada Capital One dan lainnya. selama akhir pekan.

Di AS, upaya ketahanan sebagian besar terfokus pada ancaman keamanan siber dibandingkan gangguan teknis, seperti yang disebabkan oleh FIS minggu lalu, atau ketahanan secara umum.

Regulator keuangan punya pedoman yang dikeluarkan kepada bank-bank komunitas mengenai kebijakan risiko pihak ketiga mereka, dan upaya utama untuk membuat undang-undang mengenai risiko siber berfokus pada bagaimana perusahaan merespons insiden siber dibandingkan bagaimana mereka merencanakan atau memitigasinya.

Yakni, bank dan perusahaan lain telah menunggu Cybersecurity and Infrastructure Security Administration (CISA) untuk menerbitkannya peraturan yang akan dilaksanakan Undang-Undang Pelaporan Insiden Siber untuk Infrastruktur Kritis tahun 2022 (CIRCIA). Aturan-aturan ini akan mengatur jenis insiden keamanan siber yang harus dilaporkan oleh perusahaan, dan bagaimana mereka melaporkannya.

Melinda Huspen berkontribusi melaporkan cerita ini.