SINGAPURA – Semua lembaga keuangan akan segera diminta untuk menentukan waktu pemulihan jika layanan penting mengalami pemadaman, termasuk yang terputus-putus, di bawah aturan revisi yang dirilis pada hari Senin (6 Juni).
Semua pemasok, teknologi, dan orang-orang yang terlibat dalam memberikan layanan penting ini juga perlu ditentukan, untuk menutup kesenjangan yang dapat menghambat pemulihan cepat dalam gangguan, menurut pedoman Manajemen Kontinuitas Bisnis Otoritas Moneter Singapura (MAS) dalam pembaruan besar pertamanya dalam hampir dua dekade.
Misalnya, jika penyedia layanan pihak ketiga digunakan, lembaga keuangan perlu tahu kapan sistem pihak ketiga terakhir diperiksa untuk kompromi keamanan, serta nomor kontak darurat pihak ketiga, di antara detail lainnya.
Layanan penting termasuk penarikan tunai, transfer dana, pembayaran kartu atau e-wallet, pembaruan polis asuransi dan perdagangan saham.
Berlaku mulai 6 Juni tahun depan (2023), pedoman yang diperbarui datang di tengah meningkatnya ancaman dari wabah pandemi, peretasan dunia maya, dan terorisme.
Meningkatnya kompleksitas dan saling ketergantungan sistem online juga berarti lebih banyak titik kegagalan potensial atau pemulihan layanan yang berlarut-larut, yang memerlukan pembaruan pedoman untuk mengatasi risiko ini dengan lebih baik.
“Pulih dari insiden lebih sulit akhir-akhir ini, dan membutuhkan perencanaan kesinambungan bisnis yang lebih bijaksana dan mendalam,” kata Vincent Loy, asisten direktur pelaksana untuk teknologi di MAS.
“Digitalisasi yang cepat dan hubungan digital yang semakin kompleks antar sistem, termasuk pihak ketiga, dapat berdampak penting pada operasi keuangan,” tambahnya.
Contoh kasus: Meluasnya tidak tersedianya layanan perbankan digital Bank DBS, termasuk opsi pembayaran instan PayNow, selama dua hari pada November tahun lalu (2021). Demikian pula, pada Juli tahun lalu, nasabah UOB tidak dapat mengakses layanan Internet dan mobile banking selama sekitar dua jam.
Serangan cyber profil tinggi lainnya di luar negeri juga memiliki efek riak di sini pada tahun lalu – yang melibatkan perusahaan manajemen jaringan SolarWinds, sistem pipa minyak Amerika Colonial Pipeline dan perusahaan perangkat lunak Kaseya – dan menunjukkan bagaimana pelanggaran rantai pasokan dan serangan ransomware yang mengganggu.
Gangguan ini memperkuat keyakinan MAS bahwa pedoman tersebut perlu diperbarui. Otoritas bekerja dalam umpan balik dari dua putaran konsultasi publik yang dimulai pada 2019.
Di bawah pedoman baru, lembaga keuangan juga perlu mengatasi risiko konsentrasi melalui sentralisasi orang, teknologi, dan sumber daya di lokasi fisik yang sama atau ketika fungsi dialihdayakan ke satu penyedia layanan.
Menerapkan pelajaran dari pandemi Covid-19, lembaga keuangan perlu memisahkan lokasi primer dan sekunder dari layanan bisnis penting, mengerahkan personel penting di berbagai zona, dan mengaktifkan dukungan lintas batas sebagai kontingensi selama gangguan, di antara langkah-langkah lainnya.
Vendor pihak ketiga perlu mematuhi persyaratan serupa, atau lembaga keuangan dapat mendiversifikasi pilihan vendor mereka untuk mengurangi risiko satu titik kegagalan.