سازوکارهای تابآوری سیستمی: چگونه تعیین «طرف ثالث حیاتی» توسط بریتانیا، غولهای فناوری را تحت نظارت مالی قرار میدهد
بریتانیا رسماً ارائهدهندگان اصلی خدمات ابری را به عنوان «طرفهای ثالث حیاتی» (Critical Third Parties) تعیین کرده است، که این امر به ناظران مالی اجازه میدهد تا برای جلوگیری از شکستهای سیستمی فناوری، نظارت مستقیمی داشته باشند. این اقدام شکاف بین زیرساخت جهانی فناوری و ثبات مالی ملی را پر میکند.
به قلم تیم سردبیری کوهستان
این خبر را به اشتراک بگذارید
- ناظران مالی
- استدلال میکنند که نظارت مستقیم بر ارائهدهندگان خدمات ابری برای جلوگیری از تبدیل شدن یک نقطه شکست واحد به بحران مالی سیستمی، ضروری است.
- ارائهدهندگان زیرساخت ابری
- از اهداف تابآوری حمایت میکنند اما هشدار میدهند که مقررات جهانی پراکنده و همپوشان میتواند نوآوری را خفه کرده و معماری ابری چندمستأجری را پیچیده کند.
- مؤسسات بانکی
- از انتقال مسئولیت نظارتی به شرکتهای فناوری که عملاً زیرساخت را کنترل میکنند، استقبال میکنند، اگرچه نسبت به افزایش هزینههای خدمات محتاط هستند.
زوایای پوششدادهنشده
- · بانکهای منطقهای کوچکتر که ممکن است به طور نامتناسبی تحت تأثیر افزایش هزینههای ابری قرار گیرند
- · حامیان زیرساختهای متنباز (Open-source)
چرا مهم است
از آنجا که بانکها به طور فزایندهای به تعداد انگشتشماری از ارائهدهندگان خدمات ابری متکی هستند، یک قطعی ساده سرور میتواند سیستم مالی جهانی را فلج کند. این چارچوب نظارتی جدید تضمین میکند که ستون فقرات فناوری مالی مدرن، از نظر استانداردهای تابآوری، مانند خود بانکها مورد بررسی قرار گیرد و از سپردههای مصرفکنندگان و ثبات بازار محافظت کند.
نکات کلیدی
- بریتانیا شرکتهای مایکروسافت، گوگل، آمازون و اوراکل را به عنوان طرفهای ثالث حیاتی (CTPs) تعیین کرده است.
- ناظران مالی اکنون نظارت قانونی مستقیمی بر خدمات این غولهای فناوری به بانکها دارند.
- این اقدام به ریسک سیستمی ناشی از اتکای شدید بخش مالی به تعداد کمی از ارائهدهندگان خدمات ابری میپردازد.
- ناظران اکنون میتوانند تستهای استرس را اجباری کنند، دادهها را درخواست نمایند و بازرسیهای حضوری از مراکز داده انجام دهند.
- چارچوب بریتانیا با تلاشهای مشابه در اتحادیه اروپا همسو است، در حالی که ناظران آمریکایی همچنان این فضا را زیر نظر دارند.
اقتصاد جهانی مدرن دیگر به خزانههای فیزیکی طلا یا پول کاغذی متکی نیست، بلکه به مراکز دادهای گسترده و فوقالعاده خنکشدهای وابسته است که در حومههای دوردست به آرامی کار میکنند. در طول دهه گذشته، مؤسسات مالی با دیجیتالی کردن شدید عملیات خود، زیرساخت اصلی خود را به تعداد انگشتشماری از شرکتهای بزرگ فناوری برونسپاری کردهاند. این مهاجرت، کارایی و مقیاس بیسابقهای را به ارمغان آورده، اما در عین حال یک آسیبپذیری جدید و متمرکز را نیز به سیستم مالی وارد کرده است. اگر یک ارائهدهنده غالب خدمات ابری دچار قطعی فاجعهبار یا یک حمله سایبری پیچیده شود، اثرات آبشاری آن میتواند پرداختها را متوقف، معاملات را مختل و میلیونها مصرفکننده را به طور همزمان از دسترسی به حسابهایشان محروم کند. با درک این تغییر، ناظران در حال بازنویسی اساسی قوانین نظارت مالی هستند تا با واقعیت معماری بانکی مدرن مطابقت داشته باشد.[3]
در اقدامی مهم برای ثبات مالی جهانی، بریتانیا رسماً شرکتهای مایکروسافت، گوگل، آمازون و اوراکل را به عنوان «طرفهای ثالث حیاتی» (CTPs) تعیین کرده است. این تعیین، که توسط خزانهداری اعلیحضرت (HM Treasury) با هماهنگی بانک انگلستان (BoE)، سازمان مقررات احتیاطی (PRA) و سازمان رفتار مالی (FCA) انجام شده است، نشاندهنده یک تغییر ساختاری در اختیارات نظارتی است. برای اولین بار، این غولهای فناوری در مورد خدماتی که به بخش مالی بریتانیا ارائه میدهند، تحت نظارت مستقیم و قانونی ناظران مالی قرار خواهند گرفت. این تصمیم شکاف صلاحیت قضایی دیرینهای را پر میکند و اذعان دارد که ستون فقرات فناوری سیستم مالی به اندازه خود بانکها از اهمیت سیستمی برخوردار است.[1]
سازوکار ممکنکننده این نظارت ریشه در قانون خدمات و بازارهای مالی ۲۰۲۳ (FSMA) دارد، که اختیارات گسترده جدیدی را به ناظران اعطا کرد تا ارائهدهندگان خدمات شخص ثالثی را که شکست آنها میتواند ثبات سیستم مالی بریتانیا را تهدید کند، شناسایی و نظارت کنند. پیش از این قانون، ناظران در یک تنگنای آزاردهنده قرار داشتند: آنها میتوانستند یک بانک را به دلیل نقص فناوری اطلاعات به شدت جریمه کنند، اما هیچ اختیار قانونی برای بازرسی یا تنظیم مقررات ارائهدهنده خدمات ابری که واقعاً باعث قطعی شده بود، نداشتند. بانکها در تئوری مسئول مدیریت ریسکهای شخص ثالث خود بودند، اما در عمل، یک وامدهنده متوسط عملاً هیچ قدرت چانهزنی برای درخواست ممیزیهای امنیتی سفارشی از یک غول فناوری چند تریلیون دلاری ندارد.[3]
ریسک تمرکزی که باعث این مداخله شد، حیرتآور است. بر اساس ارزیابیهای نظارتی، بیش از ۶۵ درصد از مؤسسات مالی بریتانیا برای زیرساختهای حیاتی خود، از میزبانی دادههای پایه گرفته تا اجرای پیچیده معاملات الگوریتمی و تشخیص تقلب در زمان واقعی، به چهار ارائهدهنده اصلی خدمات ابری متکی هستند. این انحصار چندجانبه به این معنی است که یک نقص محلی سرور در یک منطقه دسترسی آمازون وب سرویسز (AWS) یا مایکروسافت آژور (Microsoft Azure) میتواند به طور همزمان دهها مؤسسه مالی را از دسترس خارج کند. بانک انگلستان (BoE) بارها هشدار داده است که این تمرکز یک نقطه شکست واحد ایجاد میکند و آنچه قبلاً نقصهای فناوری اطلاعات جداگانه بود را به بحرانهای سیستمی بالقوهای تبدیل میکند که میتواند اعتماد عمومی به سیستم مالی را تضعیف کند.
تحت رژیم جدید CTP، شرکتهای فناوری تعیینشده باید به مجموعهای سختگیرانه از حداقل استانداردهای تابآوری که به طور خاص برای بخش مالی طراحی شدهاند، پایبند باشند. ناظران اکنون دارای اختیار قانونی هستند که دادههای عملیاتی دقیق را درخواست کنند، آزمایشهای منظم تابآوری را الزامی سازند و حتی بازرسیهای حضوری از مراکز داده و دفاتر شرکتها انجام دهند. اگر یک CTP نتواند این استانداردها را رعایت کند یا از همکاری امتناع ورزد، ناظران میتوانند توبیخ عمومی صادر کنند، جریمههای مالی اعمال نمایند، یا در موارد شدید، مؤسسات مالی را به طور کامل از استفاده از خدمات آن ارائهدهنده منع کنند. این نشاندهنده یک تغییر عمیق از همکاری داوطلبانه به انطباق اجباری است.
یکی از ارکان اصلی چارچوب جدید، الزام به انجام تستهای استرس مبتنی بر سناریو است، مفهومی که مستقیماً از مقررات سنتی بانکی وام گرفته شده است. همانطور که بانکها باید ثابت کنند سرمایه کافی برای بقا در یک رکود اقتصادی شدید را دارند، CTPها نیز اکنون باید نشان دهند که میتوانند خدمات حیاتی را در طول اختلالات عملیاتی شدید حفظ کنند. این سناریوها شامل حملات سایبری پیچیده توسط دولتها، قطعیهای گسترده شبکه برق و خطاهای داخلی در استقرار نرمافزار است. شرکتهای فناوری باید ثابت کنند که دارای دستورالعملهای قوی مدیریت حوادث، زیرساختهای اضافی (Redundant) و توانایی بازیابی سریع دادهها بدون آسیب رساندن به دفاتر مالی مشتریان بانکی خود هستند.[3]
یکی از ارکان اصلی چارچوب جدید، الزام به انجام تستهای استرس مبتنی بر سناریو است، مفهومی که مستقیماً از مقررات سنتی بانکی وام گرفته شده است.
واکنش صنعت فناوری به این تعیین، ترکیبی از همکاری عمومی و نگرانی خصوصی بوده است. نمایندگان شرکتهای تعیینشده به طور علنی از وضوح قوانین جدید استقبال کردهاند و بر تعهدات موجود خود به امنیت در سطح سازمانی و منافع مشترکشان در حفظ یک اکوسیستم مالی تابآور تأکید کردهاند. با این حال، در پشت درهای بسته، مدیران اجرایی فناوری نگرانیهایی را در مورد افزایش هزینههای انطباق و احتمال دخالت بیش از حد نظارتی ابراز کردهاند. یک ترس محسوس وجود دارد مبنی بر اینکه ناظران مالی، که به نظارت بر بانکهای کندرو عادت دارند، ممکن است ناخواسته چرخههای نوآوری سریعی را که مشخصه صنعت رایانش ابری است، خفه کنند.[2]
یکی از نقاط اصلی اصطکاک، ماهیت عمیقاً یکپارچه معماری ابری مدرن است. ارائهدهندگان خدمات ابری در محیطهای جهانی و چندمستأجری فعالیت میکنند که در آن دادههای مالی در همان سرورهای فیزیکی قرار دارند که دادههای ارائهدهندگان خدمات بهداشتی، غولهای خردهفروشی و سازمانهای دولتی. ناظران خواستار دید بیسابقهای نسبت به این محیطها هستند، که سؤالات پیچیدهای را در مورد حریم خصوصی دادهها، حفاظت از مالکیت فکری و امکان عملیاتی جداسازی حجم کاری مالی برای ممیزیهای نظارتی ایجاد میکند. شرکتهای فناوری برای مدیریت این خواستهها بدون به خطر انداختن مدلهای عملیاتی گستردهتر خود، به شدت در ابزارهای انطباق جدید و رابطهای اختصاصی بخش مالی سرمایهگذاری میکنند.[2][3]
ابتکار بریتانیا در خلاء رخ نمیدهد؛ بلکه بخشی از یک تلاش جهانی گستردهتر و هماهنگ برای مهار ریسک سیستمی ناشی از فناوری است. اتحادیه اروپا در حال حاضر در حال اجرای چارچوب فراگیر خود، قانون تابآوری عملیاتی دیجیتال (DORA) است که نظارت مستقیم مشابهی را بر ارائهدهندگان خدمات شخص ثالث حیاتی فناوری اطلاعات و ارتباطات (ICT) اعمال میکند. اگرچه رژیمهای بریتانیا و اتحادیه اروپا اهداف اساسی یکسانی دارند، اما در الزامات فنی خاص و زمانبندی گزارشدهی متفاوت هستند. این واگرایی یک معمای پیچیده انطباق را برای غولهای فناوری ایجاد میکند، که اکنون باید سیستمهای خود را طوری مهندسی کنند که چندین ناظر نظارتی همپوشان در حوزههای قضایی مختلف را راضی نگه دارند.[1][3]
در آن سوی اقیانوس اطلس، ناظران آمریکایی از نزدیک در حال تماشای آزمایشهای اروپایی و بریتانیایی هستند. شورای نظارت بر ثبات مالی (FSOC) به طور فزایندهای تمرکز ابری را به عنوان یک آسیبپذیری سیستمی اصلی برجسته کرده است، اما ایالات متحده در حال حاضر فاقد یک چارچوب قانونی یکپارچه قابل مقایسه با FSMA 2023 بریتانیا یا DORA اتحادیه اروپا است. در عوض، آژانسهای بانکی ایالات متحده به مجموعهای از دستورالعملهای غیرمستقیم و قانون شرکت خدمات بانکی متکی هستند، که امکان بررسی برخی از فروشندگان شخص ثالث را فراهم میکند اما از رژیم جامع و پیشگیرانهای که اکنون در لندن ایجاد شده، کوتاهی میکند. تحلیلگران صنعت انتظار دارند که اجرای قوانین بریتانیا به عنوان یک الگو برای اقدامات نظارتی آتی ایالات متحده عمل کند.[2]
برای بخش بانکی، تعیین CTP حس آرامش عمیقی را به همراه دارد، هرچند که با نگرانیهایی در مورد هزینههای آتی همراه است. مؤسسات مالی مدتهاست استدلال میکنند که به طور ناعادلانهای مسئول شکستهای عملیاتی انحصارات فناوریای هستند که کنترلی بر آنها ندارند. با انتقال بخشی از بار نظارتی مستقیماً به ارائهدهندگان خدمات ابری، رژیم جدید مسئولیت قانونی را با کنترل عملیاتی واقعی هماهنگ میکند. با این حال، بانکها به خوبی آگاه هستند که غولهای فناوری احتمالاً هزینههای هنگفت انطباق با مقررات را به شکل افزایش هزینههای خدمات به مشتریان خود منتقل خواهند کرد، که به طور بالقوه حاشیه سود را در یک محیط رقابتی فشردهتر میکند.[1][3]
موفقیت نهایی رژیم CTP به شدت به توانایی ناظران در ایجاد تخصص فنی داخلی بستگی خواهد داشت. نظارت بر معماری یک ارائهدهنده خدمات ابری در مقیاس بزرگ، نیازمند مجموعهای از مهارتها است که اساساً با تحلیل سبد وام یک بانک متفاوت است. بانک انگلستان، PRA و FCA در حال حاضر درگیر یک استخدام گسترده هستند و معماران ابری، متخصصان امنیت سایبری و دانشمندان داده را برای تأمین نیروی انسانی بخشهای نظارتی جدید خود به کار میگیرند. اگر ناظران در درک سیستمهای پیچیدهای که موظف به نظارت بر آنها هستند شکست بخورند، کل چارچوب در معرض خطر تبدیل شدن به یک تمرین بوروکراتیک قرار میگیرد که فقط کاغذبازی تولید میکند، بدون اینکه واقعاً تابآوری سیستمی را بهبود بخشد.
با نگاه به آینده، تعیین «چهار بزرگ» احتمالاً تنها فاز اول یک محیط نظارتی در حال گسترش است. همانطور که بخش مالی به پذیرش فناوریهای نوظهور ادامه میدهد، ناظران از هماکنون قصد خود را برای بررسی دقیق سایر گرههای حیاتی در زنجیره تأمین نشان میدهند. این میتواند در نهایت شامل تجمیعکنندگان بزرگ داده، ارائهدهندگان مدلهای هوش مصنوعی و شبکههای مخابراتی تخصصی شود. سابقه ایجاد شده توسط رژیم CTP حکم میکند که هر نهادی که زیرساختهای اساسی را برای سیستم مالی فراهم میکند، باید آماده باشد تا درهای خود را به روی نظارت نظارتی باز کند.[3]
در نهایت، تعیین مایکروسافت، گوگل، آمازون و اوراکل به عنوان طرفهای ثالث حیاتی توسط بریتانیا، نشاندهنده یک تحول ضروری در سیاستگذاری مالی است. این اقدام اذعان دارد که تعریف ریسک سیستمی در عصر دیجیتال اساساً تغییر کرده است. بریتانیا با قرار دادن معماران فضای ابری تحت چتر نظارتی، تلاش میکند تا سیستم مالی خود را در برابر تهدیدات نامرئی و بههمپیوسته قرن بیست و یکم مقاومسازی کند. آزمون واقعی این چارچوب نه در نگارش آن، بلکه در اجرای آن در طول قطعی بزرگ بعدی فناوری اطلاعات جهانی خواهد بود—زمانی که تابآوری فضای ابری، ثبات اقتصاد را تعیین خواهد کرد.[1][3]

روند رویداد
June 2023
بریتانیا قانون خدمات و بازارهای مالی (FSMA) ۲۰۲۳ را تصویب میکند و مبنای قانونی رژیم CTP را ایجاد مینماید.
December 2023
ناظران مقاله مشورتی CP26/23 را منتشر میکنند که قوانین پیشنهادی و انتظارات از شرکتهای فناوری را تشریح میکند.
Early 2026
بانک انگلستان، PRA و FCA پس از بازخورد گسترده از بخشهای فناوری و بانکی، کتاب قوانین را نهایی میکنند.
July 2026
خزانهداری اعلیحضرت رسماً اولین گروه از غولهای فناوری را به عنوان طرفهای ثالث حیاتی تعیین میکند و نظارت مستقیم را فعال میسازد.
بررسی عمیق دیدگاهها
دیدگاه ناظران مالی
ناظران استدلال میکنند که نظارت مستقیم تنها راه مدیریت ریسکهای سیستمی بانکداری دیجیتال مدرن است.
از نظر بانک انگلستان و شرکای نظارتی آن، تعیین CTP یک اصلاح دیرهنگام برای یک عدم تعادل ساختاری خطرناک است. ناظران استدلال میکنند که سیستم مالی تنها به اندازه ضعیفترین حلقهاش قوی است، و در طول دهه گذشته، آن حلقه خارج از حوزه قضایی آنها در مزارع سرور سیلیکون ولی قرار داشته است. ناظران بر این باورند که با اجرای تست استرس اجباری و گزارشدهی حوادث، میتوانند از تبدیل شدن یک نقص محلی فناوری اطلاعات به یک «هجوم دیجیتال بانکی» که اقتصاد گستردهتر را فلج میکند، جلوگیری نمایند.
دیدگاه ارائهدهندگان خدمات ابری
شرکتهای فناوری از تابآوری حمایت میکنند اما میترسند که قوانین جهانی همپوشان نوآوری را خفه کرده و عملیات را پیچیده کند.
ارائهدهندگان اصلی خدمات ابری به طور علنی از هدف ثبات مالی حمایت میکنند و خاطرنشان میسازند که مدلهای کسبوکار آنها به اعتماد سازمانی وابسته است. با این حال، آنها استدلال میکنند که معماری ابری ذاتاً جهانی و چندمستأجری است، که اجرای مقررات خاص هر حوزه قضایی را دشوار میسازد. مدیران اجرایی فناوری به ویژه نگران اصطکاک بین رژیم CTP بریتانیا، DORA اتحادیه اروپا و دستورالعملهای نوظهور ایالات متحده هستند. آنها هشدار میدهند که مجبور کردن آنها به ساخت زیرساختهای سفارشی و ایزولهشده برای ناظران مختلف میتواند در نهایت کارایی و مزایای امنیتی را که در وهله اول باعث ارزشمندی فضای ابری شده است، کاهش دهد.
دیدگاه مؤسسات بانکی
بانکها از مسئولیت مشترک استقبال میکنند اما برای تأثیر مالی آتی انطباق فناوری آماده میشوند.
مؤسسات مالی مدتهاست که احساس میکنند بین ناظران سختگیر و انحصارات فناوری انعطافناپذیر گرفتار شدهاند. بانکها تعیین CTP را به عنوان یک پیروزی برای عدالت میبینند، زیرا سرانجام غولهای فناوری را مجبور میکند بار نظارتی زیرساختی را که کنترل میکنند، به دوش بکشند. با این حال، این آرامش با واقعیت اقتصادی تعدیل میشود. مدیران اجرایی بانک پیشبینی میکنند که هزینههای هنگفت مرتبط با ممیزیهای نظارتی، تیمهای انطباق اختصاصی و مهندسی تابآوری پیشرفته، به ناچار به شکل هزینههای بالاتر مجوز نرمافزار سازمانی و میزبانی به آنها منتقل خواهد شد.
آنچه نمیدانیم
- در صورتی که ناظران بریتانیا و اتحادیه اروپا استانداردهای فنی متناقضی را از یک ارائهدهنده خدمات ابری واحد درخواست کنند، اختلافات فرامرزی چگونه حل و فصل خواهد شد.
- با توجه به اختلالی که ایجاد میکند، آیا ناظران واقعاً از شدیدترین قدرت خود—یعنی ممنوعیت استفاده یک بانک از یک ارائهدهنده ابری خاص—استفاده خواهند کرد یا خیر.
- شرکتهای فناوری با چه سرعتی هزینههای این رژیم انطباق جدید را به مشتریان بخش مالی خود منتقل خواهند کرد.
اصطلاحات کلیدی
- ریسک تمرکز (Concentration Risk)
- خطری که زمانی ایجاد میشود که بخش بزرگی از یک صنعت به یک فروشنده واحد یا گروه بسیار کوچکی از فروشندگان متکی باشد و یک نقطه شکست واحد ایجاد کند.
- FSMA 2023
- قانون خدمات و بازارهای مالی ۲۰۲۳، یک قانون مهم بریتانیا که به ناظران قدرت تعیین و نظارت بر طرفهای ثالث حیاتی را اعطا کرد.
- DORA
- قانون تابآوری عملیاتی دیجیتال، یک مقررات موازی اتحادیه اروپا که برای اطمینان از مقاومت مؤسسات مالی و ارائهدهندگان فناوری آنها در برابر اختلالات عملیاتی شدید طراحی شده است.
- تست استرس (Stress Testing)
- یک تمرین نظارتی که در آن شرکتها باید ثابت کنند سیستمهایشان میتوانند از سناریوهای فاجعهبار فرضی، مانند حملات سایبری یا قطعی شبکه برق، جان سالم به در ببرند.
پرسشهای متداول
طرف ثالث حیاتی (CTP) چیست؟
CTP ارائهدهنده خدماتی است، مانند یک شرکت رایانش ابری، که شکست یا اختلال در آن میتواند ثبات کل سیستم مالی بریتانیا را تهدید کند.
چرا ناظران قبلاً نمیتوانستند بر این شرکتهای فناوری نظارت کنند؟
از لحاظ تاریخی، ناظران مالی فقط اختیار قانونی برای نظارت بر بانکها و شرکتهای مالی داشتند. آنها میتوانستند یک بانک را به دلیل نقص فناوری اطلاعات جریمه کنند، اما نمیتوانستند مستقیماً شرکت فناوری که باعث آن شده بود را تنظیم مقررات کنند.
آیا این امر باعث گرانتر شدن خدمات بانکی میشود؟
این احتمال وجود دارد. شرکتهای فناوری برای رعایت این استانداردهای نظارتی با هزینههای انطباق جدید و قابل توجهی روبرو هستند و تحلیلگران صنعت انتظار دارند که این هزینهها به شکل افزایش هزینههای خدمات به بانکها منتقل شود.
آیا ایالات متحده نیز اقدام مشابهی انجام میدهد؟
هنوز نه. در حالی که ناظران آمریکایی تمرکز ابری را به عنوان یک ریسک بزرگ شناسایی کردهاند، در حال حاضر فاقد یک چارچوب قانونی یکپارچه مانند FSMA 2023 بریتانیا برای تنظیم مستقیم مقررات غولهای فناوری هستند.
منابع
[1]Reutersمؤسسات بانکی
UK Treasury designates tech giants as 'critical third parties' to financial sector
مطالعه در Reuters →[2]Financial Timesارائهدهندگان زیرساخت ابری
Cloud providers face new reality as Bank of England gains direct oversight powers
مطالعه در Financial Times →[3]Factlen Editorial Teamمؤسسات بانکی
Synthesis by Factlen editorial team
مطالعه در Factlen Editorial Team →
هر زاویه. هر روز.
دریافت مالی اخبار همراه با پوشش کامل منابع و تحلیل دیدگاهها، مستقیم در صندوق ورودی شما.





