Un fallo en el sistema técnico de refrigeración de los centros de datos proveedores de los bancos DBS y Citibank provocó la caída masiva de transacciones económicas, así como problemas para acceder a las aplicaciones móviles de estas firmas bancarias.

El apagón tuvo lugar el pasado 14 de cotubre, cuando se registró un problema en el sistema de refrigeración de un centro de datos de un proveedor externo a estas entidades bancarias. Según informan medios como ZDNet, este problema se registró en los centros de datos que gestiona la firma Equinix.

En concreto, la temperatura de sus sistemas de refrigeración superó el rango operativo óptimo, lo que provocó la caída de la infraestructura informática destinada a evitar el sobrecalentamiento. Esto produjo una interrupción de una hora de los servicios bancarios y de pago en Singapur.

Debido a esta interrupción de su servicio, millones de usuarios no pudieron completar transacciones económicas ni pagos, como tampoco tuvieron la oportunidad de acceder a las aplicaciones móviles de estos bancos.

En una reciente sesión parlamentaria celebrada por la Autoridad Monetaria de este país (MAS, por sus siglas en inglés), se han dado a conocer más detalles sobre el incidente y se ha determinado cuáles han sido los daños de esta interrupción de los centros de datos.

Concretamente, ha sido el secretario de Estado del Ministerio de Comercio e Industria y del Ministerio de Cultura, Comunidad y Juventud, así como miembro de la MAS, D. Alvin Tan, quien ha comentado lo sucedido. Lo ha hecho en nombre del viceprimer ministro y ministro de Hacienda y presidente de esta autoridad, D. Lawrence Wong.

Más concretamente, Tan ha detallado el impacto de esta desconexión y han confirmado que se debió a un mal funcionamiento del sistema de refrigeración en el centro de datos que alberga los sistemas de TI de DBS y Citibank.

En primer lugar, ha comentado que, para restaurar los servicios afectados, ambas entidades activaron "inmediatamente" sus planes de continuidad del negocio y recuperación ante desastres de TI.

No obstante, DBS y Citibank "encontraron problemas técnicos que les impidieron recuperar completamente sus sistemas afectados en sus respectivos centros de datos de respaldo", según este documento. La primera de estas entidades, por su parte, no pudo hacerlo por una mala configuración de la red, mientras que Citibank tuvo problemas de conectividad.

No fue hasta las 20:21 horas de ese mismo día cuando se restablecieron progresivamente los servicios en DBS, mientras que Citibank volvió a estar disponible, también parcialmente, a las 19:05 horas. Ambas volvieron a su funcionamiento habitual en las primeras horas del 15 de octubre.

En esta sesión también se ha determinado que el impacto de la interrupción del servicio "fue amplio" y que se estima que hubo hasta 810.000 intentos fallidos de acceder a las plataformas bancarias de ambos entre las 14:54 horas del 14 de octubre y las 4:47 horas del día siguiente.

Se exponen a multas

El ponente ha comentado que se debe responsabilizar a los bancos por este problema y ha recordado que esta autoridad les exige que establezcan una serie de planes de recuperación de desastres de infraestructuras TI y que los prueben de forma periódica.

De ese modo, la MAS cree que "los bancos deben realizar ejercicios de recuperación ante desastres con sus centros de datos de respaldo para validar que los sistemas y servicios críticos puedan restaruarse en las cuatro horas posteriores a una interrupción", según este escrito.

Asimismo, se apunta que el tiempo de inactividad no programado de un sistema crítico que afecte las operaciones o el servicio de un banco a los clientes no debe exceder las cuatro horas dentro de un período de doce meses.

Por otra parte, la MAS recuerda que son los bancos quienes tienen la responsabilidad de garantizar que los proveedores externos que escogen para garantizar sus operaciones o servicios "puedan cumplir con los requisitos de resiliencia operativa" y que sean quienes les supervisen "para que puedan prestar servicios con interrupciones mínimas".

De ahí que se considere que DBS y Citibank no hayan cumplido con estos requisitos para garantizar que sus infraestructuras sean resistentes a interrupciones prolongadas. No obstante, también ha planteado la posibilidad de que, a pesar de haber llevado a cabo su correspondiente control, los problemas derivados de esta interrupción del servicio de los centros de datos no surgieron durante estas pruebas.

Por todo ello, ha determinado que los bancos deben responsabilizarse de lo sucedido y que según la Ley Bancaria del país, la MAS puede imponer una multa de hasta 100.000 dólares a las instituciones financieras que infrinjan los requisitos sobre gestión de riesgos tecnológicos.

Además, ha apuntado que, con la aprobación de la Ley de Mercados y Servicios Financieros en 2022, que entrará en vigor el próximo año, la cuantía de la multa se incrementará hasta un máximo de un millón de dólares.

Por último, la Autoridad Monetaria de Singapur ha señalado que DBS y Citibank también deberán asumir responsabilidades con sus clientes, así como investigar las causas fundamentales del incidente, implementar medidas correctivas y fortalecer su capacidad de recuperación para afrontar futuras interrupciones.