近日,在一份关于金融稳定的报告中,国际货币基金组织(IMF)用了一章(共三章)的篇幅描述了网络攻击对金融环境的影响,并警告称,全球金融稳定正受到日益频繁和复杂的网络攻击的威胁。同时,极端损失的风险也在增加。以下为报告摘录:
背景介绍
在过去的二十年中,特别是自2020年以来,与网络相关的事件变得越来越频繁,尤其是具有恶意意图的网络事件数量(例如网络勒索或恶意数据泄露)与COVID-19大流行之前相比几乎翻了一番(见图1)。
【图1:2004–23全球网络事件数量走势】
网络事件会给企业带来巨大的成本。自2020年以来,上报的网络事件直接损失总额已达近280亿美元(按实际价值计算),数十亿条记录被盗或泄露(见图2)。然而,这些事件的总直接和间接成本很可能还要高得多,估计占全球GDP的1%至10%。
(*直接损失包括用于赔偿损害、罚款和处罚、敲诈勒索的金额,或业务中断造成的业务收入损失。间接损失包括声誉受损、未来业务下滑、网络安全投资增加和生产力下降等成本。)
【图2:总损失金额和受影响记录数量】
金融行业正高度暴露于网络风险之下。过去二十年间,在上报的网络安全事件中有近五分之一关乎金融部门,其中,银行是最常见的目标,其次是保险公司和资产管理公司(见图3)。金融公司报告了重大的直接损失,自2004年以来总计损失近120亿美元,其中2020年-2023年间就损失了25亿美元(见图4)。
【图3:2004-23年全球网络事件数目,按行业划分】
【图4:2004-23年全球网络事故造成的损失,按行业划分】
IMF警告称:
尽管迄今为止网络事件还不是系统性的,但主要金融机构发生的严重事件可能会导致信心丧失、关键服务中断,以及技术和金融的相互关联性,从而对宏观金融稳定构成严重威胁。
网络风险影响宏观金融稳定的方式
首先,网络事件(如数据泄露)可能会导致公众对目标机构的生存能力丧失信心,继而通过存款提取或银行挤兑等方式提高流动性风险。这种流动性风险可能导致偿付能力问题,并可能溢出到金融体系的相关方。
其次,如果网络事件影响到一个难以替代的关键机构或金融市场基础设施,金融稳定的风险可能很快就会成为现实。例如,对参与支付系统的主要银行的勒索软件攻击、关键云服务提供商的故障、对央行的黑客攻击或金融系统关键枢纽(如电子交易系统或清算所)的破坏,都可能迅速破坏金融稳定。
第三,通过技术关联(如多家公司使用相同的软件)或金融关联(如银行间市场和结算系统或共同资产持有)的机构互联性可以将网络事件的影响传播到整个金融体系。因此,重大网络事件可能会对宏观经济结果产生不利影响,例如支付系统中断等后果。
【图5:网络安全与宏观金融稳定的传导渠道】
此外,非金融机构的网络事件也可能破坏金融稳定。例如,对关键基础设施(如电网)的网络攻击可能会使金融机构难以正常运作,其影响会蔓延至宏观经济。系统性非金融机构发生的严重网络事件也可能增加金融机构的信贷或流动性风险。公共机构的网络事件同样可能扰乱政府运作。例如,攻击可能会破坏政府债务的管理,通过主权风险溢价的上升直接或间接地对金融部门产生不利影响。
金融服务领域的新兴技术和创新同样可能加剧网络风险。尽管人工智能(AI)的进步可以帮助提高对风险和欺诈的检测,但它同样会被恶意行为者滥用。最值得注意的是,攻击者正通过生成式人工智能(GenAI)生成更复杂的网络钓鱼或深度伪造信息,来实施身份盗窃或欺诈。例如,在2024年1月,骗子利用深度伪造技术创建了一个群视频通话,欺骗了一家跨国公司的员工转移了2亿港元(2600万美元)。此外,AI还使公司面临数据集泄露的风险,例如用于训练AI算法的数据或第三方AI提供商分析的数据。展望未来,量子计算的出现及其快速破解金融系统中使用的加密算法的潜力也可能扩大网络攻击造成的损失。
网络事件的经济影响
到目前为止,公司报告的网络事件的直接损失通常不大。根据现有数据,网络安全事故给公司造成的直接损失中位数约为40万美元,其中四分之三的损失低于280万美元(见图6)。尽管恶意事件造成的损失是非恶意事件的5倍多(约为50万美元),但损失的绝对值总体上也不大。例如,大多数网络勒索(如勒索软件攻击或恶意数据泄露)造成的损失为1200万美元。然而,这种分布是严重倾斜的,一些事件造成了数亿美元的损失。这种极端的损失可能导致公司的流动性问题,甚至危及其偿付能力。
【图6:2012–23年间企业直接损失,各事故类型划分】
网络事件造成极端损失的风险仍在不断增加。调查结果显示,自2017年以来,一个国家在给定年份的最大损失中位数达到1.41亿美元,相当于公司平均营业收入的50%左右。分析还表明,每10年一次网络事件预计会导致25亿美元的损失,约为公司平均营业收入的800%。潜在地威胁到受影响公司的流动性和偿付能力。就金融公司而言,一年中估计的最大损失是相似的——平均每年约为1.52亿美元,每10年高达22亿美元(见图7)。
【图7:金融行业年度最大损失的估计分布】
上报的公司直接损失可能无法完全反映网络事件的全部经济成本。公司通常不会报告网络事件造成的间接损失——比如业务损失、声誉损害或网络安全投资——因为这些损失可能难以捕捉,或者随着时间的推移才能逐渐显现。然而,网络事件造成的总体损失(即直接+间接损失)可以使用股价对网络事件的反应来估计,因为股票市场是前瞻性的,反映了市场参与者对公司价值的评估。
分析表明,在控制市场走势和其他相关因素的情况下,股票价格对网络事件的平均反应并不强烈,然而,股价似乎确实会对网络攻击做出反应。平均而言,公司的股票回报率下降了0.1个百分点到0.2个百分点,尽管这种影响在统计上并不强。小公司的损失是最大的,也是最显著的(从0.3%到近0.6%不等),这表明小公司阻止和处理网络攻击潜在损失的能力较差。总的来说,这些股票市场反应公司市值损失高达9000万美元,这远远大于公司报告的直接损失。
网络事件的驱动因素
了解导致网络事件发生的因素对于制定健全的网络安全政策和战略至关重要。网络事件是由公司对网络事件的总体暴露程度和防止网络事件的能力决定的。例如,与数字足迹有限的小公司相比,拥有广泛数字足迹且严重依赖IT技术的盈利大公司更可能成为网络攻击的目标。与此同时,这些公司也可能有更大的能力投资于网络安全,增强弹性,使它们不那么容易受到网络事件的影响。此外,处于地缘政治紧张局势国家的公司也更可能成为网络攻击的受害者。相比之下,拥有成熟网络治理能力的公司,以及在拥有强大网络法律的国家运营的公司更有可能防止网络事件。
分析表明,数字化和地缘政治紧张局势显著提高了网络事件的风险。例如,从联合国电信基础设施指数的第10个百分位数(马达加斯加或马拉维的水平)上升到第90个百分位数(西班牙的水平),网络事件的可能性就会从0.5%上升到2%以上。地缘政治紧张局势加剧的国家遭遇网络事件的风险也同样会增加。较大的公司和那些拥有较高无形资产份额的公司——通常是IT公司——也面临着更高的网络攻击概率。相比之下,网络立法更发达国家的公司不太可能成为网络事件的目标。
在COVID-19大流行期间转向远程办公的公司更有可能发生网络事件。数据显示,在大流行之前仅适度依赖远程办公,但在大流行期间转向远程办公的公司,遭遇的网络事件增加更多(见下图)。
【图8:COVID-19大流行前后网络事件的概率(按部门远程工作能力划分)】
金融领域的网络威胁形势
金融体系尤其易受网络风险的影响。金融公司处理大量客户数据和交易,这可能使它们沦为寻求金钱收益或破坏经济活动的网络犯罪分子的首选目标。如上所述,在上报的网络安全事件中有近五分之一关乎金融部门,其中,银行是最常见的目标。这一脆弱性凸显了管理和减轻网络风险对维护全球金融稳定的至关重要性。
以下三个关键特征放大了金融机构的脆弱性:
- 首先,在考虑诸如支付服务和托管银行等关键服务时,银行的市场集中度在国家和全球层面都很高。一般来说,银行的支付网络是金融系统基础设施的关键部分。网络事件可能会破坏这些网络,严重影响经济活动。除了银行之外,金融市场基础设施——包括支付和证券结算系统、中央证券存管机构和交易存储库——通常具有市场集中度高、可替代性低的特点,这使得对金融市场基础设施的成功网络攻击成为金融体系的主要漏洞。
- 其次,由于规模经济和网络效应,金融公司的运营越来越依赖于普通的第三方IT提供商。这包括采用通用软件解决方案,获取类似的硬件组件,以及迁移到一组选定的全球云计算或关键服务提供商。数据显示,超过50%的全球主要银行的IT供应商向两家或更多的全球主要银行提供产品和服务,这意味着存在广泛的重叠。尽管第三方IT提供商可以使金融机构受益,例如提高运营弹性,但它们也存在风险。如果管理不当,提供第三方服务的高度重叠可能会使金融体系面临常见冲击,在发生网络事件时中断关键服务,并对金融机构和金融稳定构成重大风险。例如,IT部门的网络事件经常会蔓延到其他部门的公司。
- 第三,金融机构之间的高度互联互通可能加剧传染,并导致更有可能发生具有系统性影响的网络事件。例如,网络事件中断了单个金融公司的支付处理,可能会对其他公司的流动性和运营造成连锁反应。同样地,金融机构发生的严重网络事件可能会在更广泛的范围内破坏对金融体系的信任,在极端情况下,还会导致市场抛售或银行挤兑。
金融科技的快速发展带来了额外的网络风险。金融科技公司通过其数字化运营和互联性增加了金融体系面临网络威胁的风险。去中心化金融自2020年以来迅速增长,而对采用智能合约的去中心化金融的网络攻击也很常见,且往往会造成巨大损失。虽然中央银行数字货币没有经历过任何已知的成功网络攻击,但网络攻击可能存在未知和不可预测的风险,因为它们可能依赖于分布式账本技术等新技术,而这些技术没有被广泛接受的网络安全框架。黑客也经常针对加密资产,对加密交易所的网络攻击也有所增加。随着加密资产越来越多地融入金融体系,它们的脆弱性可能会给金融体系带来风险。
各国的网络安全准备情况
当前,全球金融体系面临着日益严重的网络风险,应对网络风险的政策和治理框架必须与时俱进。如前所述,标准制定者和主要监管机构已经认识到这一需求。然而,在许多国家,特别是在网络威胁与数字化同步增长的新兴市场和发展中经济体,法律框架和公司层面的网络治理安排仍然不足。
【图9:Maplecroft网络立法指数和国际电联全球网络安全指数】
根据2021年国际货币基金组织对各国央行和监管机构的调查显示,新兴市场和发展中经济体的网络安全政策框架仍然不足:只有47%的受访国家制定了以国家和金融部门为重点的网络安全战略。大约一半的国家实施了专门的网络安全法规,54%的国家采用了数据隐私法。
分析调查的各个维度表明,自2021年以来,新兴市场和发展中经济体的网络安全监管和测试方法有所改善:
- 半数接受调查的新兴市场和发展中经济体报告称,它们设有专门的网络风险监管部门,72%的经济体规定定期进行网络测试和演习,22%的经济体积极管理此类测试。
- 几乎一半的受访司法管辖区有权审查第三方服务提供商,鉴于越来越多的金融机构将业务迁移到云上,这是一个至关重要的进展。
- 正式的网络风险压力测试仍然不太常见,只有27%的受访经济体将网络风险纳入其压力测试计划。仅有8%的司法管辖区开发了网络地图,以识别金融机构之间的主要技术和服务联系。
- 金融部门的信息共享策略有助于防止网络威胁,但只有28%的司法管辖区报告称,金融实体之间有系统地共享信息和情报。尽管中央银行和监管机构越来越多地参与国内全行业信息共享,但与其他司法管辖区共享数据的国家数量并未增加(约为50%)。只有49%的国家有网络安全事件报告制度。
网络安全准备指数反映了应对网络风险的监管能力,揭示了新兴市场和发展中经济体之间的差距。根据调查结果,各国建立了网络安全准备指数,以总结网络战略和监管、监管实践、网络安全测试方法、意识建设和监管能力建设的质量。该指数的范围从0到5,其中5分代表网络准备的最高水平。结果显示,2023年新兴市场和发展中经济体的该指数平均得分为3分(略高于2021年的2.8分),表明网络准备水平为“中等”。一半的国家得分低于3分,超过五分之一的国家得分低于2分,突显出它们在缓解网络风险方面存在严重缺陷。
【图10:网络防范指数得分的频率分布】
从该指数的地区细分来看,非洲和亚洲的网络准备水平相对较低。虽然拉丁美洲的监管和监督能力似乎有所提高,但非洲和亚洲国家的网络准备水平平均而言仍然相对较低。最近,在国际货币基金组织有关网络安全监管方面的能力建设倡议中,约有三分之二集中在这些地区。
【图11:2023年各地区网络准备指数平均值】
调查结果表明,各国——特别是新兴市场和发展中经济体需要采取更多措施来应对网络风险。总的来说,金融部门网络准备方面大致存在如下问题:1)国家和金融部门网络安全战略以及利益相关者之间的协调存在缺口;2)董事会网络能力和对第三方服务提供商的有效监管不足;3)网络安全法规和监管、事件报告制度和网络测试要求方面存在不足。此外,缺乏认知、资源限制和优先事项不明往往也会阻碍进一步的进展。
结论及建议
网络风险对金融稳定的威胁不断加剧。在全球范围内,恶意网络事件日益频繁。虽然过去网络事件造成的损失通常不大,但在某些情况下可能会造成极端损失。尽管金融部门尚未发生系统性网络攻击,但在数字化、技术发展和地缘政治紧张局势加剧的背景下,风险已经大幅增加。
金融部门的网络安全战略,加上有效的监管和监督能力,可以帮助建立弹性。为此,金融组织需要建立足够熟练的网络风险监管小组,定期进行现场评估,并收集相关数据进行非现场监管,以评估网络安全形势。还应绘制金融和技术联系地图,以识别第三方服务提供商的互联性和集中度带来的潜在系统性风险。监管机构则应鼓励金融组织完善“网络成熟度”。这需要董事会层面的网络专业知识、三道防线(在业务、风险管理和审计层面管理风险)、提高公司在线安全和维护系统健康的网络卫生(如反恶意软件和多因素身份验证),以及网络培训和意识教育。
为有效监控网络安全,应加强向监管机构报告网络事件。缺乏数据是有效监督和金融稳定分析以及公司层面风险管理的关键障碍。近年来,公司对网络事件和相关损失的报告有所改善,但仍然不完整,并且存在滞后性。网络事件的数据收集需要在全球范围内优先考虑,信息应在金融部门参与者之间共享,以加强他们的集体准备。
监管机构还应要求金融公司开发和测试响应和恢复程序,以便在网络事件中保持运营能力。能够在中断期间提供关键服务,对于限制金融体系的潜在中断同样重要。为此,企业需要确定其关键业务服务,并确保经过测试的灾难恢复计划和危机管理框架部署到位。国家当局还应制定有效的响应控制和危机管理框架,以应对系统性网络危机。
监控与网络相关的流动性风险同样是必要的。过去,网络攻击后的存款外流一直是适度的,对银行的流动性要求似乎通常足以解决这些问题。然而,展望未来,在评估压力情景下的流动性需求时,公司将需要考虑网络攻击并做好准备。此外,央行业务连续性应急计划也应考虑网络风险,包括在危机中提供流动性的风险。
鉴于网络攻击的全球性和系统性影响,跨境协调对于减轻网络风险至关重要。网络攻击通常并不来自金融公司所在国,收益可以跨越国界,这加剧了追究攻击者责任和追回资金的难度。因此,为成功解决网络安全问题,制定国际合作议定书至关重要。此外,各国需要协调网络事件的报告,以促进跨境信息共享。
此外,网络保险可以帮助抵消网络风险,但在可用性和使用方面受到限制。企业越来越依赖网络保险来防止网络事件造成的经济损失,但覆盖范围仍然很低。缺乏数据——特别是关于网络事件的总损失、未实现的攻击以及网络安全投资等关键风险指标的数据可能会导致网络保险的可用性受到限制。
原文链接:https://cybernews.com/security/imf-cyberattacks-threaten-global-financial-stability/#google_vignette