近日,在一份关于金融稳定的报告中,国际货币基金组织(IMF)用了一章(共三章)的篇幅形貌了网络攻击对金融环境的影响,并警告称,全球金融稳定正受到日益频仍和复杂的网络攻击的威胁。同时,极端损失的风险也在增长。以下为报告摘录:
配景介绍
在过去的二十年中,特殊是自2020年以来,与网络相干的事件变得越来越频仍,尤其是具有恶意意图的网络事件数量(比方网络打单或恶意数据泄漏)与COVID-19大流行之前相比几乎翻了一番(见图1)。
【图1:2004–23全球网络事件数量走势】
网络事件会给企业带来巨大的成本。自2020年以来,上报的网络事件直接损失总额已达近280亿美元(按实际代价计算),数十亿条记载被盗或泄漏(见图2)。然而,这些事件的总直接和间接成本很大概还要高得多,估计占全球GDP的1%至10%。
(*直接损失包括用于赔偿损害、罚款和处罚、诓骗打单的金额,或业务停止造成的业务收入损失。间接损失包括声誉受损、未来业务下滑、网络安全投资增长和生产力下降等成本。)
【图2:总损失金额和受影响记载数量】
金融行业正高度暴露于网络风险之下。过去二十年间,在上报的网络安全事件中有近五分之一关乎金融部门,此中,银行是最常见的目标,其次是保险公司和资产管理公司(见图3)。金融公司报告了重大的直接损失,自2004年以来总计损失近120亿美元,此中2020年-2023年间就损失了25亿美元(见图4)。
【图3:2004-23年全球网络事件数目,按行业划分】
【图4:2004-23年全球网络变乱造成的损失,按行业划分】
IMF警告称:
“尽管迄今为止网络事件还不是体系性的,但重要金融机构发生的严重事件大概会导致信心丧失、关键服务停止,以及技能和金融的相互关联性,从而对宏观金融稳定构成严重威胁。”
网络风险影响宏观金融稳定的方式
起首,网络事件(如数据泄漏)大概会导致公众对目标机构的生存能力丧失信心,继而通过存款提取或银行挤兑等方式进步活动性风险。这种活动性风险大概导致偿付能力问题,并大概溢出到金融体系的相干方。
其次,假如网络事件影响到一个难以替换的关键机构或金融市场基础设施,金融稳定的风险大概很快就会成为实际。比方,对参与支付体系的重要银行的打单软件攻击、关键云服务提供商的故障、对央行的黑客攻击或金融体系关键枢纽(如电子交易体系或清算所)的粉碎,都大概迅速粉碎金融稳定。
第三,通过技能关联(如多家公司利用相同的软件)或金融关联(如银行间市场和结算体系或共同资产持有)的机构互联性可以将网络事件的影响传播到整个金融体系。因此,重大网络事件大概会对宏观经济结果产生不利影响,比方支付体系停止等结果。
【图5:网络安全与宏观金融稳定的传导渠道】
此外,非金融机构的网络事件也大概粉碎金融稳定。比方,对关键基础设施(如电网)的网络攻击大概会使金融机构难以正常运作,其影响会伸张至宏观经济。体系性非金融机构发生的严重网络事件也大概增长金融机构的信贷或活动性风险。公共机构的网络事件同样大概扰乱政府运作。比方,攻击大概会粉碎政府债务的管理,通过主权风险溢价的上升直接或间接地对金融部门产生不利影响。
金融服务范畴的新兴技能和创新同样大概加剧网络风险。尽管人工智能(AI)的进步可以资助进步对风险和诓骗的检测,但它同样会被恶意行为者滥用。最值得注意的是,攻击者正通过天生式人工智能(GenAI)天生更复杂的网络垂纶或深度伪造信息,来实施身份盗窃或诓骗。比方,在2024年1月,骗子利用深度伪造技能创建了一个群视频通话,诱骗了一家跨国公司的员工转移了2亿港元(2600万美元)。此外,AI还使公司面对数据集泄漏的风险,比方用于训练AI算法的数据或第三方AI提供商分析的数据。预测未来,量子计算的出现及其快速破解金融体系中利用的加密算法的潜力也大概扩大网络攻击造成的损失。
网络事件的经济影响
到目前为止,公司报告的网络事件的直接损失通常不大。根据现有数据,网络安全变乱给公司造成的直接损失中位数约为40万美元,此中四分之三的损失低于280万美元(见图6)。尽管恶意事件造成的损失是非恶意事件的5倍多(约为50万美元),但损失的绝对值总体上也不大。比方,大多数网络打单(如打单软件攻击或恶意数据泄漏)造成的损失为1200万美元。然而,这种分布是严重倾斜的,一些事件造成了数亿美元的损失。这种极端的损失大概导致公司的活动性问题,甚至危及其偿付能力。
【图6:2012–23年间企业直接损失,各变乱范例划分】
网络事件造成极端损失的风险仍在不绝增长。调查结果表现,自2017年以来,一个国家在给定年份的最大损失中位数到达1.41亿美元,相当于公司均匀营业收入的50%左右。分析还表明,每10年一次网络事件预计会导致25亿美元的损失,约为公司均匀营业收入的800%。潜在地威胁到受影响公司的活动性和偿付能力。就金融公司而言,一年中估计的最大损失是相似的——均匀每年约为1.52亿美元,每10年高达22亿美元(见图7)。
【图7:金融行业年度最大损失的估计分布】
上报的公司直接损失大概无法完全反映网络事件的全部经济成本。公司通常不会报告网络事件造成的间接损失——比如业务损失、声誉损害或网络安全投资——由于这些损失大概难以捕捉,或者随着时间的推移才能徐徐显现。然而,网络事件造成的总体损失(即直接+间接损失)可以利用股价对网络事件的反应来估计,由于股票市场是前瞻性的,反映了市场参与者对公司代价的评估。
分析表明,在控制市场走势和其他相干因素的情况下,股票价格对网络事件的均匀反应并不强烈,然而,股价好像确实会对网络攻击做出反应。均匀而言,公司的股票回报率下降了0.1个百分点到0.2个百分点,尽管这种影响在统计上并不强。小公司的损失是最大的,也是最显著的(从0.3%到近0.6%不等),这表明小公司阻止和处理网络攻击潜在损失的能力较差。总的来说,这些股票市场反应公司市值损失高达9000万美元,这远远大于公司报告的直接损失。
网络事件的驱动因素
相识导致网络事件发生的因素对于制定健全的网络安全政策和战略至关紧张。网络事件是由公司对网络事件的总体暴露程度和防止网络事件的能力决定的。比方,与数字足迹有限的小公司相比,拥有广泛数字足迹且严重依靠IT技能的红利大公司更大概成为网络攻击的目标。与此同时,这些公司也大概有更大的能力投资于网络安全,增强弹性,使它们不那么轻易受到网络事件的影响。此外,处于地缘政治紧张局势国家的公司也更大概成为网络攻击的受害者。相比之下,拥有成熟网络治理能力的公司,以及在拥有强大网络法律的国家运营的公司更有大概防止网络事件。
分析表明,数字化和地缘政治紧张局势显著进步了网络事件的风险。比方,从联合国电信基础设施指数的第10个百分位数(马达加斯加或马拉维的程度)上升到第90个百分位数(西班牙的程度),网络事件的大概性就会从0.5%上升到2%以上。地缘政治紧张局势加剧的国家遭遇网络事件的风险也同样会增长。较大的公司和那些拥有较高无形资产份额的公司——通常是IT公司——也面对着更高的网络攻击概率。相比之下,网络立法更发达国家的公司不太大概成为网络事件的目标。
在COVID-19大流行期间转向长途办公的公司更有大概发生网络事件。数据表现,在大流行之前仅适度依靠长途办公,但在大流行期间转向长途办公的公司,遭遇的网络事件增长更多(见下图)。
【图8:COVID-19大流行前后网络事件的概率(按部门长途工作能力划分)】
金融范畴的网络威胁形势
金融体系尤其易受网络风险的影响。金融公司处理大量客户数据和交易,这大概使它们沦为寻求款子收益或粉碎经济活动的网络犯罪分子的首选目标。如上所述,在上报的网络安全事件中有近五分之一关乎金融部门,此中,银行是最常见的目标。这一脆弱性凸显了管理和减轻网络风险对维护全球金融稳定的至关紧张性。
以下三个关键特征放大了金融机构的脆弱性:
- 起首,在思量诸如支付服务和托管银行等关键服务时,银行的市场集中度在国家和全球层面都很高。一样平常来说,银行的支付网络是金融体系基础设施的关键部分。网络事件大概会粉碎这些网络,严重影响经济活动。除了银行之外,金融市场基础设施——包括支付和证券结算体系、中央证券存管机构和交易存储库——通常具有市场集中度高、可替换性低的特点,这使得对金融市场基础设施的乐成网络攻击成为金融体系的重要漏洞。
- 其次,由于规模经济和网络效应,金融公司的运营越来越依靠于普通的第三方IT提供商。这包括采用通用软件办理方案,获取类似的硬件组件,以及迁移到一组选定的全球云计算或关键服务提供商。数据表现,超过50%的全球重要银行的IT供应商向两家或更多的全球重要银行提供产品和服务,这意味着存在广泛的重叠。尽管第三方IT提供商可以使金融机构受益,比方进步运营弹性,但它们也存在风险。假如管理不当,提供第三方服务的高度重叠大概会使金融体系面对常见打击,在发生网络事件时停止关键服务,并对金融机构和金融稳定构成重大风险。比方,IT部门的网络事件经常会伸张到其他部门的公司。
- 第三,金融机构之间的高度互联互通大概加剧感染,并导致更有大概发生具有体系性影响的网络事件。比方,网络事件停止了单个金融公司的支付处理,大概会对其他公司的活动性和运营造成连锁反应。同样地,金融机构发生的严重网络事件大概会在更广泛的范围内粉碎对金融体系的信托,在极端情况下,还会导致市场抛售或银行挤兑。
金融科技的快速发展带来了额外的网络风险。金融科技公司通过其数字化运营和互联性增长了金融体系面对网络威胁的风险。去中心化金融自2020年以来迅速增长,而对采用智能合约的去中心化金融的网络攻击也很常见,且往往会造成巨大损失。虽然中央银行数字货币没有履历过任何已知的乐成网络攻击,但网络攻击大概存在未知和不可预测的风险,由于它们大概依靠于分布式账本技能等新技能,而这些技能没有被广泛担当的网络安全框架。黑客也经常针对加密资产,对加密交易所的网络攻击也有所增长。随着加密资产越来越多地融入金融体系,它们的脆弱性大概会给金融体系带来风险。
各国的网络安全准备情况
当前,全球金融体系面对着日益严重的网络风险,应对网络风险的政策和治理框架必须与时俱进。如前所述,标准制定者和重要监管机构已经熟悉到这一需求。然而,在很多国家,特殊是在网络威胁与数字化同步增长的新兴市场和发展中经济体,法律框架和公司层面的网络治理安排仍旧不足。
【图9:Maplecroft网络立法指数和国际电联全球网络安全指数】
根据2021年国际货币基金组织对各国央行和监管机构的调查表现,新兴市场和发展中经济体的网络安全政策框架仍旧不足:只有47%的受访国家制定了以国家和金融部门为重点的网络安全战略。大约一半的国家实施了专门的网络安全法规,54%的国家采用了数据隐私法。
分析调查的各个维度表明,自2021年以来,新兴市场和发展中经济体的网络安全监管和测试方法有所改善:
- 半数担当调查的新兴市场和发展中经济体报告称,它们设有专门的网络风险监管部门,72%的经济体规定定期进行网络测试和演习,22%的经济体积极管理此类测试。
- 几乎一半的受访司法管辖区有权审查第三方服务提供商,鉴于越来越多的金融机构将业务迁移到云上,这是一个至关紧张的希望。
- 正式的网络风险压力测试仍旧不太常见,只有27%的受访经济体将网络风险纳入其压力测试筹划。仅有8%的司法管辖区开辟了网络舆图,以识别金融机构之间的重要技能和服务接洽。
- 金融部门的信息共享计谋有助于防止网络威胁,但只有28%的司法管辖区报告称,金融实体之间有体系地共享信息和情报。尽管中央银行和监管机构越来越多地参与国内全行业信息共享,但与其他司法管辖区共享数据的国家数量并未增长(约为50%)。只有49%的国家有网络安全事件报告制度。
网络安全准备指数反映了应对网络风险的监管能力,揭示了新兴市场和发展中经济体之间的差距。根据调查结果,各国建立了网络安全准备指数,以总结网络战略和监管、监管实践、网络安全测试方法、意识建设和监管能力建设的质量。该指数的范围从0到5,此中5分代表网络准备的最高程度。结果表现,2023年新兴市场和发展中经济体的该指数均匀得分为3分(略高于2021年的2.8分),表明网络准备程度为“中等”。一半的国家得分低于3分,超过五分之一的国家得分低于2分,突显出它们在缓解网络风险方面存在严重缺陷。
【图10:网络防范指数得分的频率分布】
从该指数的地区细分来看,非洲和亚洲的网络准备程度相对较低。虽然拉丁美洲的监管和监视能力好像有所进步,但非洲和亚洲国家的网络准备程度均匀而言仍旧相对较低。近来,在国际货币基金组织有关网络安全监管方面的能力建设倡议中,约有三分之二集中在这些地区。
【图11:2023年各地区网络准备指数均匀值】
调查结果表明,各国——特殊是新兴市场和发展中经济体须要采取更多措施来应对网络风险。总的来说,金融部门网络准备方面大抵存在如下问题:1)国家和金融部门网络安全战略以及利益相干者之间的和谐存在缺口;2)董事会网络能力和对第三方服务提供商的有效监管不足;3)网络安全法规和监管、事件报告制度和网络测试要求方面存在不足。此外,缺乏认知、资源限制和优先事项不明往往也会阻碍进一步的希望。
结论及建议
网络风险对金融稳定的威胁不绝加剧。在全球范围内,恶意网络事件日益频仍。虽然过去网络事件造成的损失通常不大,但在某些情况下大概会造成极端损失。尽管金融部门尚未发生体系性网络攻击,但在数字化、技能发展和地缘政治紧张局势加剧的配景下,风险已经大幅增长。
金融部门的网络安全战略,加上有效的监管和监视能力,可以资助建立弹性。为此,金融组织须要建驻足够熟练的网络风险监管小组,定期进行现场评估,并网络相干数据进行非现场监管,以评估网络安全形势。还应绘制金融和技能接洽舆图,以识别第三方服务提供商的互联性和集中度带来的潜在体系性风险。监管机构则应鼓励金融组织美满“网络成熟度”。这须要董事会层面的网络专业知识、三道防线(在业务、风险管理和审计层面管理风险)、进步公司在线安全和维护体系健康的网络卫生(如反恶意软件和多因素身份验证),以及网络培训和意识教诲。
为有效监控网络安全,应增强向监管机构报告网络事件。缺乏数据是有效监视和金融稳定分析以及公司层面风险管理的关键障碍。近年来,公司对网络事件和相干损失的报告有所改善,但仍旧不完整,并且存在滞后性。网络事件的数据网络须要在全球范围内优先思量,信息应在金融部门参与者之间共享,以增强他们的团体准备。
监管机构还应要求金融公司开辟和测试响应和恢复步伐,以便在网络事件中保持运营能力。能够在停止期间提供关键服务,对于限制金融体系的潜在停止同样紧张。为此,企业须要确定其关键业务服务,并确保经过测试的灾难恢复筹划和危机管理框架摆设到位。国产业局还应制定有效的响应控制和危机管理框架,以应对体系性网络危机。
监控与网络相干的活动性风险同样是须要的。过去,网络攻击后的存款外流一直是适度的,对银行的活动性要求好像通常足以办理这些问题。然而,预测未来,在评估压力情景下的活动性需求时,公司将须要思量网络攻击并做好准备。此外,央行业务一连性应急筹划也应思量网络风险,包括在危机中提供活动性的风险。
鉴于网络攻击的全球性和体系性影响,跨境和谐对于减轻网络风险至关紧张。网络攻击通常并不来自金融公司所在国,收益可以跨越国界,这加剧了追究攻击者责任和追回资金的难度。因此,为乐成办理网络安全问题,制定国际合作议定书至关紧张。此外,各国须要和谐网络事件的报告,以促进跨境信息共享。
此外,网络保险可以资助抵消网络风险,但在可用性和利用方面受到限制。企业越来越依靠网络保险来防止网络事件造成的经济损失,但覆盖范围仍旧很低。缺乏数据——特殊是关于网络事件的总损失、未实现的攻击以及网络安全投资等关键风险指标的数据大概会导致网络保险的可用性受到限制。
原文链接:
https://cybernews.com/security/imf-cyberattacks-threaten-global-financial-stability/#google_vignette
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 | 
