自疫情以来,网络攻击的数量增加了一倍多。尽管从过去的情况看,网络攻击给企业造成的直接损失相对较小,但有些企业仍遭受了较为严重的损失。例如,美国信用报告机构Equifax在2017年发生了一起重大数据泄露事件,影响了约1.5亿消费者,它为此支付了超过10亿美元的罚款。
正如我们在2024年4月《全球金融稳定报告》的一个章节中所指出的,网络安全事件造成极端损失的风险正在增加。这种损失可能会导致企业出现资金问题,甚至危及其偿付能力。自2017年以来,这些极端损失的规模增加了三倍多,达到25亿美元。声誉受损或安全系统升级支出等间接损失要高得多。
金融部门尤其容易受到网络风险的影响。金融企业处理大量敏感数据和交易,因此经常成为试图窃取资金或破坏经济活动的犯罪分子的攻击目标。针对金融企业的攻击占攻击总数的近五分之一,其中银行受到的影响最大。
金融部门发生的网络安全事件如果削弱了人们对金融体系的信心,扰乱了关键服务,或对其他机构造成溢出效应,则可能威胁到金融和经济稳定。
例如,一家金融机构发生的严重网络安全事件可能会破坏人们对金融体系的信任,在极端情况下,还会导致市场抛售或银行挤兑。尽管目前尚未发生重大的”网络挤兑“事件,但我们的分析表明,美国一些小型银行在网络攻击发生后出现了一定程度的存款持续流失。
扰乱支付网络等关键服务的网络安全事件也可能严重影响经济活动。例如,去年12月莱索托中央银行遭到网络攻击,导致国家支付系统出现中断、国内银行无法开展交易。
另一个考虑因素是,金融企业越来越依赖第三方信息技术服务提供商,并且随着人工智能日益发挥作用,这种依赖性可能会增大。这些外部提供商可以提高金融行业的运营韧性,但也使其面临系统性冲击。例如,美国2023年发生的一起针对云信息技术服务提供商的勒索软件攻击导致60家信用社同时出现系统瘫痪。
正如本章所述,随着数字化程度提高和地缘政治紧张局势加剧,全球金融体系面临着日益严重的网络风险,有关政策以及企业治理框架必须跟上形势变化。
由于私人激励机制可能不足以解决网络风险问题(例如,企业可能不会对网络安全事件的系统性影响完全负责),因此公共干预可能是必要的。
然而,根据IMF对中央银行和监管机构的调查,各国特别是新兴市场和发展中经济体的网络安全政策框架往往仍然不足。例如,在接受调查的国家中,只有大约半数国家制定了以金融部门为重点的国家网络安全战略或专门的网络安全法规。
为了加强金融部门的韧性,当局应制定适当的国家网络安全战略,同时建立有效的监管能力,包括:
- 定期评估网络安全形势,识别相互关联性和集中度带来的潜在系统性风险,包括来自第三方服务提供商的风险。
- 鼓励金融部门企业提高网络“成熟度”,包括提高董事会成员的网络安全专业知识。正如本章的分析表明,改善网络相关治理可以降低网络风险。
- 改善企业的网络卫生,即改善其在线安全和系统健康状况(例如反恶意软件和多重身份验证),以及加强培训和网络安全意识。
- 重点开展网络安全事件的数据报告和收集工作,并促进金融部门参与者之间的信息共享,以提高它们的集体防范意识。
由于网络攻击通常来自金融企业所在国之外的地区,并且相关收益可以跨境转移,因此,国际合作对于成功应对网络风险至关重要。
尽管网络安全事件时有发生,但金融部门需要具备在受到干扰期间继续提供关键业务服务的能力。为此,金融企业应当制定和测试响应与恢复程序,国家当局应当制定有效的应对方案和危机管理框架。
IMF通过提供政策建议(例如通过金融部门评估规划和能力建设活动,积极帮助成员国加强网络安全框架。
——本博客在2024年4月《全球金融稳定报告》第三章“网络风险:日益影响宏观金融稳定”的基础上撰写。