11月15日,欧洲央行(ECB)发布了一份题为“建立评估系统性网络风险的框架”(Towards a framework for assessing systemic cyber risk)的报告。该报告研究了由网络攻击引起的风险是否以及在多大程度上有可能破坏金融体系的稳定性,调查了网络攻击增加的性质和来源。
摘译 | 林心雨/赛博研究院实习研究员
来源 | European Central Bank
数字化正在改变全球经济,包括提高生产力和扩大消费者获取信息的途径。虽然这些力量正在促进更大的竞争、支持经济增长和降低价格,但同时也存在着一定风险——数字化会增加受到网络攻击的可能性。
对关键基础设施的网络攻击,可能会迅速导致整个系统的压力。金融机构对网络风险管理效果所产生的负面外部效应可以为公共政策的应对提供依据。虽然现有的宏观审慎政策工具包应对网络风险的能力有限,但其日益增长的相关性要求宏观审慎监督者预测这些风险,评估金融系统吸收这些风险的能力,并在必要时发布风险警告。
计量经济学证据表明,网络攻击不是随机的,而是由经济实力、金融全球化程度以及政策和政治不确定性等因素驱动的。这突显了当局促进信息共享和填补网络攻击的数据空白的重要性。
引言
网络攻击正变得越来越频繁和严重。随着全球数字化程度的提高,以及地缘政治风险和经济不确定性的消长变化,2021年报告的网络攻击数量约为2015年的三倍,之后有所回落(图1,a)。同时,公众对这一问题的兴趣和认识也大幅提高(图1,b)。
虽然数字化有助于提高生产力、促进商品和服务市场的更大竞争,但同时也存在着风险——随着对数字基础设施的依赖增加,数字化也可能导致网络攻击的增加。例如,云技术集中了信息和数据存储,同时也通过更大的网络流量创造了相互依赖性。这增加了针对性网络攻击的数量。
随着经济和金融活动更广泛和更深入的数字化,网络攻击的脆弱性预计也会不断上升。与此相一致的是,尽管存在不确定性,但分析师对网络犯罪成本的估计也在不断攀升,支撑了对网络安全行业大幅增长的预期(图1,c)。在此背景下,该报告研究了网络攻击带来的风险是否以及在多大程度上有可能破坏金融系统的稳定。
图1
网络风险对金融稳定的影响
数字化正在创造经济和金融的相互联系,因此,我们需要从宏观金融的角度来看待网络威胁。人们普遍认为,系统性风险有两个关键维度:一个是横断面维度,另一个是时间维度。横断面维度涉及的是,金融系统内的风险在某一特定时间点的分布,以及金融系统的具体冲击如何自我传播并成为系统性冲击。时间维度概括了金融稳定风险随时间推移的内生演变,包括繁荣时期金融脆弱性的累积和顺周期积累,以及萧条阶段的过度避险情绪。
图2 各部门面临的网络风险示意图
网络攻击的相关性在系统性风险的横断面和时间维度上都在不断发展。在横断面方面,快速的金融创新和数字化正在增加金融和非金融部门对网络攻击的敏感性(图2)。随着实体活动和金融活动之间相互联系的增加,源自实体经济的网络攻击扩散并给金融机构带来运营挑战的可能性也在增加。例如,鉴于金融部门在金融或技术上对实体经济代理人的依赖,供应链中断可能导致金融部门的运营困难。此外,来自实体经济的网络风险很容易蔓延到金融部门,损害金融中介并更广泛地反馈到实体经济,反之亦然。因此,任何关于网络攻击对金融稳定性影响的讨论都需要从宏观金融角度出发。
图3
如果一个关键实体受到影响,或者多个受影响的非关键实体之间的相互联系演变成系统性威胁,网络攻击则可能会产生系统性后果。可以说,经济、金融和社会活动等的数字依赖程度增加,为网络攻击成为系统性风险创造了必要但还不够充分的条件。网络攻击成为金融系统稳定的风险来源的可能性取决于损失影响的广泛程度和严重程度(图3,a)。此外,可替代性、风险相关性和相互关联性都是决定系统相关性的关键因素。例如,云技术在集中信息和数据存储的同时也创造了相互依赖性。随着对这些服务的依赖性增加,遭受网络攻击的可能性也随之增加,可能会使经济和金融活动陷入瘫痪(图3,b)。
衡量威胁环境
数据可用性方面的缺陷以及质量问题,对量化网络攻击的可能性和可能的影响构成了挑战。对于网络攻击的受害者来说,业务可靠性以及管理可信度和声誉等问题可能会决定有关报告的决策,特别是报告的内容。这意味着公开共享的有关网络攻击的规模、范围和特征的信息只是部分的,并且很可能包含选择偏差。马里兰大学的CISSM网络攻击数据库通过提供公开承认的对全球私人和公共组织的网络攻击的开源信息,还是对网络攻击的性质提供了一些见解。它涵盖了2014年至2022年间约9700起此类事件。
近年来,公开的网络攻击数量显著增加,其中大部分事件集中在主要发达国家。自2014年以来持续增长,报告的事件数量在2020年新冠肺炎期间达到了暂时的高峰,当时许多以服务为导向的部门转向了远程工作模式,增加了许多漏洞,为攻击者提供了新的机会。根据该数据集,发达国家比发展中国家更频繁地成为网络攻击的受害者,数据库中超过50%的网络攻击记录在美国,而欧元区国家约占13%(图1,a)。
图4 按部门、事件类型、威胁行为者和动机分列的全球网络攻击情况(2021)
具有经济动机的犯罪分子是推动网络攻击的主要力量,但不同经济部门的行为者和动机各不相同。公共行政、卫生和教育部门是最经常成为目标的部门。对金融部门的攻击较为温和,约占总数的5%至10%(图4)。总的来说,大多数攻击都是由犯罪分子进行的,金融部门也是如此,其中90%以上的案件涉及犯罪分子。其他主要针对金融、信息技术和公共管理部门的参与者包括黑客和国家行为者。虽然金融动机(占75%以上)是攻击金融部门的主要驱动力,但抗议活动也发挥了作用。
网络风险的驱动因素和影响
网络攻击不是随机发生的,而是对可识别因素的反映,包括经济实力和金融全球化程度。在国家层面,网络攻击的频率似乎与经济重要性相吻合,并且以该国家在全球GDP中的份额来衡量。在某种程度上,数字化程度是经济发展的函数,这可能会影响网络攻击的方式。与此同时,金融动机可能与经济发展齐头并进。同样,一个国家融入全球金融结构的程度似乎也发挥了作用,突出了网络攻击的系统性潜力(图5,a)。
图5
除了这些横断面维度的因素外,有证据表明,政策不确定性等周期性因素也发挥了作用,导致网络攻击事件的发生似乎也具有时间维度的特征。例如,在政治和政策不确定性加剧的时候,以及地缘政治局势紧张的时候,网络攻击的频率往往会增加(图5,b)。更具体地说,政策不确定性的增加往往伴随着随后六到九个月的网络攻击频率的增加(图5,c)。
对资产加密是应对网络攻击的主要支付方式之一,因此这类网络攻击的很大一部分都涉及到盗窃加密资产。对于金融部门来说,超过三分之二的总成本可归因于加密资产的盗窃,例如,对加密交易所、钱包和去中心化金融平台的攻击。可见,近年来,加密资产的兴起可能导致网络攻击的增加。
图6
对信息技术安全预防措施的投资可以降低网络攻击的成本。就收入的比例而言,美国建筑和艺术行业的网络攻击成本往往最高,而金融和保险业的成本与其收入相比相对较低。一些研究表明,网络事件的成本与信息技术的支出成反比。然而,尽管有这种潜在的关系,漏洞往往最终还是集中在高度依赖技术、金融弹性较弱和防范意识较弱的目标。
图7
网络攻击风险的加剧增加了全球对网络保险的需求,而且有迹象表明,网络事件导致的评级下调已初见端倪。到目前为止,网络保险仍然是一个主要集中在美国的市场。然而,随着过去十年中网络攻击的频率增加,非金融公司对网络攻击相关损失的保险需求也相应上升。这反过来又推动了保险费急剧上升(图7,a)。例如,美国2022年第二季度的保险费率比上一季度增长了27%。保险公司将系统性风险和积累风险列为潜在的重大损失触发事件。与此同时,评级机构已开始将网络风险纳入其ESG评分的社会支柱中。近年来,网络风险越来越多地出现在评级机构的出版物中,并且已经导致一些负面的评级行动(图7,b)。
政策考虑
信息不对称以及风险和外部因素的集中,可能导致市场无法对与网络攻击相关的风险进行最佳衡量。网络风险具有一系列特征,使潜在的缓解措施的实施复杂化。例如,报告网络事件意味着记录网络漏洞,这可能转化为更高的保险费、更高的债务融资成本和更低的信用评级,从而产生与信息不对称相关的所谓代理问题。此外,特定类型的网络攻击造成的损失是不可保的。在真正需要保险时,如果发生系统性攻击,这种排除可能会导致巨大的经济损失。因此,旨在解决市场失灵和外部因素的公共政策有助于抵御系统性威胁的能力。
随着风险的增加,监管机构一直在设计和运作框架,努力尝试减轻网络风险。只要对网络攻击的基本驱动因素有了更多的了解,就会更容易预见潜在的漏洞并相应地调整行动。近年来,包括中央银行在内的公共领域的网络意识显著提高。同时,研究表明,可以通过增加预防措施在信息技术上的支出来缓解网络威胁。然而,随着信息安全技术的复杂化,也可以预见网络攻击者部署的技术将做出反应,从而形成一种类似于军备竞赛的动态。最终,在网络攻击带来的成本和不断增加的安全措施支出之间,可能需要做出权衡。特别是当威胁行为者是国家支持的时候,抵御攻击所需的资源可能对于单个公司来说太过繁重。可以说,对这种威胁的防御应该属于国家安全部队的职权范围。
不同的国际论坛也在制定促进网络弹性的举措。例如,G7网络专家组正在研究第三方风险、以威胁为主导的渗透测试和网络演习计划。在欧洲层面,微观审慎监管机构已将网络风险纳入其监管重点,并引入了网络事件报告框架,以监测重要机构面临的威胁。在宏观审慎方面,欧洲系统性风险委员会(ESRB)建议建立泛欧系统性网络事件协调框架,以降低协调失败的风险。最后,欧盟即将出台的《数字运营弹性法案》将为欧盟金融实体制定一个详细而全面的数字运营弹性框架,目的是加强金融服务的网络安全,应对更广泛的运营风险。
结论
宏观审慎机构正在制定框架,以监测和识别网络攻击产生的系统性风险,但在一个快速发展的风险环境中,数据差距的存在是无法避免的。
从该报告的分析中可以得出三个关键信息。首先,网络攻击具有横断面维度。如果它们影响一个关键实体,或者如果多个受影响的非关键实体之间的相互联系集成系统性威胁,则它们可能会构成系统性风险。其次,来自网络攻击的威胁也有时间维度。在政治和经济不确定性加剧的时期,这种威胁似乎有所增加。最后,尽管现有的宏观审慎政策工具包应对网络相关风险的能力有限,但宏观审慎监管机构可以做很多事情来监控和评估风险。计量经济学证据表明,网络攻击的系统性模式不是随机和特殊的,而是与经济和政治周期相关联的。巨大的数据缺口、快速变化的网络环境、系统性网络风险的复杂性以及技术与金融体系之间日益增长的相互联系,使得设计专门的政策以减轻与网络攻击相关的风险具有挑战性。因此,政策制定者应努力改善监测和分析框架,扩大宏观审慎工具包,促进业务和政策层面的合作与信息共享,以提高和保障金融系统的弹性,减轻网络攻击的系统性影响。
声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。