網(wǎng)絡(luò)風(fēng)險(xiǎn)：日益威脅宏觀金融穩(wěn)定的憂患

提 要：自新冠疫情全球大流行以來(lái)，全球網(wǎng)絡(luò)攻擊的數(shù)量幾乎翻了一番。其中，金融部門面臨嚴(yán)重的網(wǎng)絡(luò)風(fēng)險(xiǎn)，近1/5的網(wǎng)絡(luò)安全事件已經(jīng)影響到金融公司。盡管迄今為止，網(wǎng)絡(luò)事件尚未成為系統(tǒng)性問(wèn)題，但重大金融機(jī)構(gòu)的嚴(yán)重網(wǎng)絡(luò)事件可能通過(guò)信任喪失、關(guān)鍵服務(wù)中斷以及技術(shù)和金融之間的互聯(lián)性，給宏觀金融穩(wěn)定帶來(lái)嚴(yán)重威脅。

關(guān)鍵詞：網(wǎng)絡(luò)風(fēng)險(xiǎn)；宏觀金融穩(wěn)定；風(fēng)險(xiǎn)應(yīng)對(duì)機(jī)制

一、引言

在過(guò)去二十年里，特別是自2020年以來(lái)網(wǎng)絡(luò)安全相關(guān)事件變得更加頻繁。尤為明顯的是，網(wǎng)絡(luò)惡意事件（“網(wǎng)絡(luò)攻擊”）的數(shù)量顯著增加，如相較于新冠疫情全球大流行前，網(wǎng)絡(luò)勒索或惡意數(shù)據(jù)泄露事件的數(shù)量，幾乎翻了一番。a網(wǎng)絡(luò)安全事件可能給公司帶來(lái)巨大的成本。從2020年起，網(wǎng)絡(luò)事件的直接報(bào)告損失總額已接近280億美元（以實(shí)際計(jì)算），數(shù)十億條記錄被盜或被泄露。然而，這些事件的直接和間接總成本很可能遠(yuǎn)高于此（Kamiya等，2021）。據(jù)估計(jì)，它的比例占全球GDP的1%到10%不等（戰(zhàn)略與國(guó)際研究中心，2020；Statista，2022）。b許多因素導(dǎo)致網(wǎng)絡(luò)安全事件的增加。如快速增長(zhǎng)的數(shù)字連接性——尤其是在新冠疫情全球大流行期間加速發(fā)展（Jamilov、Rey和Tahoun，2023），對(duì)技術(shù)和金融創(chuàng)新的日益依賴——可能與網(wǎng)絡(luò)風(fēng)險(xiǎn)的上升有關(guān)。考慮到2022年2月俄烏沖突后網(wǎng)絡(luò)攻擊激增，地緣政治局勢(shì)的緊張可能是一個(gè)促成因素。a

金融行業(yè)高度暴露于網(wǎng)絡(luò)風(fēng)險(xiǎn)之下。過(guò)去二十年報(bào)告的網(wǎng)絡(luò)安全事件中有近1/5影響到金融部門，銀行是最常見(jiàn)的目標(biāo)，其次是保險(xiǎn)公司和資產(chǎn)管理公司。金融公司報(bào)告了重大的直接損失，自2004年以來(lái)總計(jì)近120億美元， 2020年以來(lái)總計(jì)25億美元。發(fā)達(dá)經(jīng)濟(jì)體的金融機(jī)構(gòu)，特別是美國(guó)的金融機(jī)構(gòu)，比新興市場(chǎng)和發(fā)展中經(jīng)濟(jì)體的公司更容易受到網(wǎng)絡(luò)安全事件的影響。如，美國(guó)最大的銀行摩根大通（JPMorgan Chase）的最近報(bào)告稱，該銀行每天經(jīng)歷450億起網(wǎng)絡(luò)事件，每年在相關(guān)技術(shù)上花費(fèi)150億美元，雇傭了6.2萬(wàn)名技術(shù)人員，其中許多技術(shù)人員是專注于網(wǎng)絡(luò)安全的。b

網(wǎng)絡(luò)事件是一個(gè)關(guān)鍵的運(yùn)營(yíng)風(fēng)險(xiǎn)，可能威脅到金融機(jī)構(gòu)的運(yùn)營(yíng)彈性，并對(duì)整體宏觀金融穩(wěn)定產(chǎn)生不利影響。金融機(jī)構(gòu)或國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)事件可能通過(guò)三個(gè)主要渠道導(dǎo)致宏觀金融穩(wěn)定風(fēng)險(xiǎn)：?jiǎn)适判模狈λ峁┓?wù)的替代品，互聯(lián)性（Adelmann等， 2020）。雖然迄今為止，網(wǎng)絡(luò)事件的發(fā)生不是系統(tǒng)性的，但持續(xù)的快速數(shù)字化轉(zhuǎn)型和技術(shù)創(chuàng)新（如人工智能）以及日益加劇的全球地緣政治緊張局勢(shì)增加了這種風(fēng)險(xiǎn)。近年來(lái)發(fā)生的重大網(wǎng)絡(luò)事件——如2023年11月8日對(duì)中國(guó)工商銀行美國(guó)分行的勒索病毒攻擊，就導(dǎo)致美國(guó)國(guó)債市場(chǎng)的交易暫時(shí)中斷——這進(jìn)一步凸顯了在主要金融機(jī)構(gòu)發(fā)生的網(wǎng)絡(luò)事件可能威脅金融穩(wěn)定。私營(yíng)部門對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的關(guān)注度有所提高。企業(yè)領(lǐng)導(dǎo)和金融行業(yè)參與者認(rèn)為，網(wǎng)絡(luò)不安全性是全球宏觀金融穩(wěn)定的主要風(fēng)險(xiǎn)（加拿大銀行，2023a；英格蘭銀行，2023；存托信托和清算公司，2023；世界經(jīng)濟(jì)論壇，2023；安永/國(guó)際金融協(xié)會(huì)，2024）。過(guò)去幾年，企業(yè)在財(cái)報(bào)電話會(huì)議中提及網(wǎng)絡(luò)風(fēng)險(xiǎn)的數(shù)量激增，這表明企業(yè)和分析師對(duì)這一問(wèn)題更加關(guān)注。關(guān)于網(wǎng)絡(luò)安全的擔(dān)憂也反映在越來(lái)越多的公司購(gòu)買保險(xiǎn)以防范網(wǎng)絡(luò)事件帶來(lái)的財(cái)務(wù)損失（相較于普通責(zé)任保險(xiǎn)合同）。中央銀行和金融監(jiān)管機(jī)構(gòu)將網(wǎng)絡(luò)安全視為一個(gè)重大風(fēng)險(xiǎn)。c歐洲系統(tǒng)性風(fēng)險(xiǎn)委員會(huì)、美國(guó)金融穩(wěn)定監(jiān)督委員會(huì)和英格蘭銀行金融政策委員會(huì)，已將網(wǎng)絡(luò)風(fēng)險(xiǎn)認(rèn)定為系統(tǒng)性風(fēng)險(xiǎn)的來(lái)源（歐洲系統(tǒng)性風(fēng)險(xiǎn)委員會(huì)，2020；金融穩(wěn)定監(jiān)督委員會(huì)，2023；英格蘭銀行，2024b）。中央銀行和金融監(jiān)管機(jī)構(gòu)在金融穩(wěn)定報(bào)告和監(jiān)管壓力測(cè)試中，也越來(lái)越多地考慮網(wǎng)絡(luò)風(fēng)險(xiǎn)。a全球范圍內(nèi)緩解金融部門網(wǎng)絡(luò)風(fēng)險(xiǎn)的努力也在加快，多個(gè)標(biāo)準(zhǔn)制定機(jī)構(gòu)發(fā)布了政策文件和指南，以加強(qiáng)網(wǎng)絡(luò)韌性。b

在此背景下，本文評(píng)估了網(wǎng)絡(luò)風(fēng)險(xiǎn)對(duì)金融穩(wěn)定的潛在影響，并討論了減輕此類風(fēng)險(xiǎn)的政策選項(xiàng)。首先，本文提出一個(gè)簡(jiǎn)單的概念框架，闡明了網(wǎng)絡(luò)風(fēng)險(xiǎn)可能通過(guò)哪些渠道破壞宏觀金融穩(wěn)定。其次，本文實(shí)證地探討三個(gè)關(guān)鍵問(wèn)題：第一，網(wǎng)絡(luò)事件給企業(yè)層面造成的損失有多大？第二，哪些因素解釋了網(wǎng)絡(luò)事件的發(fā)生？第三，金融部門面臨網(wǎng)絡(luò)風(fēng)險(xiǎn)的脆弱性有多大？為了解答這些問(wèn)題，本文依托多種數(shù)據(jù)來(lái)源，包括綜合性企業(yè)層面數(shù)據(jù)集，涵蓋大約9萬(wàn)家公司報(bào)告的超過(guò)17萬(wàn)起網(wǎng)絡(luò)事件。a由于私人部門應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的動(dòng)機(jī)可能與社會(huì)最優(yōu)水平的網(wǎng)絡(luò)安全存在差異，因此可能需要公共干預(yù)（Kopp、Kaffenberger和Wilson ，2017；Kashyap和Wetherilt， 2019）。通過(guò)一項(xiàng)調(diào)查，本文提供了中央銀行、金融監(jiān)管機(jī)構(gòu)和金融監(jiān)管者準(zhǔn)備應(yīng)對(duì)網(wǎng)絡(luò)事件的情況，尤其是在新興市場(chǎng)和發(fā)展中經(jīng)濟(jì)體中的準(zhǔn)備情況。最后，本文討論了加強(qiáng)金融系統(tǒng)應(yīng)對(duì)系統(tǒng)性網(wǎng)絡(luò)風(fēng)險(xiǎn)韌性的政策選項(xiàng)。

二、網(wǎng)絡(luò)風(fēng)險(xiǎn)的傳遞

金融機(jī)構(gòu)的網(wǎng)絡(luò)事件可能通過(guò)三個(gè)關(guān)鍵渠道威脅宏觀金融的穩(wěn)定性。其一，網(wǎng)絡(luò)事件（如數(shù)據(jù)泄露）可能導(dǎo)致對(duì)目標(biāo)機(jī)構(gòu)生存能力喪失信心，進(jìn)而通過(guò)存款提取或銀行擠兌等方式提高流動(dòng)性風(fēng)險(xiǎn)，即“網(wǎng)絡(luò)擠兌”（Duffie和Younger， 2019）。這種流動(dòng)性風(fēng)險(xiǎn)可能導(dǎo)致償付能力問(wèn)題，并可能蔓延至金融系統(tǒng)中的相關(guān)方。其二，如果網(wǎng)絡(luò)事件影響到一個(gè)難以替代的關(guān)鍵機(jī)構(gòu)或金融市場(chǎng)的基礎(chǔ)設(shè)施，那么金融穩(wěn)定的風(fēng)險(xiǎn)可能迅速顯現(xiàn)。例如，針對(duì)參與支付系統(tǒng)的大型銀行的勒索軟件攻擊、關(guān)鍵云服務(wù)提供商的故障、中央銀行的黑客攻擊，或金融系統(tǒng)中的關(guān)鍵樞紐（如電子交易系統(tǒng)或清算所）遭到破壞，都可能迅速波及并破壞金融穩(wěn)定（Healey等，2018）。其三，機(jī)構(gòu)通過(guò)技術(shù)連接（如多個(gè)公司使用相同軟件）或金融聯(lián)系（如銀行間市場(chǎng)、結(jié)算系統(tǒng)或共同資產(chǎn)持有）形成的相互聯(lián)系，可能會(huì)將網(wǎng)絡(luò)事件的影響傳播到整個(gè)金融系統(tǒng)（Eisenbach、Kovner和Lee，2022）。因此，重大網(wǎng)絡(luò)事件可能對(duì)宏觀經(jīng)濟(jì)結(jié)果產(chǎn)生不利影響，如降低信貸供應(yīng)或破壞支付系統(tǒng)。網(wǎng)絡(luò)事件還可能通過(guò)非金融機(jī)構(gòu)來(lái)破壞金融穩(wěn)定。例如，針對(duì)關(guān)鍵基礎(chǔ)設(shè)施（如電網(wǎng)）的網(wǎng)絡(luò)攻擊可能使金融機(jī)構(gòu)難以正常運(yùn)營(yíng)，進(jìn)而影響宏觀經(jīng)濟(jì)。

系統(tǒng)性非金融機(jī)構(gòu)發(fā)生的嚴(yán)重網(wǎng)絡(luò)事件也可能增加金融機(jī)構(gòu)的信貸或流動(dòng)性風(fēng)險(xiǎn)。考慮到在不利的金融狀況下網(wǎng)絡(luò)風(fēng)險(xiǎn)可能上升，這些影響會(huì)被放大（Eisenbach、Kovner和Lee ，2023）。發(fā)生在公共機(jī)構(gòu)的網(wǎng)絡(luò)事件同樣可能擾亂政府的運(yùn)作。例如，攻擊會(huì)破壞政府債務(wù)管理，直接或間接通過(guò)主權(quán)風(fēng)險(xiǎn)溢價(jià)的上升對(duì)金融部門產(chǎn)生不利影響（《全球金融穩(wěn)定報(bào)告》，2022年4月）。盡管人工智能（AI）的進(jìn)步可以幫助提高對(duì)風(fēng)險(xiǎn)和欺詐的檢測(cè)能力，然而新興技術(shù)和金融服務(wù)創(chuàng)新也可能加劇網(wǎng)絡(luò)風(fēng)險(xiǎn)。例如，通過(guò)觀察異常行為，人工智能也可能被惡意活動(dòng)利用（Boukherouaa等，2021）。b最顯著的是，通過(guò)生成式人工智能（GenAI），更復(fù)雜的釣魚(yú)信息或深度偽造被用于身份盜竊或欺詐（Boukherouaa和Shabsigh， 2023）。c例如，2024年1月，騙子通過(guò)使用深度偽造技術(shù)創(chuàng)建團(tuán)體視頻通話，誘使一家跨國(guó)公司的員工轉(zhuǎn)賬2億港元（約合2600萬(wàn)美元）。a此外，人工智能還使公司面臨數(shù)據(jù)集泄漏的風(fēng)險(xiǎn)，如泄露用于訓(xùn)練人工智能算法的數(shù)據(jù)，或第三方人工智能提供商分析的數(shù)據(jù)。b展望未來(lái)，量子計(jì)算的出現(xiàn)及其快速破解金融系統(tǒng)加密算法的潛力，也可能放大網(wǎng)絡(luò)攻擊的損失（Sedik等，2021；美國(guó)總統(tǒng)辦公室，2022）。

三、企業(yè)因網(wǎng)絡(luò)事件遭受的損失

迄今為止，企業(yè)因網(wǎng)絡(luò)事件報(bào)告的直接損失一般不大，但可能變得非常巨大。根據(jù)現(xiàn)有數(shù)據(jù)，所有網(wǎng)絡(luò)事件報(bào)告中的企業(yè)直接損失中位數(shù)約為40萬(wàn)美元，所有報(bào)告中3/4的報(bào)告損失低于280萬(wàn)美元。雖然惡意事件造成的損失是非惡意事件的五倍以上，約為50萬(wàn)美元，但惡意事件造成的絕對(duì)損失的幅度一般不太大。例如，大多數(shù)網(wǎng)絡(luò)敲詐事件，如勒索軟件攻擊或惡意數(shù)據(jù)泄露，造成的損失最高為1200萬(wàn)美元。然而，這一分布嚴(yán)重偏斜，一些事件的損失達(dá)到數(shù)億美元。這種極端損失可能導(dǎo)致企業(yè)的流動(dòng)性問(wèn)題，甚至危及其償付能力。c由網(wǎng)絡(luò)事件造成極端損失的風(fēng)險(xiǎn)一直在增加。正因?yàn)榫W(wǎng)絡(luò)事件造成的巨大損失較為罕見(jiàn)，所以準(zhǔn)確量化其發(fā)生概率是一個(gè)挑戰(zhàn)。為了解決這一問(wèn)題，本文估算了一個(gè)廣義極值分布——工程學(xué)中常用來(lái)研究近似高度偏斜的隨機(jī)實(shí)驗(yàn)極端結(jié)果分布的方法。d研究結(jié)果顯示，某一年內(nèi)一個(gè)國(guó)家的最大損失中位數(shù)，換句話說(shuō)，大抵為大多數(shù)年份發(fā)生的最大損失，自2017年以來(lái)已經(jīng)翻倍，2021年達(dá)到1.41億美元，相當(dāng)于企業(yè)平均運(yùn)營(yíng)收入的約50%。分析還表明，每10年就可能發(fā)生一次網(wǎng)絡(luò)事件，造成25億美元的損失，這可能威脅到受損失企業(yè)的流動(dòng)性和償付能力。具體到金融企業(yè)，預(yù)計(jì)每年最大損失相當(dāng)，即，在一個(gè)典型年份中位數(shù)約為1.52億美元，每10年可能發(fā)生一次高達(dá)22億美元的損失。

企業(yè)報(bào)告的直接損失可能無(wú)法完全反映網(wǎng)絡(luò)事件的總體經(jīng)濟(jì)成本。企業(yè)通常不會(huì)報(bào)告網(wǎng)絡(luò)事件帶來(lái)的間接損失——如業(yè)務(wù)喪失、聲譽(yù)損害或網(wǎng)絡(luò)安全投資——因?yàn)檫@些損失可能很難捕捉或可能是隨著時(shí)間的推移逐步展開(kāi)的。然而，總體損失（即直接和間接損失）可以通過(guò)股價(jià)對(duì)網(wǎng)絡(luò)事件的反應(yīng)來(lái)估算，因?yàn)楣墒芯哂星罢靶裕軌蚍从呈袌?chǎng)參與者對(duì)企業(yè)價(jià)值的評(píng)估（Kamiya等，2021年）。e分析顯示，在控制市場(chǎng)波動(dòng)和其他相關(guān)因素后，股價(jià)通常不會(huì)對(duì)網(wǎng)絡(luò)事件產(chǎn)生強(qiáng)烈反應(yīng)。f然而，股價(jià)似乎確實(shí)會(huì)對(duì)網(wǎng)絡(luò)攻擊做出反應(yīng)。平均而言，公司的股票回報(bào)率會(huì)下降0.1到0.2個(gè)百分點(diǎn)，盡管這一影響在統(tǒng)計(jì)上并不顯著。a對(duì)小型企業(yè)而言，體現(xiàn)為損失最大且最為顯著，范圍從0.3%到接近0.6%，這表明小型企業(yè)在應(yīng)對(duì)和處理網(wǎng)絡(luò)攻擊可能帶來(lái)的損失方面能力較弱。總體而言，這些股市的反應(yīng)相當(dāng)于企業(yè)市場(chǎng)價(jià)值損失最多可達(dá)9000萬(wàn)美元，且遠(yuǎn)遠(yuǎn)大于企業(yè)報(bào)告的直接損失。b

四、網(wǎng)絡(luò)事件的驅(qū)動(dòng)因素

理解導(dǎo)致網(wǎng)絡(luò)事件發(fā)生或預(yù)防的因素，對(duì)于制定強(qiáng)有力的網(wǎng)絡(luò)安全政策和策略至關(guān)重要。網(wǎng)絡(luò)事件的發(fā)生既受公司對(duì)網(wǎng)絡(luò)事件整體暴露程度的影響，也受公司應(yīng)對(duì)這些事件的能力的影響。例如，擁有廣泛的數(shù)字化業(yè)務(wù)并且嚴(yán)重依賴信息和通信技術(shù)的大型且盈利豐厚的企業(yè)，可能比那些數(shù)字足跡有限的小型企業(yè)更容易成為網(wǎng)絡(luò)攻擊的目標(biāo)。同時(shí)，大型且盈利豐厚的企業(yè)也可能具有更強(qiáng)的投資于網(wǎng)絡(luò)安全和增強(qiáng)韌性的能力，從而使其不太容易受到網(wǎng)絡(luò)事件的影響。位于面臨地緣政治緊張局勢(shì)國(guó)家的企業(yè)，可能更容易成為來(lái)自競(jìng)爭(zhēng)國(guó)威脅引發(fā)的網(wǎng)絡(luò)攻擊的受害者。相比之下，擁有成熟的網(wǎng)絡(luò)治理的企業(yè)和位于網(wǎng)絡(luò)法律健全國(guó)家的企業(yè)，更有可能防范網(wǎng)絡(luò)事件的發(fā)生。c計(jì)量經(jīng)濟(jì)學(xué)分析表明，數(shù)字化和地緣政治緊張局勢(shì)顯著增加了企業(yè)遭受網(wǎng)絡(luò)事件的風(fēng)險(xiǎn)。d例如，從聯(lián)合國(guó)電信基礎(chǔ)設(shè)施指數(shù)的第10百分位（馬達(dá)加斯加或馬拉維的水平）上升到第90百分位（西班牙的水平），網(wǎng)絡(luò)事件發(fā)生的可能性則從0.5%上升到超過(guò)2%。ef樣本中某一年經(jīng)歷網(wǎng)絡(luò)事件的平均可能性為1.2%，這代表著顯著的增長(zhǎng)。同樣，被地緣政治緊張局勢(shì)影響程度較高的國(guó)家，遭遇網(wǎng)絡(luò)事件的風(fēng)險(xiǎn)也顯著增加。g規(guī)模較大的企業(yè)以及無(wú)形資產(chǎn)占比更高的企業(yè)（通常是信息技術(shù)行業(yè)的企業(yè)）遭遇網(wǎng)絡(luò)事件的概率也明顯更高。h相比之下，所在國(guó)網(wǎng)絡(luò)立法更完善的企業(yè)的網(wǎng)絡(luò)事件發(fā)生率更低。i

在新冠疫情全球大流行期間，轉(zhuǎn)向遠(yuǎn)程辦公的企業(yè)更有可能遭遇網(wǎng)絡(luò)事件。結(jié)果顯示，在疫情前僅適度依賴遠(yuǎn)程辦公、但在疫情期間轉(zhuǎn)向遠(yuǎn)程辦公的企業(yè)，其網(wǎng)絡(luò)事件的發(fā)生率上升幅度更大。疫情前，遠(yuǎn)程辦公傾向較高的行業(yè)企業(yè)，比其他企業(yè)更有可能遭遇網(wǎng)絡(luò)事件，這可能是因?yàn)樗鼈兏蕾囆畔⒓夹g(shù)基礎(chǔ)設(shè)施。然而，疫情過(guò)后，這類企業(yè)遭遇網(wǎng)絡(luò)事件的概率下降了。a相反，疫情前遠(yuǎn)程辦公能力較弱的企業(yè)不太可能轉(zhuǎn)向遠(yuǎn)程辦公，在疫情期間也未受到網(wǎng)絡(luò)事件的強(qiáng)烈影響。

與網(wǎng)絡(luò)安全相關(guān)的治理安排不足，可能加劇了在新冠疫情全球大流行期間企業(yè)網(wǎng)絡(luò)安全的脆弱性。該研究發(fā)現(xiàn)，遠(yuǎn)程辦公的公司在疫情期間遭遇更多網(wǎng)絡(luò)事件，而那些在疫情前就習(xí)慣遠(yuǎn)程辦公的公司則遭遇了較少的網(wǎng)絡(luò)事件，一個(gè)合理的解釋是，后者具備相對(duì)更強(qiáng)的網(wǎng)絡(luò)安全和治理安排，以及準(zhǔn)備更充分的員工隊(duì)伍。實(shí)際上，在疫情前具有較高遠(yuǎn)程辦公傾向的行業(yè)，其治理安排更能有效應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)。這些公司更可能擁有具備網(wǎng)絡(luò)安全專長(zhǎng)的董事會(huì)成員、擁有網(wǎng)絡(luò)安全和數(shù)據(jù)隱私政策，并且在管理數(shù)據(jù)隱私風(fēng)險(xiǎn)的能力上得分較高。而且，在疫情期間，上述公司在這些方面還進(jìn)一步加強(qiáng)了治理。公司往往在發(fā)生網(wǎng)絡(luò)事件后才加強(qiáng)其網(wǎng)絡(luò)防御，這表明管理網(wǎng)絡(luò)風(fēng)險(xiǎn)是一個(gè)動(dòng)態(tài)的學(xué)習(xí)過(guò)程。由于網(wǎng)絡(luò)治理是預(yù)防網(wǎng)絡(luò)事件發(fā)生的一個(gè)重要因素，因此已有證據(jù)表明，公司在發(fā)生網(wǎng)絡(luò)事件后會(huì)增加具有保障網(wǎng)絡(luò)安全專長(zhǎng)的董事會(huì)成員數(shù)量。

五、金融行業(yè)的特征放大了其面對(duì)網(wǎng)絡(luò)事件的脆弱性

金融系統(tǒng)明顯暴露于網(wǎng)絡(luò)風(fēng)險(xiǎn)之下。金融機(jī)構(gòu)處理大量的客戶數(shù)據(jù)和交易，這使得它們成為網(wǎng)絡(luò)犯罪分子首選的攻擊目標(biāo)。網(wǎng)絡(luò)犯罪分子可能尋求通過(guò)獲取金錢利益或破壞經(jīng)濟(jì)活動(dòng)來(lái)實(shí)現(xiàn)該目標(biāo)。金融行業(yè)的網(wǎng)絡(luò)事件在所有網(wǎng)絡(luò)事件中占相當(dāng)大的比例，其中，銀行面臨全行業(yè)約一半的網(wǎng)絡(luò)安全事件。大銀行尤其容易受到攻擊，這可以通過(guò)衡量組織整體網(wǎng)絡(luò)安全表現(xiàn)的評(píng)分來(lái)反映——大概是因?yàn)榇筱y行經(jīng)常成為既定的攻擊目標(biāo)，盡管它們可能已經(jīng)采取了更為復(fù)雜的網(wǎng)絡(luò)安全措施。bc這種脆弱性凸顯了網(wǎng)安管理和減輕網(wǎng)絡(luò)風(fēng)險(xiǎn)以維持全球金融穩(wěn)定的重要性。有三個(gè)關(guān)鍵特征放大了金融機(jī)構(gòu)面對(duì)網(wǎng)絡(luò)事件的脆弱性。

其一，考慮到關(guān)鍵服務(wù)如支付服務(wù)和托管銀行業(yè)務(wù)時(shí)，銀行的市場(chǎng)集中度在國(guó)家和全球?qū)用娑己芨摺通常情況下，銀行的支付網(wǎng)絡(luò)是金融系統(tǒng)基礎(chǔ)設(shè)施的關(guān)鍵部分。網(wǎng)絡(luò)事件可能會(huì)中斷這些網(wǎng)絡(luò)，從而嚴(yán)重影響經(jīng)濟(jì)活動(dòng)（Eisenbach， Kovner， and Lee ，2022）。除了銀行業(yè)，金融市場(chǎng)基礎(chǔ)設(shè)施（包括支付和證券結(jié)算系統(tǒng)、中央證券存管機(jī)構(gòu)、中央對(duì)手方和交易存儲(chǔ)庫(kù)）通常也具有較高的市場(chǎng)集中度和較低的可替代性特征，這使得對(duì)金融市場(chǎng)基礎(chǔ)設(shè)施的成功網(wǎng)絡(luò)攻擊成為金融系統(tǒng)的重大脆弱點(diǎn)。

其二，金融機(jī)構(gòu)的運(yùn)營(yíng)日益依賴于共同的第三方IT服務(wù)提供商，這主要由于規(guī)模經(jīng)濟(jì)和網(wǎng)絡(luò)效應(yīng)。包括采用共同的軟件解決方案、采購(gòu)相似的硬件組件，以及遷移到一小部分選定的全球云服務(wù)或關(guān)鍵服務(wù)提供商。全球系統(tǒng)重要性銀行的50%以上的IT提供商同時(shí)向兩個(gè)或更多的全球系統(tǒng)重要性銀行提供產(chǎn)品和服務(wù)，這意味著其中存在廣泛的重疊。同樣，大約20%的保險(xiǎn)公司和25%的資產(chǎn)管理公司也面臨類似情況，它們的IT服務(wù)提供商同時(shí)為它們所在的兩個(gè)或多個(gè)機(jī)構(gòu)提供服務(wù)。這些依賴關(guān)系——可能是跨國(guó)的——隨著金融行業(yè)的數(shù)字化增長(zhǎng)而不斷增加。盡管第三方IT服務(wù)提供商能夠?yàn)榻鹑跈C(jī)構(gòu)帶來(lái)好處，如提升金融機(jī)構(gòu)的運(yùn)營(yíng)韌性，但它們也帶來(lái)了風(fēng)險(xiǎn)。a如果管理不當(dāng)，第三方服務(wù)提供商在服務(wù)提供方面的高度重疊，可能會(huì)使金融系統(tǒng)面臨共同的沖擊，在發(fā)生網(wǎng)絡(luò)事件時(shí)破壞關(guān)鍵服務(wù)，進(jìn)而對(duì)金融機(jī)構(gòu)和金融穩(wěn)定構(gòu)成重大風(fēng)險(xiǎn)（金融穩(wěn)定委員會(huì)，2023；美國(guó)財(cái)政部，2023）。例如，IT行業(yè)的網(wǎng)絡(luò)事件往往會(huì)蔓延到公司其他部門。b

其三，金融機(jī)構(gòu)之間的高度互聯(lián)性可能會(huì)加劇蔓延效應(yīng)，從而增加網(wǎng)絡(luò)事件對(duì)金融系統(tǒng)產(chǎn)生系統(tǒng)性影響的概率。例如，某金融機(jī)構(gòu)的支付處理系統(tǒng)因?yàn)樵庥鼍W(wǎng)絡(luò)事件而中斷，可能會(huì)對(duì)其他金融機(jī)構(gòu)的流動(dòng)性和運(yùn)營(yíng)產(chǎn)生漣漪/連鎖效應(yīng)。同樣，金融機(jī)構(gòu)發(fā)生嚴(yán)重的網(wǎng)絡(luò)事件可能會(huì)削弱公眾對(duì)整個(gè)金融系統(tǒng)的信任，極端情況下甚至?xí)?dǎo)致市場(chǎng)拋售或銀行擠兌（Duffie和Younger，2019）。網(wǎng)絡(luò)事件可能會(huì)給銀行帶來(lái)流動(dòng)性風(fēng)險(xiǎn)。尤其是大額機(jī)構(gòu)儲(chǔ)戶，在面臨網(wǎng)絡(luò)事件導(dǎo)致的金融交易中斷時(shí)，可能會(huì)懷疑金融機(jī)構(gòu)履行支付義務(wù)的能力，從而會(huì)迅速提取存款作為預(yù)防措施，這導(dǎo)致網(wǎng)絡(luò)擠兌的網(wǎng)絡(luò)事件（像儲(chǔ)戶信息泄露事件），也可能給銀行帶來(lái)潛在的長(zhǎng)期聲譽(yù)損害，從而導(dǎo)致凈存款流量減少。盡管迄今為止并未發(fā)生重大網(wǎng)絡(luò)擠兌——因?yàn)榫W(wǎng)絡(luò)事件對(duì)金融交易的影響有限——但實(shí)證分析表明，在美國(guó)銀行被網(wǎng)絡(luò)攻擊后，存款外流呈現(xiàn)適度且略持續(xù)上升的趨勢(shì)。此外，較小的銀行在網(wǎng)絡(luò)事件發(fā)生后更容易出現(xiàn)資金外流，表明這些銀行的防范能力較弱。小型銀行可能無(wú)法在被網(wǎng)絡(luò)攻擊后迅速恢復(fù)儲(chǔ)戶的信任。通常，小型銀行的零售和批發(fā)存款在網(wǎng)絡(luò)事件發(fā)生后約六個(gè)季度內(nèi)會(huì)累計(jì)下降約5%。c潛在暴露于流動(dòng)性風(fēng)險(xiǎn)的銀行也更容易受到網(wǎng)絡(luò)風(fēng)險(xiǎn)的影響。為了評(píng)估網(wǎng)絡(luò)事件對(duì)大型銀行流動(dòng)性狀況的可能影響，該研究計(jì)算了當(dāng)銀行的流動(dòng)性覆蓋率跌破100%的監(jiān)管要求時(shí)的存款外流率（稱為逆外流率）。a結(jié)果顯示，在80家大型全球銀行的樣本中，無(wú)擔(dān)保批發(fā)存款和零售存款的逆外流率差異較大。當(dāng)面臨25%的批發(fā)（零售）存款外流時(shí)，大約20%（60%）的銀行流動(dòng)性覆蓋率會(huì)降至100%以下。b那些相對(duì)更容易受到存款外流的流動(dòng)性風(fēng)險(xiǎn)影響的銀行，其網(wǎng)絡(luò)安全評(píng)級(jí)較低，這表明相對(duì)較大的銀行會(huì)面臨網(wǎng)絡(luò)風(fēng)險(xiǎn)和流動(dòng)性風(fēng)險(xiǎn)。c金融科技的快速發(fā)展帶來(lái)額外的網(wǎng)絡(luò)風(fēng)險(xiǎn)。d金融科技公司通過(guò)數(shù)字化操作和互聯(lián)互通，增加了金融系統(tǒng)暴露于網(wǎng)絡(luò)威脅的風(fēng)險(xiǎn)。e去中心化金融——基于加密市場(chǎng)的金融中介——自2020年以來(lái)迅速增長(zhǎng)，而網(wǎng)絡(luò)攻擊已對(duì)采用智能合約的去中心化金融構(gòu)成威脅f。這些金融中介依賴智能合約和去中心化協(xié)議，而智能合約已成為常見(jiàn)的攻擊目標(biāo)，通常導(dǎo)致巨大的損失（《全球金融穩(wěn)定報(bào)告》，2022年4月）。盡管中央銀行數(shù)字貨幣尚未經(jīng)歷任何已知的成功網(wǎng)絡(luò)攻擊，但由于這些貨幣可能依賴于分布式賬本技術(shù)等新興技術(shù)，因此可能會(huì)面臨未知和不可預(yù)測(cè)的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，而這些技術(shù)尚未建立廣泛接受的網(wǎng)絡(luò)安全框架（國(guó)際清算銀行，2023a）。黑客還經(jīng)常針對(duì)加密貨幣資產(chǎn)進(jìn)行攻擊，且對(duì)加密交易所的網(wǎng)絡(luò)攻擊數(shù)量有所增加。隨著加密資產(chǎn)逐漸融入金融體系，它們的脆弱性可能對(duì)金融體系構(gòu)成風(fēng)險(xiǎn)，例如，可能發(fā)生針對(duì)法定貨幣支持的穩(wěn)定幣的網(wǎng)絡(luò)擠兌。

六、各國(guó)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范情況

隨著全球金融體系面臨嚴(yán)重且日益增長(zhǎng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)，政策和治理框架必須跟上這些風(fēng)險(xiǎn)的變化。如前所述，標(biāo)準(zhǔn)制定者和主要監(jiān)管機(jī)構(gòu)已經(jīng)認(rèn)識(shí)到這一需求。然而，在許多國(guó)家，特別是新興市場(chǎng)和發(fā)展中經(jīng)濟(jì)體中，隨著數(shù)字化的推進(jìn)，網(wǎng)絡(luò)威脅不斷增加。它們的法律框架和公司層面的網(wǎng)絡(luò)治理安排仍然不足，這一點(diǎn)可以從幾個(gè)網(wǎng)絡(luò)安全立法和監(jiān)管的指標(biāo)中得到體現(xiàn)。根據(jù)國(guó)際貨幣基金組織2021年對(duì)央行和監(jiān)管機(jī)構(gòu)進(jìn)行的一項(xiàng)調(diào)查，關(guān)于網(wǎng)絡(luò)安全的政策框架在新興市場(chǎng)和發(fā)展中經(jīng)濟(jì)體中通常仍然不足。該調(diào)查涵蓋了74個(gè)新興市場(chǎng)和發(fā)展中經(jīng)濟(jì)體，共包含43個(gè)關(guān)于網(wǎng)絡(luò)安全各個(gè)方面的問(wèn)題，最初在2021年進(jìn)行，并于2023年實(shí)施了后續(xù)調(diào)查（Adrian和Ferreira， 2023）。g調(diào)查顯示，只有47%的受訪國(guó)家制定了國(guó)家層面和金融部門的重點(diǎn)網(wǎng)絡(luò)安全戰(zhàn)略，大約一半國(guó)家已實(shí)施專門“網(wǎng)絡(luò)安全法規(guī)”，54%的國(guó)家已通過(guò)數(shù)據(jù)隱私法。

對(duì)調(diào)查的各個(gè)方面的分析顯示，自2021年以來(lái)，新興市場(chǎng)和發(fā)展中經(jīng)濟(jì)體在網(wǎng)絡(luò)安全監(jiān)督和測(cè)試方法方面有所改善。

首先，一半的受調(diào)查新興市場(chǎng)和發(fā)展中經(jīng)濟(jì)體報(bào)告稱，他們擁有專門的網(wǎng)絡(luò)風(fēng)險(xiǎn)監(jiān)督部門，72%的國(guó)家要求定期進(jìn)行網(wǎng)絡(luò)測(cè)試和演練，其中22%的國(guó)家積極管理這些測(cè)試。a其次，近一半的受調(diào)查地區(qū)具有審查第三方服務(wù)提供商的權(quán)力——鑒于越來(lái)越多的金融機(jī)構(gòu)將業(yè)務(wù)運(yùn)營(yíng)遷移到云端計(jì)算領(lǐng)域，這是一個(gè)至關(guān)重要的發(fā)展。b再次，正式的網(wǎng)絡(luò)風(fēng)險(xiǎn)壓力測(cè)試仍較為罕見(jiàn)，27%的受調(diào)查經(jīng)濟(jì)體將網(wǎng)絡(luò)風(fēng)險(xiǎn)納入壓力測(cè)試計(jì)劃。c僅有8%的地區(qū)制定了網(wǎng)絡(luò)地圖，識(shí)別金融機(jī)構(gòu)之間的主要技術(shù)和服務(wù)連接。最后，金融行業(yè)的信息共享安排有助于預(yù)防網(wǎng)絡(luò)威脅，但只有28%的地區(qū)報(bào)告稱，金融機(jī)構(gòu)擁有系統(tǒng)性的共享信息和情報(bào)。盡管中央銀行和監(jiān)管機(jī)構(gòu)日益參與國(guó)內(nèi)行業(yè)的信息共享，但與其他地區(qū)共享數(shù)據(jù)的國(guó)家數(shù)量沒(méi)有增加（約50%）。只有49%的國(guó)家建立了網(wǎng)絡(luò)安全事件報(bào)告制度。

網(wǎng)絡(luò)安全防范指數(shù)衡量了應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的監(jiān)管和監(jiān)督能力，揭示了新興市場(chǎng)和發(fā)展中經(jīng)濟(jì)體之間的差距。基于調(diào)查結(jié)果，網(wǎng)絡(luò)安全防范指數(shù)已在各國(guó)間創(chuàng)建，用于總結(jié)網(wǎng)絡(luò)安全戰(zhàn)略和法規(guī)、監(jiān)管實(shí)踐、事件報(bào)告安排、網(wǎng)絡(luò)安全測(cè)試方法、意識(shí)提升以及監(jiān)管能力建設(shè)的質(zhì)量。該指數(shù)的范圍從0到5，得5分代表最高的網(wǎng)絡(luò)安全防范水平——例如與美國(guó)的水平相當(dāng)。2023年，在新興市場(chǎng)和發(fā)展中經(jīng)濟(jì)體中，該指數(shù)的平均得分為3分（較2021年的2.8分略有上升），這表明其網(wǎng)絡(luò)安全防范處于中等水平；其中，半數(shù)國(guó)家得分低于3分；超過(guò)1/5的國(guó)家得分低于2分，凸顯了它們?cè)跍p輕網(wǎng)絡(luò)風(fēng)險(xiǎn)方面的能力存在嚴(yán)重不足。

根據(jù)該指數(shù)的地區(qū)分布，非洲和亞洲的網(wǎng)絡(luò)安全準(zhǔn)備水平相對(duì)較低，拉丁美洲的監(jiān)管和監(jiān)督能力有所改善。約2/3近期IMF能力建設(shè)項(xiàng)目集中在這些地區(qū)，涉及網(wǎng)絡(luò)安全的監(jiān)管和監(jiān)督方面。與調(diào)查結(jié)果一致，國(guó)際貨幣基金組織的監(jiān)測(cè)和能力建設(shè)活動(dòng)表明，各國(guó)在應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)方面需要做出更多努力，特別是在新興市場(chǎng)和發(fā)展中經(jīng)濟(jì)體中。國(guó)際貨幣基金組織和世界銀行的金融部門評(píng)估項(xiàng)目在考慮網(wǎng)絡(luò)安全監(jiān)管和監(jiān)督時(shí)通常發(fā)現(xiàn)：一是國(guó)家和金融部門的網(wǎng)絡(luò)安全戰(zhàn)略及利益相關(guān)者之間的協(xié)調(diào)存在差距；二是董事會(huì)的網(wǎng)絡(luò)能力不足，且對(duì)第三方服務(wù)提供商的有效監(jiān)督存在缺陷；三是網(wǎng)絡(luò)安全法規(guī)和監(jiān)督、事件報(bào)告制度以及網(wǎng)絡(luò)測(cè)試要求存在不足。d缺乏安全意識(shí)、資源有限和優(yōu)先事項(xiàng)的沖突，常常阻礙其進(jìn)展。

七、結(jié)論與政策建議

網(wǎng)絡(luò)風(fēng)險(xiǎn)對(duì)金融穩(wěn)定構(gòu)成不斷演變的威脅。網(wǎng)絡(luò)事件，特別是惡意性質(zhì)的事件，正在全球范圍內(nèi)變得越來(lái)越頻繁。本文的分析表明，過(guò)去網(wǎng)絡(luò)事件的損失通常不大，但在某些情況下，損失可能極為嚴(yán)重。盡管金融行業(yè)尚未遭遇系統(tǒng)性網(wǎng)絡(luò)攻擊——這表明金融機(jī)構(gòu)的網(wǎng)絡(luò)安全可能與過(guò)去的威脅水平相稱——但隨著數(shù)字化程度的提高、技術(shù)不斷發(fā)展和地緣政治緊張局勢(shì)的加劇，網(wǎng)絡(luò)風(fēng)險(xiǎn)已大幅上升。網(wǎng)絡(luò)事件現(xiàn)在對(duì)宏觀金融穩(wěn)定構(gòu)成急劇威脅，因?yàn)榻鹑谛袠I(yè)暴露于敏感數(shù)據(jù)、高度集中以及強(qiáng)大的相互關(guān)聯(lián)性——包括與實(shí)體經(jīng)濟(jì)的關(guān)聯(lián)。

第一，需要公共干預(yù)。因?yàn)閼?yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的私人激勵(lì)措施可能與社會(huì)最優(yōu)的網(wǎng)絡(luò)安全水平不同，所以金融機(jī)構(gòu)在投資網(wǎng)絡(luò)安全時(shí)可能未能充分考慮網(wǎng)絡(luò)事件對(duì)整個(gè)系統(tǒng)的影響，特別是在金融領(lǐng)域，關(guān)鍵服務(wù)的中斷或?qū)鹑谙到y(tǒng)的信任喪失，可能帶來(lái)深遠(yuǎn)的后果。公司可能低估了來(lái)自常見(jiàn)漏洞的風(fēng)險(xiǎn)，例如，使用相同的服務(wù)或軟件，或者缺乏足夠的激勵(lì)來(lái)充分監(jiān)控第三方服務(wù)提供商。他們還可能出于聲譽(yù)原因而不愿共享網(wǎng)絡(luò)事件的信息——盡管從金融穩(wěn)定的角度來(lái)看，分享這些信息是可取的，是有助于了解共同漏洞并防止跨公司事件的發(fā)生的。

第二，金融部門的網(wǎng)絡(luò)安全戰(zhàn)略，輔以有效的監(jiān)管和監(jiān)督能力，能夠幫助建立韌性（Gaidosch等，2019）。需要成立具備足夠技能的網(wǎng)絡(luò)風(fēng)險(xiǎn)監(jiān)督單位，定期進(jìn)行現(xiàn)場(chǎng)評(píng)估，并收集相關(guān)數(shù)據(jù)進(jìn)行非現(xiàn)場(chǎng)監(jiān)督，以評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)。應(yīng)開(kāi)展金融和技術(shù)連接的映射，以識(shí)別由于相互關(guān)聯(lián)性和第三方服務(wù)提供商的集中度所帶來(lái)的潛在系統(tǒng)性風(fēng)險(xiǎn)（Adelmann等，2020）。監(jiān)管者還應(yīng)鼓勵(lì)金融部門機(jī)構(gòu)提升“成熟度”——包括董事會(huì)層級(jí)接入網(wǎng)絡(luò)安全專家、三道防線的方法（在業(yè)務(wù)管理、風(fēng)險(xiǎn)管理和審計(jì)層面管理風(fēng)險(xiǎn)）、改善公司在線安全的網(wǎng)絡(luò)衛(wèi)生措施（如反惡意軟件和多因素認(rèn)證），以及網(wǎng)絡(luò)安全培訓(xùn)與意識(shí)提升。a

第三，為了有效監(jiān)控網(wǎng)絡(luò)安全，應(yīng)該加強(qiáng)向監(jiān)管機(jī)構(gòu)提交網(wǎng)絡(luò)事件的報(bào)告。數(shù)據(jù)缺乏是有效監(jiān)督、金融穩(wěn)定分析、公司級(jí)風(fēng)險(xiǎn)管理的關(guān)鍵障礙。盡管近年來(lái)公司報(bào)告網(wǎng)絡(luò)事件及其相關(guān)損失的數(shù)據(jù)信息有所改善，但數(shù)據(jù)仍不完整且存在時(shí)滯。全球應(yīng)優(yōu)先收集網(wǎng)絡(luò)事件數(shù)據(jù)，并應(yīng)在金融部門參與者之間共享信息，以加強(qiáng)其集體防范風(fēng)險(xiǎn)能力。

第四，監(jiān)管者應(yīng)要求金融機(jī)構(gòu)制定并測(cè)試響應(yīng)和恢復(fù)程序，以確保在網(wǎng)絡(luò)事件發(fā)生時(shí)金融機(jī)構(gòu)仍能保持運(yùn)營(yíng)。銀行必須滿足巨大的資本要求，以應(yīng)對(duì)操作風(fēng)險(xiǎn)（Afonso， Curti和Mihov，2019），其中包括網(wǎng)絡(luò)風(fēng)險(xiǎn)。然而，在中斷發(fā)生時(shí)，能夠提供關(guān)鍵服務(wù)同樣重要，它可以限制金融系統(tǒng)潛在的中斷。因此，機(jī)構(gòu)需要識(shí)別其關(guān)鍵業(yè)務(wù)服務(wù)，并確保已測(cè)試的災(zāi)難恢復(fù)計(jì)劃和危機(jī)管理框架到位。國(guó)家層面還應(yīng)制定有效的響應(yīng)控制和危機(jī)管理框架，以應(yīng)對(duì)系統(tǒng)性網(wǎng)絡(luò)危機(jī)。

第五，應(yīng)加強(qiáng)對(duì)與網(wǎng)絡(luò)相關(guān)流動(dòng)性風(fēng)險(xiǎn)的監(jiān)控。過(guò)去，網(wǎng)絡(luò)攻擊后的存款外流規(guī)模不大，且銀行的流動(dòng)性要求似乎足以應(yīng)對(duì)這些外流。然而展望未來(lái)，在評(píng)估壓力情景下流動(dòng)性的充足性時(shí)，金融機(jī)構(gòu)需要考慮到網(wǎng)絡(luò)攻擊，并為此做好準(zhǔn)備。此外，中央銀行的業(yè)務(wù)連續(xù)性應(yīng)急計(jì)劃應(yīng)考慮到網(wǎng)絡(luò)風(fēng)險(xiǎn)，包括在危機(jī)期間如何提供流動(dòng)性等。

第六，鑒于網(wǎng)絡(luò)攻擊的全球性及其系統(tǒng)性影響，跨境協(xié)調(diào)對(duì)于減輕網(wǎng)絡(luò)風(fēng)險(xiǎn)至關(guān)重要。網(wǎng)絡(luò)攻擊通常源自金融機(jī)構(gòu)所在國(guó)家之外，攻擊所得資金也可能通過(guò)跨境渠道流動(dòng)，這使得追究攻擊者責(zé)任和追回資金的過(guò)程變得復(fù)雜。因此，制定國(guó)際合作協(xié)議以有效解決網(wǎng)絡(luò)安全問(wèn)題非常必要。此外，網(wǎng)絡(luò)事件的報(bào)告需要在各國(guó)之間實(shí)現(xiàn)統(tǒng)一，需要進(jìn)行跨國(guó)協(xié)調(diào)，以促進(jìn)跨境的信息共享。a

第七，各國(guó)政府需要推動(dòng)建立有利于維護(hù)網(wǎng)絡(luò)安全的制度安排。針對(duì)網(wǎng)絡(luò)攻擊的刑事法律、涵蓋關(guān)鍵基礎(chǔ)設(shè)施識(shí)別的國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略、建立計(jì)算機(jī)事件響應(yīng)團(tuán)隊(duì)、提高公眾網(wǎng)絡(luò)衛(wèi)生和安全意識(shí)等措施，都能為增強(qiáng)網(wǎng)絡(luò)安全準(zhǔn)備做出貢獻(xiàn)。

第八，網(wǎng)絡(luò)保險(xiǎn)可以幫助抵消網(wǎng)絡(luò)風(fēng)險(xiǎn)，但在可用性和接受度方面仍然有限。b企業(yè)越來(lái)越依賴網(wǎng)絡(luò)保險(xiǎn)來(lái)保護(hù)免受網(wǎng)絡(luò)事件造成的經(jīng)濟(jì)損失，但保險(xiǎn)覆蓋額度仍然較低。在美國(guó)，約60%的保險(xiǎn)單覆蓋限額低于100萬(wàn)美元，幾乎所有保險(xiǎn)單都低于1000萬(wàn)美元。c缺乏數(shù)據(jù)，尤其是關(guān)于網(wǎng)絡(luò)事件的總損失、試圖但未實(shí)現(xiàn)的攻擊以及關(guān)鍵風(fēng)險(xiǎn)指標(biāo)（如網(wǎng)絡(luò)安全投資）的數(shù)據(jù)，可能是網(wǎng)絡(luò)保險(xiǎn)可用性受限的重要因素之一。

國(guó)際貨幣基金組織（IMF）積極幫助會(huì)員國(guó)進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估，并加強(qiáng)金融部門的網(wǎng)絡(luò)安全框架。這主要通過(guò)金融部門評(píng)估計(jì)劃（Financial Sector Assessment Programs）以及其他能力建設(shè)倡議（如培訓(xùn)課程、研討會(huì)和技術(shù)援助任務(wù)）來(lái)實(shí)現(xiàn)。IMF還開(kāi)發(fā)了網(wǎng)絡(luò)風(fēng)險(xiǎn)監(jiān)督工具包，包含了模型法規(guī)、風(fēng)險(xiǎn)評(píng)估工具、監(jiān)督流程文件和監(jiān)督手冊(cè)等。此外，IMF在國(guó)際層面網(wǎng)絡(luò)相關(guān)政策的制定中發(fā)揮了重要作用，為巴塞爾銀行監(jiān)管委員會(huì)、金融穩(wěn)定委員會(huì)和國(guó)際證券委員會(huì)等機(jī)構(gòu)標(biāo)準(zhǔn)制定貢獻(xiàn)了力量。

（本文摘譯自國(guó)際貨幣基金組織2024年4月《全球金融穩(wěn)定報(bào)告》第三章《網(wǎng)絡(luò)風(fēng)險(xiǎn)：日益影響宏觀金融穩(wěn)定》。該章由法比奧·納塔盧奇（Fabio Natalucci）和馬赫瓦什·庫(kù)雷希（Mahvash Qureshi）指導(dǎo)；作者是拉斐爾·巴博薩（Rafael Barbosa）、本杰明·陳（Benjamin Chen）、奧薩那·哈達(dá)莉娜（Oksana Khadarina）、拉維庫(kù)馬爾·蘭加查里（Ravikumar Rangachary）、塔祖什·奧庫(kù)達(dá)（Tatsushi Okuda）、邵恩宇（Enyu Shao）、費(fèi)利克斯·桑特海姆（Felix Suntheim）（主導(dǎo)）；由托曼赫日·蘇如格（Tomohiro Tsuruga）、勒內(nèi)·斯圖茲（René M. Stulz）擔(dān)任專家顧問(wèn)。翻譯：楊元辰、郭丹）

a 隨著時(shí)間的推移，網(wǎng)絡(luò)事件的增加可能部分歸因于公司報(bào)告的改進(jìn)，但由于一些原因，網(wǎng)絡(luò)事件和損失的總數(shù)可能仍然被低估。這些問(wèn)題包括事件報(bào)告滯后、企業(yè)對(duì)自身聲譽(yù)的擔(dān)憂，以及許多國(guó)家（尤其是新興市場(chǎng)和發(fā)展中經(jīng)濟(jì)體）缺乏對(duì)企業(yè)報(bào)告網(wǎng)絡(luò)事件的正式要求。

b 直接損失包括，例如用于賠償損害、罰款和處罰、勒索金額或損失的金額、營(yíng)業(yè)中斷帶來(lái)的營(yíng)業(yè)收入。間接

損失包括聲譽(yù)受損、未來(lái)業(yè)務(wù)下滑、網(wǎng)絡(luò)安全投資增加和生產(chǎn)力下降。

a 從馬里蘭國(guó)際與安全研究中心（Harry and Gallagher ，2018）獲得的信息顯示，截至2024年2月，中東正在進(jìn)行的沖突也存在類似的模式，從2023年10月沖突開(kāi)始起，對(duì)以色列和巴勒斯坦的網(wǎng)絡(luò)攻擊數(shù)量顯著增加。

b “網(wǎng)絡(luò)事件”是指從摩根大通的技術(shù)資產(chǎn)中收集到的已觀察到的惡意和非惡意活動(dòng)。此類事件可能包括收集用戶登錄和掃描網(wǎng)絡(luò)漏洞。（Owen Walker， 《摩根大通遭受網(wǎng)絡(luò)攻擊浪潮，因?yàn)槠墼p者變得“更加狡猾”》，《金融時(shí)報(bào)》，2024年1月17日）

c 中央銀行和金融監(jiān)管機(jī)構(gòu)的網(wǎng)絡(luò)安全對(duì)金融穩(wěn)定至關(guān)重要。例如，2024年1月，美國(guó)證券交易委員會(huì)的社交媒體賬戶遭到黑客攻擊，并發(fā)布了一份關(guān)于批準(zhǔn)比特幣交易所交易基金的欺詐性公告，增加了市場(chǎng)波動(dòng)性。（Krisztian Sandor，《比特幣暴漲，然后跌至4.5萬(wàn)美元，因?yàn)橛嘘P(guān)現(xiàn)貨比特幣批準(zhǔn)的假新聞變現(xiàn)了5000萬(wàn)美元》，CoinDesk，2024年1月9日）然而，總體而言，這些機(jī)構(gòu)的事件數(shù)量相對(duì)穩(wěn)定，每年發(fā)生10至20起。

a 2021年，美聯(lián)儲(chǔ)主席杰羅姆·鮑威爾表示，“我們現(xiàn)在最關(guān)注的風(fēng)險(xiǎn)是網(wǎng)絡(luò)風(fēng)險(xiǎn)”（CBS新聞，2021年4月12日）。有關(guān)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)增加的參考，請(qǐng)參見(jiàn)法國(guó)銀行（2022）、墨西哥銀行（2022）、歐洲央行（2022）、美國(guó)財(cái)政部（2022）和加拿大銀行（2023b）。2022年，英格蘭銀行啟動(dòng)了網(wǎng)絡(luò)壓力測(cè)試，作為其運(yùn)營(yíng)彈性政策的補(bǔ)充；2024年3月，其金融政策委員會(huì)發(fā)布了一項(xiàng)考慮網(wǎng)絡(luò)風(fēng)險(xiǎn)的運(yùn)營(yíng)彈性宏觀審慎方法（英格蘭銀行，2024a）。歐洲央行（ECB）計(jì)劃在2024年對(duì)銀行的網(wǎng)絡(luò)彈性進(jìn)行主題壓力測(cè)試。

b 標(biāo)準(zhǔn)制定機(jī)構(gòu)的作用隨著巴塞爾銀行監(jiān)管委員會(huì)（2021年）運(yùn)營(yíng)彈性原則而增強(qiáng)。該原則假設(shè)網(wǎng)絡(luò)事件將會(huì)發(fā)生，金融部門需要在中斷期間具備提供關(guān)鍵業(yè)務(wù)服務(wù)的能力。增強(qiáng)網(wǎng)絡(luò)和業(yè)務(wù)彈性也是金融穩(wěn)定委員會(huì)的一個(gè)關(guān)鍵要素，該委員會(huì)的重點(diǎn)是促進(jìn)網(wǎng)絡(luò)事件報(bào)告的趨同、網(wǎng)絡(luò)事件響應(yīng)和恢復(fù)的有效做法、維護(hù)網(wǎng)絡(luò)詞匯，以及當(dāng)前設(shè)計(jì)事件報(bào)告交換格式（FIRE）的工作。此外，金融穩(wěn)定委員會(huì)還發(fā)布了一個(gè)工具包，以加強(qiáng)對(duì)金融政府、金融機(jī)構(gòu)和服務(wù)提供商的第三方風(fēng)險(xiǎn)管理和監(jiān)督（FSB 2023）。支付和市場(chǎng)基礎(chǔ)設(shè)施委員會(huì)以及國(guó)際證監(jiān)會(huì)組織（2016）發(fā)布了關(guān)于網(wǎng)絡(luò)彈性的指南，以幫助融資；建設(shè)社會(huì)市場(chǎng)基礎(chǔ)設(shè)施以加強(qiáng)網(wǎng)絡(luò)安全；IOSCO（2021）外包原則涵蓋信息安全、業(yè)務(wù)彈性、連續(xù)性和災(zāi)難恢復(fù)；國(guó)際保險(xiǎn)監(jiān)管協(xié)會(huì)繼2016年的網(wǎng)絡(luò)風(fēng)險(xiǎn)報(bào)告之后，又發(fā)布2023年的運(yùn)營(yíng)彈性報(bào)告；G7網(wǎng)絡(luò)專家小組發(fā)布幾篇論文，幫助金融部門實(shí)體更好地理解網(wǎng)絡(luò)安全主題（2016、2017、2018、2020、2022a、2022b）。

a Advisen網(wǎng)絡(luò)損失數(shù)據(jù)覆蓋40個(gè)發(fā)達(dá)國(guó)家和125個(gè)新興市場(chǎng)國(guó)家。該數(shù)據(jù)集來(lái)自可靠且可公開(kāi)驗(yàn)證的來(lái)源（新聞媒體，政府和監(jiān)管來(lái)源，國(guó)家數(shù)據(jù)泄露通知網(wǎng)站和第三方供應(yīng)商）。

b 人工智能系統(tǒng)可能容易受到特殊類型的攻擊，例如，數(shù)據(jù)中毒攻擊，即操縱訓(xùn)練數(shù)據(jù)集，使算法錯(cuò)誤地“學(xué)習(xí)”分類或識(shí)別信息。

c 在對(duì)美國(guó)大型公司的高級(jí)網(wǎng)絡(luò)安全專家進(jìn)行的一項(xiàng)調(diào)查中，46%的人預(yù)計(jì)GenAI將使機(jī)構(gòu)更容易受到攻擊，85%的人認(rèn)為最近的攻擊是由GenAI提供的（Deep Instinct，2023）。

a Jeanny Yu，《Deepfake視頻通話詐騙全球公司2600萬(wàn)美元》，《南華早報(bào)》，彭博社，2024年2月3日。

b 截至2023年6月，Advisen有7起與人工智能公司在網(wǎng)絡(luò)事件后丟失數(shù)據(jù)有關(guān)的記錄。

c 例如，2019年，Mood’s在2017年消費(fèi)者數(shù)據(jù)大量泄露后，將信用報(bào)告機(jī)構(gòu)Equifax的信用評(píng)級(jí)展望從“穩(wěn)定”下調(diào)至“負(fù)面”。

d 本文使用2012年至2021年網(wǎng)絡(luò)事件造成的損失數(shù)據(jù)，估算了廣義極值分布，同時(shí)考慮了國(guó)家特征，如規(guī)模（即GDP）和信息技術(shù)基礎(chǔ)設(shè)施。由于分析樣本僅包括每年發(fā)生網(wǎng)絡(luò)事件超過(guò)10起的國(guó)家，因此該結(jié)果應(yīng)被解釋為以發(fā)生網(wǎng)絡(luò)事件為條件的這些國(guó)家的極端損失。

e 例如，2018年Facebook宣布黑客入侵近5000萬(wàn)用戶賬戶后，該公司股價(jià)下跌約3%。（見(jiàn)Deepa Seetharaman and Robert McMillan，《Facebook發(fā)現(xiàn)近5000萬(wàn)賬戶存在安全漏洞》，《華爾街日?qǐng)?bào)》2018年9月28日）

f 這種分析依賴于一個(gè)假設(shè)，即股票價(jià)格的變動(dòng)恰當(dāng)?shù)胤从沉擞^察到網(wǎng)絡(luò)事件后不久的損失。結(jié)果取決于是否報(bào)告了網(wǎng)絡(luò)事件，這可能會(huì)在估計(jì)中引入選擇偏差。該分析控制了整體市場(chǎng)走勢(shì)，對(duì)于重大事件，可能會(huì)受到公司網(wǎng)絡(luò)攻擊的影響。然而，過(guò)去

缺乏系統(tǒng)性網(wǎng)絡(luò)事件表明，網(wǎng)絡(luò)攻擊不太可能影響市場(chǎng)走勢(shì)。

a 分析中使用的樣本包括在不同國(guó)家注冊(cè)的公司，采用不同的報(bào)告標(biāo)準(zhǔn)。各國(guó)的結(jié)果具有可比性。

b 樣本中的公司事件層面，在大約90%的案例中，市值損失大于報(bào)告的直接損失。

c Kamiya等（2021）以美國(guó)公司為樣本，研究了涉及個(gè)人信息丟失的網(wǎng)絡(luò)攻擊的可能性。他們發(fā)現(xiàn)，經(jīng)歷過(guò)此類網(wǎng)絡(luò)攻擊的公司規(guī)模更大、歷史更悠久；更有利可圖；具有更好的未來(lái)成長(zhǎng)機(jī)會(huì)，更高的杠桿率，更多的無(wú)形資產(chǎn)；更愿意減少資本支出和研發(fā)方面的投資。

d 為了研究網(wǎng)絡(luò)事件的驅(qū)動(dòng)因素，利用2014年至2022年覆蓋42個(gè)國(guó)家的16945家公司的全球公司層面數(shù)據(jù)，估計(jì)了一個(gè)概率模型。

e 電信基礎(chǔ)設(shè)施指數(shù)是由聯(lián)合國(guó)編制的，由四個(gè)指標(biāo)組成：每100個(gè)居民的估計(jì)互聯(lián)網(wǎng)用戶數(shù)，每100個(gè)居民的移動(dòng)用戶數(shù)量，活躍的移動(dòng)寬帶用戶，每100個(gè)居民的固定寬帶用戶數(shù)量。

f 觀察到網(wǎng)絡(luò)事件的可能性也可能受到各國(guó)報(bào)告差異的影響。

g 地緣政治緊張局勢(shì)由地緣政治風(fēng)險(xiǎn)指數(shù)（Caldara and Iacoviello ，2022）反映，該指數(shù)基于報(bào)紙文章的統(tǒng)計(jì)，由不利地緣政治事件和風(fēng)險(xiǎn)的衡量指標(biāo)組成。

h 這些結(jié)果與Kamiya等（2021）的結(jié)果一致。

i Maplecroft網(wǎng)絡(luò)立法指數(shù)收錄了網(wǎng)絡(luò)立法，該指數(shù)收錄了與電子交易、消費(fèi)者保護(hù)、數(shù)據(jù)保護(hù)和隱私以及網(wǎng)絡(luò)犯罪有關(guān)的電子商務(wù)立法的采用情況。該指數(shù)表明，一個(gè)國(guó)家是否已通過(guò)立法或存在有待通過(guò)的法律草案。

a 根據(jù)新冠疫情全球大流行前能夠遠(yuǎn)程工作的勞動(dòng)力比例，在部門一級(jí)確定遠(yuǎn)程工作能力（Dingel和Neiman，2020）。

b Bitsight Security Ratings是一個(gè)典型的綜合網(wǎng)絡(luò)安全評(píng)估工具。其評(píng)級(jí)涵蓋三個(gè)風(fēng)險(xiǎn)向量：1.勤勉。機(jī)構(gòu)為防止攻擊而采取的步驟、最佳實(shí)踐的實(shí)施和風(fēng)險(xiǎn)緩解；2.受損的系統(tǒng)。存在惡意軟件或不需要的軟件，這是安全控制未能阻止惡意軟件的證據(jù)或不需要的軟件在組織內(nèi)運(yùn)行；3.用戶行為。員工活動(dòng)，如文件共享和密碼重用，這些活動(dòng)可能會(huì)將惡意軟件引入機(jī)構(gòu)或?qū)е聰?shù)據(jù)泄露。

c 根據(jù)Modi等（2022）的研究，從2011年到2021年，美國(guó)銀行的IT支出增長(zhǎng)了三倍，大銀行的IT支出增長(zhǎng)速度遠(yuǎn)遠(yuǎn)快于小銀行。他和其他人（2023）支持這一發(fā)現(xiàn)，報(bào)告稱，按資產(chǎn)規(guī)模和非利息支出標(biāo)準(zhǔn)化，美國(guó)大型銀行的IT支出往往高于小型銀行。Moody’s 2023年網(wǎng)絡(luò)調(diào)查是對(duì)包括金融機(jī)構(gòu)在內(nèi)的1700家全球公司進(jìn)行了調(diào)查，結(jié)果顯示，從2019年到2023年，網(wǎng)絡(luò)安全支出增長(zhǎng)70%。

d 金融部門（包括銀行業(yè)）的市場(chǎng)集中度，自21世紀(jì)第二個(gè)10年以來(lái)相對(duì)穩(wěn)定。

a 大型金融公司的第三方IT提供商通常具有與金融公司本身一樣高的網(wǎng)絡(luò)安全評(píng)級(jí)。

b 2023年12月，云IT服務(wù)提供商Trellance遭受勒索軟件攻擊，導(dǎo)致60家美國(guó)信用合作社出現(xiàn)服務(wù)中斷（肖恩·林加斯，《聯(lián)邦機(jī)構(gòu)稱勒索軟件攻擊導(dǎo)致60家信用合作社服務(wù)中斷》，美國(guó)有線電視新聞網(wǎng)，2023年12月4日）。2017年，一款會(huì)計(jì)軟件的更新版本被NotPetya病毒感染，致使該惡意軟件在眾多企業(yè)間傳播，甚至跨越國(guó)界（Crosignani， Macchiavelli， and Silva，2023）。2020年，SolarWinds公司更新其軟件時(shí)，該公司軟件的數(shù)千名客戶面臨潛在的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)（美國(guó)政府問(wèn)責(zé)局，2021）。

c “批發(fā)存款”被定義為來(lái)自私人非存款類機(jī)構(gòu)的存款。

a 更具體地說(shuō)，“反向流出率”代表的是期限少于30天（或期限未定）的存款流出。

b 關(guān)于嚴(yán)重網(wǎng)絡(luò)事件后可能的流出率，有限的實(shí)證證據(jù)表明，2014年6月27日，保加利亞最大的國(guó)內(nèi)銀行——第一投資銀行，在虛假電子郵件和社交媒體謠言暗示該銀行出現(xiàn)流動(dòng)性短缺后，遭遇了10%的零售存款擠兌（Bouveret，2018）。Duffie和Younger（2019）考慮了無(wú)擔(dān)保批發(fā)存款30天累計(jì)流出率分別為50%和75%的情景。

c 盡管銀行面臨將操作風(fēng)險(xiǎn)（包括網(wǎng)絡(luò)風(fēng)險(xiǎn)）納入考量的監(jiān)管資本要求，但流動(dòng)性要求并非主要基于包含網(wǎng)絡(luò)事件的壓力情景而設(shè)計(jì)（Duffie和Younger，2019）。

d 金融科技（金融技術(shù)）是指金融活動(dòng)中的技術(shù)創(chuàng)新（參見(jiàn)2022年4月《全球金融穩(wěn)定報(bào)告》第3章）。

e 例如，開(kāi)放金融通過(guò)允許金融機(jī)構(gòu)以數(shù)字渠道與其他機(jī)構(gòu)共享客戶數(shù)據(jù)，促進(jìn)了金融產(chǎn)品和服務(wù)的創(chuàng)新。

f 智能合約是能夠自動(dòng)執(zhí)行合同條款的計(jì)算機(jī)程序。由于智能合約是公開(kāi)可見(jiàn)的，黑客可以對(duì)其進(jìn)行掃描以查找漏洞。

g 在2023年接受調(diào)查的74個(gè)國(guó)家中，有37個(gè)是低收入發(fā)展中國(guó)家。

a 定期的網(wǎng)絡(luò)測(cè)試包括漏洞評(píng)估、滲透測(cè)試和紅隊(duì)測(cè)試（即基于威脅情報(bào)的測(cè)試）。

b 在2023年的調(diào)查中，38%的國(guó)家表示其轄區(qū)內(nèi)的若干或大多數(shù)金融機(jī)構(gòu)正在向云端遷移，這一比例高于2021年的27%。

c 網(wǎng)絡(luò)風(fēng)險(xiǎn)壓力測(cè)試是一種新興做法，通常側(cè)重于測(cè)試金融系統(tǒng)對(duì)網(wǎng)絡(luò)事件的抵御能力。例如，測(cè)試在出現(xiàn)中斷的情況下是否有應(yīng)急計(jì)劃來(lái)提供關(guān)鍵服務(wù)。這些測(cè)試也被稱為網(wǎng)絡(luò)彈性壓力測(cè)試。

d 國(guó)際貨幣基金組織和世界銀行的金融部門評(píng)估項(xiàng)目中，對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的監(jiān)管和監(jiān)督的覆蓋范圍日益擴(kuò)大，例如冰島（2022）、墨西哥（2022）、南非（2022）、英國(guó)（2022）和瑞典（2023）。

a 據(jù)微軟（2023）稱，大多數(shù)網(wǎng)絡(luò)攻擊可以通過(guò)踐行網(wǎng)絡(luò)衛(wèi)生措施來(lái)進(jìn)行預(yù)防，比如啟用多因素身份驗(yàn)證、應(yīng)用零信任原則、使用反惡意軟件以及保持軟件更新。利益相關(guān)者的培訓(xùn)和意識(shí)提升以及以安全為導(dǎo)向的文化，也有助于提高網(wǎng)絡(luò)安全水平。對(duì)數(shù)據(jù)進(jìn)行加密有助于確保數(shù)據(jù)被盜時(shí)無(wú)法被使用。

a 金融穩(wěn)定委員會(huì)（2023）已發(fā)布建議，以實(shí)現(xiàn)網(wǎng)絡(luò)事件報(bào)告的更大趨同。如果得以實(shí)施，這些建議應(yīng)有助于各國(guó)建立有效的事件報(bào)告制度，收集有關(guān)網(wǎng)絡(luò)事件的必要信息。金融穩(wěn)定委員會(huì)還在設(shè)計(jì)一種事件報(bào)告交換格式（FIRE），該格式提供了一種方法，以促進(jìn)事件報(bào)告中通用信息要素和要求的統(tǒng)一。

b 保險(xiǎn)的可獲得性，特別是如果其涵蓋勒索軟件的話，也可能使支付贖金變得更容易，從而讓實(shí)施攻擊更具吸引力。

c 保險(xiǎn)政策的覆蓋限額基于Advisen客戶洞察的數(shù)據(jù)。