长期以来,金融机构和金融基础设施一直是网络攻击的重点目标。特别是有国家背景的网络攻击行动将他国金融体系作为达成政治目的的手段,美国等西方国家开始将防范网络攻击所引发的系统性金融风险作为未来网络安全的重要目标。为此,2018年10月,美国智库布鲁金斯学会发布研究报告《金融稳定与网络风险的未来》,分析了网络风险引发金融不稳定的主要渠道,网络风险所引发危机的类型,并就如何防范网络风险所引发的系统性金融不稳定阐述建议。现由学术plus编译,仅供参考。文章版权归原作者所有,观点不代表本机构立场。

下一次金融危机的源头在网络?

美布鲁金斯学会分析网络风险对金融稳定的影响

作者:Jason Healey, Patricia Mosser, Katheryn Rosen, and Adriana Tache

编译:学术plus评论员  金飞

来源:https://www.brookings.edu

一、网络风险通过4条渠道引发金融系统动荡

2016年,美财政部金融研究办公室(OFR)在向国会提交的“金融稳定报告”中强调,“影响金融公司的网络安全事件”具有传播效应,主要通过3条渠道引发系统性金融危机。

一是相关金融部门的不可替代性。金融系统往往依赖几个关键节点,如电子交易系统、交易所或结算中心,进行证券托管、抵押品管理以及交易匹配和确认。其业务要依托强大的信息和通信技术(ICT)基础设施来完成交易或转移支付。如果网络安全事件影响这些机构或系统,那么几乎没有其他替代方案。

二是信心缺失。各类网络攻击可能会引发消费者信心缺失,如自动取款机遭黑客攻击,一个或多个特别值得信赖的机构无法正常运行,黑客引发证券市场闪崩,银行家或监管机构泄露电子邮件,以及账并就户被他人接管。一旦信心极端缺失就可能导致银行挤兑事件的发生。

三是数据的完整性。系统性影响可能源于网络入侵,其会直接修改或以其他方式影响市场或消费者的数据质量,从而导致系统瘫痪。就像WannaCry勒索软件攻击事件那样,数据恢复可能比预期要长得多并引发信息缺失或其他系统性影响。这对于需要快速处理订单的市场影响尤为巨大。

该报告认为,除金融研究办公室所述3条渠道之外,信息通信技术的不可替代性也是引发金融风险的渠道。与相关金融部门的不可替代性类似,世界上大部分的计算和存储被少数云服务提供商垄断,金融机构的信息系统运行相同的操作系统和应用程序,所有公司都依赖于相同的互联网基础协议,如TCP / IP或DNS。因此,局部的网络风险可能会因信息通信技术构建的相互依存度而引发地区或行业的金融风险。

二、网络风险引发金融危机的主要特点

攻击时机上,网络攻击需要长期规划,攻击者会在数周或数月之前渗透到系统中,提升他们的权限,并确定如何最好地造成破坏。一旦部署就绪,攻击者可以选择任何时间节点进行破坏。

在效果的复杂性上,网络空间是一个非常复杂的系统,一个局部的损害很容易以意想不到的方式产生外溢效应,从而产生“黑天鹅事件”,不但难以预测,而且后果极其严重。

在对手意图上,对手实施的网络攻击可能会专门用于瘫痪、摧毁或破坏市场功能,故意引发金融不稳定。例如,从2011年到2012年,伊朗对近50家主要金融机构进行了大规模的拒绝式服务攻击,其目的不是冲着金库去偷窃,而是要造成更大规模的金融破坏。如果一个国家因制裁而与美元市场隔绝,那该国领导人可能会认为,破坏金融体系可能会给美国及其盟友造成严重损害,而自己却不受什么影响。

三、网络风险将引发三种金融危机

一是“小火慢炖”式的危机。在此类危机中,敌人使用网络手段持续制造摩擦,给受攻击国的金融系统造成破坏,以侵蚀其民众信心,但其制造的危机尚不足酿成系统性风险,并引发受攻击国在军事上进行报复。伊朗对美国金融机构发动的拒绝式服务攻击就属于此类。

二是“火上浇油”式的危机。这种危机往往发生在金融危机已经出现或者一国徘徊在经济危机边缘之时,而对手故意用网络攻击“火上浇油”。假设在2008年,全球中央银行和国内当局正在为陷入困境的金融机构注入大量流动性和资本支持之时,网络攻击可能会进一步扰乱政策和市场反应。拒绝式服务攻击可能会破坏电子邮件或电话通信,并干扰中央银行贷款计划或联邦存款保险公司银行救助方案的执行,从而引发进一步的恐慌和银行挤兑。对手可能已经发布了敏感(或篡改)的电子邮件,以激发公民和立法者对救助计划的不满。在快速发展的熊市中,网络攻击引发证券市场的闪崩可能会使全球股市或债券市场陷入困境。

三是“煽风点火”式的危机。当敌人利用网络能力制造本来不会发生的金融危机时,“煽风点火”式的危机就会出现。例如,对金融关键基础设施、重要金融机构或融资市场进行网络攻击,从而引发金融危机。

四、当前防范金融领域网络风险存在的问题

一是越来越多的对手会议制造金融不稳定为目标,并积极破坏金融部门的应对工作。而金融部门对复杂技术的依赖使相关人士担心,即使是技术水平不高的行动者也会引发金融领域的系统性风险。

二是缺乏对网络风险、金融危机传播渠道,以及危机加剧因素之间相关关系的分析研究。进一步了解网络风险与业务流程和决策之间的相关关联性至关重要。

三是防范工作处于碎片化状态,金融行业与政府网络和金融稳定风险方面的工作存在分歧,缺乏协调的政策和法规,以及相关的标准。同时,国际上也没有相应机构发挥协调作用。

四是金融科技的发展将加剧金融体系的复杂性,存在加剧风险的可能性。例如,云计算可以降低大多数网络风险,但会增加对少数供应商的依赖。

五、防范建议

1. 协调国际监管,提升应对网络攻击的弹性,降低风险水平。这种监管方式要具有延展性,能随着技术的发展变革和对手实力的增强而不断创新。

2.进行数据分析研究,并推进模型设计以衡量或量化网络风险,包括制定通用术语以将网络风险作为金融稳定的因素之一进行讨论。例如,“风险”和“攻击”在网络安全部门和金融部门的含义不同,如果不进行统一,那在危机中就会造成网络安全部门和金融部门之间的误解。

3.进一步了解金融市场的结构、运作流程等,以进一步发现网络风险与市场动荡之间的重合点。要特别关注网络技术的扩散与业务决策、金融响应之间的相互作用,因为其相互作用会引发金融危机蔓延。

4.在国内外举行更多的演习,在金融和网络安全高管之间建立起沟通桥梁。开展的演习应该逐渐囊括全球所有的金融监管机构,以适应网络空间和金融全球性的本质。

下载报告原文:https://www.brookings.edu/research/the-future-of-financial-stability-and-cyber-risk/

声明:本文来自学术plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。