近日，在一份關于金融穩定的報告中，國際貨幣基金組織（IMF）用了一章（共三章）的篇幅描述了網絡攻擊對金融環境的影響，并警告稱，全球金融穩定正受到日益頻繁和復雜的網絡攻擊的威脅。同時，極端損失的風險也在增加。以下為報告摘錄：

背景介紹

在過去的二十年中，特別是自2020年以來，與網絡相關的事件變得越來越頻繁，尤其是具有惡意意圖的網絡事件數量（例如網絡勒索或惡意數據泄露）與COVID-19大流行之前相比幾乎翻了一番（見圖1）。

【圖1：2004–23全球網絡事件數量走勢】

網絡事件會給企業帶來巨大的成本。自2020年以來，上報的網絡事件直接損失總額已達近280億美元（按實際價值計算），數十億條記錄被盜或泄露（見圖2）。然而，這些事件的總直接和間接成本很可能還要高得多，估計占全球GDP的1%至10%。

（*直接損失包括用于賠償損害、罰款和處罰、敲詐勒索的金額，或業務中斷造成的業務收入損失。間接損失包括聲譽受損、未來業務下滑、網絡安全投資增加和生產力下降等成本。）

【圖2：總損失金額和受影響記錄數量】

金融行業正高度暴露于網絡風險之下。過去二十年間，在上報的網絡安全事件中有近五分之一關乎金融部門，其中，銀行是最常見的目標，其次是保險公司和資產管理公司（見圖3）。金融公司報告了重大的直接損失，自2004年以來總計損失近120億美元，其中2020年-2023年間就損失了25億美元（見圖4）。

【圖3：2004-23年全球網絡事件數目，按行業劃分】

【圖4：2004-23年全球網絡事故造成的損失，按行業劃分】

IMF警告稱:

盡管迄今為止網絡事件還不是系統性的，但主要金融機構發生的嚴重事件可能會導致信心喪失、關鍵服務中斷，以及技術和金融的相互關聯性，從而對宏觀金融穩定構成嚴重威脅。

網絡風險影響宏觀金融穩定的方式

首先，網絡事件（如數據泄露）可能會導致公眾對目標機構的生存能力喪失信心，繼而通過存款提取或銀行擠兌等方式提高流動性風險。這種流動性風險可能導致償付能力問題，并可能溢出到金融體系的相關方。

其次，如果網絡事件影響到一個難以替代的關鍵機構或金融市場基礎設施，金融穩定的風險可能很快就會成為現實。例如，對參與支付系統的主要銀行的勒索軟件攻擊、關鍵云服務提供商的故障、對央行的黑客攻擊或金融系統關鍵樞紐（如電子交易系統或清算所）的破壞，都可能迅速破壞金融穩定。

第三，通過技術關聯（如多家公司使用相同的軟件）或金融關聯（如銀行間市場和結算系統或共同資產持有）的機構互聯性可以將網絡事件的影響傳播到整個金融體系。因此，重大網絡事件可能會對宏觀經濟結果產生不利影響，例如支付系統中斷等后果。

【圖5：網絡安全與宏觀金融穩定的傳導渠道】

此外，非金融機構的網絡事件也可能破壞金融穩定。例如，對關鍵基礎設施（如電網）的網絡攻擊可能會使金融機構難以正常運作，其影響會蔓延至宏觀經濟。系統性非金融機構發生的嚴重網絡事件也可能增加金融機構的信貸或流動性風險。公共機構的網絡事件同樣可能擾亂政府運作。例如，攻擊可能會破壞政府債務的管理，通過主權風險溢價的上升直接或間接地對金融部門產生不利影響。

金融服務領域的新興技術和創新同樣可能加劇網絡風險。盡管人工智能（AI）的進步可以幫助提高對風險和欺詐的檢測，但它同樣會被惡意行為者濫用。最值得注意的是，攻擊者正通過生成式人工智能（GenAI）生成更復雜的網絡釣魚或深度偽造信息，來實施身份盜竊或欺詐。例如，在2024年1月，騙子利用深度偽造技術創建了一個群視頻通話，欺騙了一家跨國公司的員工轉移了2億港元（2600萬美元）。此外，AI還使公司面臨數據集泄露的風險，例如用于訓練AI算法的數據或第三方AI提供商分析的數據。展望未來，量子計算的出現及其快速破解金融系統中使用的加密算法的潛力也可能擴大網絡攻擊造成的損失。

網絡事件的經濟影響

到目前為止，公司報告的網絡事件的直接損失通常不大。根據現有數據，網絡安全事故給公司造成的直接損失中位數約為40萬美元，其中四分之三的損失低于280萬美元（見圖6）。盡管惡意事件造成的損失是非惡意事件的5倍多（約為50萬美元），但損失的絕對值總體上也不大。例如，大多數網絡勒索（如勒索軟件攻擊或惡意數據泄露）造成的損失為1200萬美元。然而，這種分布是嚴重傾斜的，一些事件造成了數億美元的損失。這種極端的損失可能導致公司的流動性問題，甚至危及其償付能力。

【圖6：2012–23年間企業直接損失，各事故類型劃分】

網絡事件造成極端損失的風險仍在不斷增加。調查結果顯示，自2017年以來，一個國家在給定年份的最大損失中位數達到1.41億美元，相當于公司平均營業收入的50%左右。分析還表明，每10年一次網絡事件預計會導致25億美元的損失，約為公司平均營業收入的800%。潛在地威脅到受影響公司的流動性和償付能力。就金融公司而言，一年中估計的最大損失是相似的——平均每年約為1.52億美元，每10年高達22億美元（見圖7）。

【圖7：金融行業年度最大損失的估計分布】

上報的公司直接損失可能無法完全反映網絡事件的全部經濟成本。公司通常不會報告網絡事件造成的間接損失——比如業務損失、聲譽損害或網絡安全投資——因為這些損失可能難以捕捉，或者隨著時間的推移才能逐漸顯現。然而，網絡事件造成的總體損失（即直接+間接損失）可以使用股價對網絡事件的反應來估計，因為股票市場是前瞻性的，反映了市場參與者對公司價值的評估。

分析表明，在控制市場走勢和其他相關因素的情況下，股票價格對網絡事件的平均反應并不強烈，然而，股價似乎確實會對網絡攻擊做出反應。平均而言，公司的股票回報率下降了0.1個百分點到0.2個百分點，盡管這種影響在統計上并不強。小公司的損失是最大的，也是最顯著的（從0.3%到近0.6%不等），這表明小公司阻止和處理網絡攻擊潛在損失的能力較差?？偟膩碚f，這些股票市場反應公司市值損失高達9000萬美元，這遠遠大于公司報告的直接損失。

網絡事件的驅動因素

了解導致網絡事件發生的因素對于制定健全的網絡安全政策和戰略至關重要。網絡事件是由公司對網絡事件的總體暴露程度和防止網絡事件的能力決定的。例如，與數字足跡有限的小公司相比，擁有廣泛數字足跡且嚴重依賴IT技術的盈利大公司更可能成為網絡攻擊的目標。與此同時，這些公司也可能有更大的能力投資于網絡安全，增強彈性，使它們不那么容易受到網絡事件的影響。此外，處于地緣政治緊張局勢國家的公司也更可能成為網絡攻擊的受害者。相比之下，擁有成熟網絡治理能力的公司，以及在擁有強大網絡法律的國家運營的公司更有可能防止網絡事件。

分析表明，數字化和地緣政治緊張局勢顯著提高了網絡事件的風險。例如，從聯合國電信基礎設施指數的第10個百分位數（馬達加斯加或馬拉維的水平）上升到第90個百分位數（西班牙的水平），網絡事件的可能性就會從0.5%上升到2%以上。地緣政治緊張局勢加劇的國家遭遇網絡事件的風險也同樣會增加。較大的公司和那些擁有較高無形資產份額的公司——通常是IT公司——也面臨著更高的網絡攻擊概率。相比之下，網絡立法更發達國家的公司不太可能成為網絡事件的目標。

在COVID-19大流行期間轉向遠程辦公的公司更有可能發生網絡事件。數據顯示，在大流行之前僅適度依賴遠程辦公，但在大流行期間轉向遠程辦公的公司，遭遇的網絡事件增加更多（見下圖）。

【圖8：COVID-19大流行前后網絡事件的概率(按部門遠程工作能力劃分)】

金融領域的網絡威脅形勢

金融體系尤其易受網絡風險的影響。金融公司處理大量客戶數據和交易，這可能使它們淪為尋求金錢收益或破壞經濟活動的網絡犯罪分子的首選目標。如上所述，在上報的網絡安全事件中有近五分之一關乎金融部門，其中，銀行是最常見的目標。這一脆弱性凸顯了管理和減輕網絡風險對維護全球金融穩定的至關重要性。

以下三個關鍵特征放大了金融機構的脆弱性：

• 首先，在考慮諸如支付服務和托管銀行等關鍵服務時，銀行的市場集中度在國家和全球層面都很高。一般來說，銀行的支付網絡是金融系統基礎設施的關鍵部分。網絡事件可能會破壞這些網絡，嚴重影響經濟活動。除了銀行之外，金融市場基礎設施——包括支付和證券結算系統、中央證券存管機構和交易存儲庫——通常具有市場集中度高、可替代性低的特點，這使得對金融市場基礎設施的成功網絡攻擊成為金融體系的主要漏洞。
• 其次，由于規模經濟和網絡效應，金融公司的運營越來越依賴于普通的第三方IT提供商。這包括采用通用軟件解決方案，獲取類似的硬件組件，以及遷移到一組選定的全球云計算或關鍵服務提供商。數據顯示，超過50%的全球主要銀行的IT供應商向兩家或更多的全球主要銀行提供產品和服務，這意味著存在廣泛的重疊。盡管第三方IT提供商可以使金融機構受益，例如提高運營彈性，但它們也存在風險。如果管理不當，提供第三方服務的高度重疊可能會使金融體系面臨常見沖擊，在發生網絡事件時中斷關鍵服務，并對金融機構和金融穩定構成重大風險。例如，IT部門的網絡事件經常會蔓延到其他部門的公司。
• 第三，金融機構之間的高度互聯互通可能加劇傳染，并導致更有可能發生具有系統性影響的網絡事件。例如，網絡事件中斷了單個金融公司的支付處理，可能會對其他公司的流動性和運營造成連鎖反應。同樣地，金融機構發生的嚴重網絡事件可能會在更廣泛的范圍內破壞對金融體系的信任，在極端情況下，還會導致市場拋售或銀行擠兌。

金融科技的快速發展帶來了額外的網絡風險。金融科技公司通過其數字化運營和互聯性增加了金融體系面臨網絡威脅的風險。去中心化金融自2020年以來迅速增長，而對采用智能合約的去中心化金融的網絡攻擊也很常見，且往往會造成巨大損失。雖然中央銀行數字貨幣沒有經歷過任何已知的成功網絡攻擊，但網絡攻擊可能存在未知和不可預測的風險，因為它們可能依賴于分布式賬本技術等新技術，而這些技術沒有被廣泛接受的網絡安全框架。黑客也經常針對加密資產，對加密交易所的網絡攻擊也有所增加。隨著加密資產越來越多地融入金融體系，它們的脆弱性可能會給金融體系帶來風險。

各國的網絡安全準備情況

當前，全球金融體系面臨著日益嚴重的網絡風險，應對網絡風險的政策和治理框架必須與時俱進。如前所述，標準制定者和主要監管機構已經認識到這一需求。然而，在許多國家，特別是在網絡威脅與數字化同步增長的新興市場和發展中經濟體，法律框架和公司層面的網絡治理安排仍然不足。

【圖9：Maplecroft網絡立法指數和國際電聯全球網絡安全指數】

根據2021年國際貨幣基金組織對各國央行和監管機構的調查顯示，新興市場和發展中經濟體的網絡安全政策框架仍然不足：只有47%的受訪國家制定了以國家和金融部門為重點的網絡安全戰略。大約一半的國家實施了專門的網絡安全法規，54%的國家采用了數據隱私法。

分析調查的各個維度表明，自2021年以來，新興市場和發展中經濟體的網絡安全監管和測試方法有所改善：

• 半數接受調查的新興市場和發展中經濟體報告稱，它們設有專門的網絡風險監管部門，72%的經濟體規定定期進行網絡測試和演習，22%的經濟體積極管理此類測試。
• 幾乎一半的受訪司法管轄區有權審查第三方服務提供商，鑒于越來越多的金融機構將業務遷移到云上，這是一個至關重要的進展。
• 正式的網絡風險壓力測試仍然不太常見，只有27%的受訪經濟體將網絡風險納入其壓力測試計劃。僅有8%的司法管轄區開發了網絡地圖，以識別金融機構之間的主要技術和服務聯系。
• 金融部門的信息共享策略有助于防止網絡威脅，但只有28%的司法管轄區報告稱，金融實體之間有系統地共享信息和情報。盡管中央銀行和監管機構越來越多地參與國內全行業信息共享，但與其他司法管轄區共享數據的國家數量并未增加（約為50%）。只有49%的國家有網絡安全事件報告制度。

網絡安全準備指數反映了應對網絡風險的監管能力，揭示了新興市場和發展中經濟體之間的差距。根據調查結果，各國建立了網絡安全準備指數，以總結網絡戰略和監管、監管實踐、網絡安全測試方法、意識建設和監管能力建設的質量。該指數的范圍從0到5，其中5分代表網絡準備的最高水平。結果顯示，2023年新興市場和發展中經濟體的該指數平均得分為3分（略高于2021年的2.8分），表明網絡準備水平為“中等”。一半的國家得分低于3分，超過五分之一的國家得分低于2分，突顯出它們在緩解網絡風險方面存在嚴重缺陷。

【圖10：網絡防范指數得分的頻率分布】

從該指數的地區細分來看，非洲和亞洲的網絡準備水平相對較低。雖然拉丁美洲的監管和監督能力似乎有所提高，但非洲和亞洲國家的網絡準備水平平均而言仍然相對較低。最近，在國際貨幣基金組織有關網絡安全監管方面的能力建設倡議中，約有三分之二集中在這些地區。

【圖11：2023年各地區網絡準備指數平均值】

調查結果表明，各國——特別是新興市場和發展中經濟體需要采取更多措施來應對網絡風險。總的來說，金融部門網絡準備方面大致存在如下問題：1）國家和金融部門網絡安全戰略以及利益相關者之間的協調存在缺口；2）董事會網絡能力和對第三方服務提供商的有效監管不足；3）網絡安全法規和監管、事件報告制度和網絡測試要求方面存在不足。此外，缺乏認知、資源限制和優先事項不明往往也會阻礙進一步的進展。

結論及建議

網絡風險對金融穩定的威脅不斷加劇。在全球范圍內，惡意網絡事件日益頻繁。雖然過去網絡事件造成的損失通常不大，但在某些情況下可能會造成極端損失。盡管金融部門尚未發生系統性網絡攻擊，但在數字化、技術發展和地緣政治緊張局勢加劇的背景下，風險已經大幅增加。

金融部門的網絡安全戰略，加上有效的監管和監督能力，可以幫助建立彈性。為此，金融組織需要建立足夠熟練的網絡風險監管小組，定期進行現場評估，并收集相關數據進行非現場監管，以評估網絡安全形勢。還應繪制金融和技術聯系地圖，以識別第三方服務提供商的互聯性和集中度帶來的潛在系統性風險。監管機構則應鼓勵金融組織完善“網絡成熟度”。這需要董事會層面的網絡專業知識、三道防線（在業務、風險管理和審計層面管理風險）、提高公司在線安全和維護系統健康的網絡衛生（如反惡意軟件和多因素身份驗證），以及網絡培訓和意識教育。

為有效監控網絡安全，應加強向監管機構報告網絡事件。缺乏數據是有效監督和金融穩定分析以及公司層面風險管理的關鍵障礙。近年來，公司對網絡事件和相關損失的報告有所改善，但仍然不完整，并且存在滯后性。網絡事件的數據收集需要在全球范圍內優先考慮，信息應在金融部門參與者之間共享，以加強他們的集體準備。

監管機構還應要求金融公司開發和測試響應和恢復程序，以便在網絡事件中保持運營能力。能夠在中斷期間提供關鍵服務，對于限制金融體系的潛在中斷同樣重要。為此，企業需要確定其關鍵業務服務，并確保經過測試的災難恢復計劃和危機管理框架部署到位。國家當局還應制定有效的響應控制和危機管理框架，以應對系統性網絡危機。

監控與網絡相關的流動性風險同樣是必要的。過去，網絡攻擊后的存款外流一直是適度的，對銀行的流動性要求似乎通常足以解決這些問題。然而，展望未來，在評估壓力情景下的流動性需求時，公司將需要考慮網絡攻擊并做好準備。此外，央行業務連續性應急計劃也應考慮網絡風險，包括在危機中提供流動性的風險。

鑒于網絡攻擊的全球性和系統性影響，跨境協調對于減輕網絡風險至關重要。網絡攻擊通常并不來自金融公司所在國，收益可以跨越國界，這加劇了追究攻擊者責任和追回資金的難度。因此，為成功解決網絡安全問題，制定國際合作議定書至關重要。此外，各國需要協調網絡事件的報告，以促進跨境信息共享。

此外，網絡保險可以幫助抵消網絡風險，但在可用性和使用方面受到限制。企業越來越依賴網絡保險來防止網絡事件造成的經濟損失，但覆蓋范圍仍然很低。缺乏數據——特別是關于網絡事件的總損失、未實現的攻擊以及網絡安全投資等關鍵風險指標的數據可能會導致網絡保險的可用性受到限制。

原文鏈接：https://cybernews.com/security/imf-cyberattacks-threaten-global-financial-stability/#google_vignette