智庫報告:網路金融危機的4個渠道與3個特點
長期以來,金融機構和金融基礎設施一直是網路攻擊的重點目標。特別是有國家背景的網路攻擊行動將他國金融體系作為達成政治目的的手段,美國等西方國家開始將防範網路攻擊所引發的系統性金融風險作為未來網路安全的重要目標。為此,2018年10月,美國智庫布魯金斯學會發布研究報告《金融穩定與網路風險的未來》,分析了網路風險引發金融不穩定的主要渠道,網路風險所引發危機的型別,並就如何防範網路風險所引發的系統性金融不穩定闡述建議。現由學術plus編譯,僅供參考。文章版權歸原作者所有,觀點不代表本機構立場。
下一次金融危機的源頭在網路?
美布魯金斯學會分析網路風險對金融穩定的影響
作者:Jason Healey, Patricia Mosser, Katheryn Rosen, and Adriana Tache
編譯:學術plus評論員 金飛
來源:https://www.brookings.edu
一、網路風險通過4條渠道引發金融系統動盪
2016年,美財政部金融研究辦公室(OFR)在向國會提交的“金融穩定報告”中強調,“影響金融公司的網路安全事件”具有傳播效應,主要通過3條渠道引發系統性金融危機。
一是相關金融部門的不可替代性。金融系統往往依賴幾個關鍵節點,如電子交易系統、交易所或結算中心,進行證券託管、抵押品管理以及交易匹配和確認。其業務要依託強大的資訊和通訊技術(ICT)基礎設施來完成交易或轉移支付。如果網路安全事件影響這些機構或系統,那麼幾乎沒有其他替代方案。
二是信心缺失。各類網路攻擊可能會引發消費者信心缺失,如自動取款機遭黑客攻擊,一個或多個特別值得信賴的機構無法正常執行,黑客引發證券市場閃崩,銀行家或監管機構洩露電子郵件,以及賬並就戶被他人接管。一旦信心極端缺失就可能導致銀行擠兌事件的發生。
三是資料的完整性。系統性影響可能源於網路入侵,其會直接修改或以其他方式影響市場或消費者的資料質量,從而導致系統癱瘓。就像WannaCry勒索軟體攻擊事件那樣,資料恢復可能比預期要長得多並引發資訊缺失或其他系統性影響。這對於需要快速處理訂單的市場影響尤為巨大。
該報告認為,除金融研究辦公室所述3條渠道之外, 資訊通訊技術的不 可替代性 也是引發金融風險的渠道。與相關金融部門的不可替代性類似,世界上大部分的計算和儲存被少數雲服務提供商壟斷,金融機構的資訊系統執行相同的作業系統和應用程式,所有公司都依賴於相同的網際網路基礎協議,如TCP / IP或DNS。因此,區域性的網路風險可能會因資訊通訊技術構建的相互依存度而引發地區或行業的金融風險。
二、網路風險引發金融危機的主要特點
在 攻擊時機上, 網路攻擊需要長期規劃,攻擊者會在數週或數月之前滲透到系統中,提升他們的許可權,並確定如何最好地造成破壞。一旦部署就緒,攻擊者可以選擇任何時間節點進行破壞。
在效果的複雜性上,網路空間是一個非常複雜的系統,一個區域性的損害很容易以意想不到的方式產生外溢效應,從而產生“黑天鵝事件”,不但難以預測,而且後果極其嚴重。
在對手意圖上,對手實施的網路攻擊可能會專門用於癱瘓、摧毀或破壞市場功能,故意引發金融不穩定。例如,從2011年到2012年,伊朗對近50家主要金融機構進行了大規模的拒絕式服務攻擊,其目的不是衝著金庫去偷竊,而是要造成更大規模的金融破壞。如果一個國家因制裁而與美元市場隔絕,那該國領導人可能會認為,破壞金融體系可能會給美國及其盟友造成嚴重損害,而自己卻不受什麼影響。
三、網路風險將引發三種金融危機
一是“小火慢燉”式的危機。在此類危機中,敵人使用網路手段持續製造摩擦,給受攻擊國的金融系統造成破壞,以侵蝕其民眾信心,但其製造的危機尚不足釀成系統性風險,並引發受攻擊國在軍事上進行報復。伊朗對美國金融機構發動的拒絕式服務攻擊就屬於此類。
二是“火上澆油”式的危機。這種危機往往發生在金融危機已經出現或者一國徘徊在經濟危機邊緣之時,而對手故意用網路攻擊“火上澆油”。假設在2008年,全球中央銀行和國內當局正在為陷入困境的金融機構注入大量流動性和資本支援之時,網路攻擊可能會進一步擾亂政策和市場反應。拒絕式服務攻擊可能會破壞電子郵件或電話通訊,並干擾中央銀行貸款計劃或聯邦存款保險公司銀行救助方案的執行,從而引發進一步的恐慌和銀行擠兌。對手可能已經發布了敏感(或篡改)的電子郵件,以激發公民和立法者對救助計劃的不滿。在快速發展的熊市中,網路攻擊引發證券市場的閃崩可能會使全球股市或債券市場陷入困境。
三是“煽風點火”式的危機。當敵人利用網路能力製造本來不會發生的金融危機時,“煽風點火”式的危機就會出現。例如,對金融關鍵基礎設施、重要金融機構或融資市場進行網路攻擊,從而引發金融危機。
四、當前防範金融領域網路風險存在的問題
一是越來越多的對手會議製造金融不穩定為目標,並積極破壞金融部門的應對工作。而金融部門對複雜技術的依賴使相關人士擔心,即使是技術水平不高的行動者也會引發金融領域的系統性風險。
二是缺乏對網路風險、金融危機傳播渠道,以及危機加劇因素之間相關關係的分析研究。進一步瞭解網路風險與業務流程和決策之間的相關關聯性至關重要。
三是防範工作處於碎片化狀態,金融行業與政府網路和金融穩定風險方面的工作存在分歧,缺乏協調的政策和法規,以及相關的標準。同時,國際上也沒有相應機構發揮協調作用。
四是金融科技的發展將加劇金融體系的複雜性,存在加劇風險的可能性。例如,雲端計算可以降低大多數網路風險,但會增加對少數供應商的依賴。
五、防範建議
1. 協調國際監管,提升應對網路攻擊的彈性,降低風險水平。這種監管方式要具有延展性,能隨著技術的發展變革和對手實力的增強而不斷創新。
2.進行資料分析研究,並推進模型設計以衡量或量化網路風險,包括制定通用術語以將網路風險作為金融穩定的因素之一進行討論。例如,“風險”和“攻擊”在網路安全部門和金融部門的含義不同,如果不進行統一,那在危機中就會造成網路安全部門和金融部門之間的誤解。
3.進一步瞭解金融市場的結構、運作流程等,以進一步發現網路風險與市場動盪之間的重合點。要特別關注網路技術的擴散與業務決策、金融響應之間的相互作用,因為其相互作用會引發金融危機蔓延。
4.在國內外舉行更多的演習,在金融和網路安全高管之間建立起溝通橋樑。開展的演習應該逐漸囊括全球所有的金融監管機構,以適應網路空間和金融全球性的本質。
下載報告原文:https://www.brookings.edu/research/the-future-of-financial-stability-and-cyber-risk/
宣告:本文來自學術plus,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。