網絡風險：日益威脅宏觀金融穩定的憂患

提 要：自新冠疫情全球大流行以來，全球網絡攻擊的數量幾乎翻了一番。其中，金融部門面臨嚴重的網絡風險，近1/5的網絡安全事件已經影響到金融公司。盡管迄今為止，網絡事件尚未成為系統性問題，但重大金融機構的嚴重網絡事件可能通過信任喪失、關鍵服務中斷以及技術和金融之間的互聯性，給宏觀金融穩定帶來嚴重威脅。

關鍵詞：網絡風險；宏觀金融穩定；風險應對機制

一、引言

在過去二十年里，特別是自2020年以來網絡安全相關事件變得更加頻繁。尤為明顯的是，網絡惡意事件（“網絡攻擊”）的數量顯著增加，如相較于新冠疫情全球大流行前，網絡勒索或惡意數據泄露事件的數量，幾乎翻了一番。a網絡安全事件可能給公司帶來巨大的成本。從2020年起，網絡事件的直接報告損失總額已接近280億美元（以實際計算），數十億條記錄被盜或被泄露。然而，這些事件的直接和間接總成本很可能遠高于此（Kamiya等，2021）。據估計，它的比例占全球GDP的1%到10%不等（戰略與國際研究中心，2020；Statista，2022）。b許多因素導致網絡安全事件的增加。如快速增長的數字連接性——尤其是在新冠疫情全球大流行期間加速發展（Jamilov、Rey和Tahoun，2023），對技術和金融創新的日益依賴——可能與網絡風險的上升有關。考慮到2022年2月俄烏沖突后網絡攻擊激增，地緣政治局勢的緊張可能是一個促成因素。a

金融行業高度暴露于網絡風險之下。過去二十年報告的網絡安全事件中有近1/5影響到金融部門，銀行是最常見的目標，其次是保險公司和資產管理公司。金融公司報告了重大的直接損失，自2004年以來總計近120億美元， 2020年以來總計25億美元。發達經濟體的金融機構，特別是美國的金融機構，比新興市場和發展中經濟體的公司更容易受到網絡安全事件的影響。如，美國最大的銀行摩根大通（JPMorgan Chase）的最近報告稱，該銀行每天經歷450億起網絡事件，每年在相關技術上花費150億美元，雇傭了6.2萬名技術人員，其中許多技術人員是專注于網絡安全的。b

網絡事件是一個關鍵的運營風險，可能威脅到金融機構的運營彈性，并對整體宏觀金融穩定產生不利影響。金融機構或國家關鍵基礎設施的網絡事件可能通過三個主要渠道導致宏觀金融穩定風險：喪失信心，缺乏所提供服務的替代品，互聯性（Adelmann等， 2020）。雖然迄今為止，網絡事件的發生不是系統性的，但持續的快速數字化轉型和技術創新（如人工智能）以及日益加劇的全球地緣政治緊張局勢增加了這種風險。近年來發生的重大網絡事件——如2023年11月8日對中國工商銀行美國分行的勒索病毒攻擊，就導致美國國債市場的交易暫時中斷——這進一步凸顯了在主要金融機構發生的網絡事件可能威脅金融穩定。私營部門對網絡風險的關注度有所提高。企業領導和金融行業參與者認為，網絡不安全性是全球宏觀金融穩定的主要風險（加拿大銀行，2023a；英格蘭銀行，2023；存托信托和清算公司，2023；世界經濟論壇，2023；安永/國際金融協會，2024）。過去幾年，企業在財報電話會議中提及網絡風險的數量激增，這表明企業和分析師對這一問題更加關注。關于網絡安全的擔憂也反映在越來越多的公司購買保險以防范網絡事件帶來的財務損失（相較于普通責任保險合同）。中央銀行和金融監管機構將網絡安全視為一個重大風險。c歐洲系統性風險委員會、美國金融穩定監督委員會和英格蘭銀行金融政策委員會，已將網絡風險認定為系統性風險的來源（歐洲系統性風險委員會，2020；金融穩定監督委員會，2023；英格蘭銀行，2024b）。中央銀行和金融監管機構在金融穩定報告和監管壓力測試中，也越來越多地考慮網絡風險。a全球范圍內緩解金融部門網絡風險的努力也在加快，多個標準制定機構發布了政策文件和指南，以加強網絡韌性。b

在此背景下，本文評估了網絡風險對金融穩定的潛在影響，并討論了減輕此類風險的政策選項。首先，本文提出一個簡單的概念框架，闡明了網絡風險可能通過哪些渠道破壞宏觀金融穩定。其次，本文實證地探討三個關鍵問題：第一，網絡事件給企業層面造成的損失有多大？第二，哪些因素解釋了網絡事件的發生？第三，金融部門面臨網絡風險的脆弱性有多大？為了解答這些問題，本文依托多種數據來源，包括綜合性企業層面數據集，涵蓋大約9萬家公司報告的超過17萬起網絡事件。a由于私人部門應對網絡風險的動機可能與社會最優水平的網絡安全存在差異，因此可能需要公共干預（Kopp、Kaffenberger和Wilson ，2017；Kashyap和Wetherilt， 2019）。通過一項調查，本文提供了中央銀行、金融監管機構和金融監管者準備應對網絡事件的情況，尤其是在新興市場和發展中經濟體中的準備情況。最后，本文討論了加強金融系統應對系統性網絡風險韌性的政策選項。

二、網絡風險的傳遞

金融機構的網絡事件可能通過三個關鍵渠道威脅宏觀金融的穩定性。其一，網絡事件（如數據泄露）可能導致對目標機構生存能力喪失信心，進而通過存款提取或銀行擠兌等方式提高流動性風險，即“網絡擠兌”（Duffie和Younger， 2019）。這種流動性風險可能導致償付能力問題，并可能蔓延至金融系統中的相關方。其二，如果網絡事件影響到一個難以替代的關鍵機構或金融市場的基礎設施，那么金融穩定的風險可能迅速顯現。例如，針對參與支付系統的大型銀行的勒索軟件攻擊、關鍵云服務提供商的故障、中央銀行的黑客攻擊，或金融系統中的關鍵樞紐（如電子交易系統或清算所）遭到破壞，都可能迅速波及并破壞金融穩定（Healey等，2018）。其三，機構通過技術連接（如多個公司使用相同軟件）或金融聯系（如銀行間市場、結算系統或共同資產持有）形成的相互聯系，可能會將網絡事件的影響傳播到整個金融系統（Eisenbach、Kovner和Lee，2022）。因此，重大網絡事件可能對宏觀經濟結果產生不利影響，如降低信貸供應或破壞支付系統。網絡事件還可能通過非金融機構來破壞金融穩定。例如，針對關鍵基礎設施（如電網）的網絡攻擊可能使金融機構難以正常運營，進而影響宏觀經濟。

系統性非金融機構發生的嚴重網絡事件也可能增加金融機構的信貸或流動性風險。考慮到在不利的金融狀況下網絡風險可能上升，這些影響會被放大（Eisenbach、Kovner和Lee ，2023）。發生在公共機構的網絡事件同樣可能擾亂政府的運作。例如，攻擊會破壞政府債務管理，直接或間接通過主權風險溢價的上升對金融部門產生不利影響（《全球金融穩定報告》，2022年4月）。盡管人工智能（AI）的進步可以幫助提高對風險和欺詐的檢測能力，然而新興技術和金融服務創新也可能加劇網絡風險。例如，通過觀察異常行為，人工智能也可能被惡意活動利用（Boukherouaa等，2021）。b最顯著的是，通過生成式人工智能（GenAI），更復雜的釣魚信息或深度偽造被用于身份盜竊或欺詐（Boukherouaa和Shabsigh， 2023）。c例如，2024年1月，騙子通過使用深度偽造技術創建團體視頻通話，誘使一家跨國公司的員工轉賬2億港元（約合2600萬美元）。a此外，人工智能還使公司面臨數據集泄漏的風險，如泄露用于訓練人工智能算法的數據，或第三方人工智能提供商分析的數據。b展望未來，量子計算的出現及其快速破解金融系統加密算法的潛力，也可能放大網絡攻擊的損失（Sedik等，2021；美國總統辦公室，2022）。

三、企業因網絡事件遭受的損失

迄今為止，企業因網絡事件報告的直接損失一般不大，但可能變得非常巨大。根據現有數據，所有網絡事件報告中的企業直接損失中位數約為40萬美元，所有報告中3/4的報告損失低于280萬美元。雖然惡意事件造成的損失是非惡意事件的五倍以上，約為50萬美元，但惡意事件造成的絕對損失的幅度一般不太大。例如，大多數網絡敲詐事件，如勒索軟件攻擊或惡意數據泄露，造成的損失最高為1200萬美元。然而，這一分布嚴重偏斜，一些事件的損失達到數億美元。這種極端損失可能導致企業的流動性問題，甚至危及其償付能力。c由網絡事件造成極端損失的風險一直在增加。正因為網絡事件造成的巨大損失較為罕見，所以準確量化其發生概率是一個挑戰。為了解決這一問題，本文估算了一個廣義極值分布——工程學中常用來研究近似高度偏斜的隨機實驗極端結果分布的方法。d研究結果顯示，某一年內一個國家的最大損失中位數，換句話說，大抵為大多數年份發生的最大損失，自2017年以來已經翻倍，2021年達到1.41億美元，相當于企業平均運營收入的約50%。分析還表明，每10年就可能發生一次網絡事件，造成25億美元的損失，這可能威脅到受損失企業的流動性和償付能力。具體到金融企業，預計每年最大損失相當，即，在一個典型年份中位數約為1.52億美元，每10年可能發生一次高達22億美元的損失。

企業報告的直接損失可能無法完全反映網絡事件的總體經濟成本。企業通常不會報告網絡事件帶來的間接損失——如業務喪失、聲譽損害或網絡安全投資——因為這些損失可能很難捕捉或可能是隨著時間的推移逐步展開的。然而，總體損失（即直接和間接損失）可以通過股價對網絡事件的反應來估算，因為股市具有前瞻性，能夠反映市場參與者對企業價值的評估（Kamiya等，2021年）。e分析顯示，在控制市場波動和其他相關因素后，股價通常不會對網絡事件產生強烈反應。f然而，股價似乎確實會對網絡攻擊做出反應。平均而言，公司的股票回報率會下降0.1到0.2個百分點，盡管這一影響在統計上并不顯著。a對小型企業而言，體現為損失最大且最為顯著，范圍從0.3%到接近0.6%，這表明小型企業在應對和處理網絡攻擊可能帶來的損失方面能力較弱。總體而言，這些股市的反應相當于企業市場價值損失最多可達9000萬美元，且遠遠大于企業報告的直接損失。b

四、網絡事件的驅動因素

理解導致網絡事件發生或預防的因素，對于制定強有力的網絡安全政策和策略至關重要。網絡事件的發生既受公司對網絡事件整體暴露程度的影響，也受公司應對這些事件的能力的影響。例如，擁有廣泛的數字化業務并且嚴重依賴信息和通信技術的大型且盈利豐厚的企業，可能比那些數字足跡有限的小型企業更容易成為網絡攻擊的目標。同時，大型且盈利豐厚的企業也可能具有更強的投資于網絡安全和增強韌性的能力，從而使其不太容易受到網絡事件的影響。位于面臨地緣政治緊張局勢國家的企業，可能更容易成為來自競爭國威脅引發的網絡攻擊的受害者。相比之下，擁有成熟的網絡治理的企業和位于網絡法律健全國家的企業，更有可能防范網絡事件的發生。c計量經濟學分析表明，數字化和地緣政治緊張局勢顯著增加了企業遭受網絡事件的風險。d例如，從聯合國電信基礎設施指數的第10百分位（馬達加斯加或馬拉維的水平）上升到第90百分位（西班牙的水平），網絡事件發生的可能性則從0.5%上升到超過2%。ef樣本中某一年經歷網絡事件的平均可能性為1.2%，這代表著顯著的增長。同樣，被地緣政治緊張局勢影響程度較高的國家，遭遇網絡事件的風險也顯著增加。g規模較大的企業以及無形資產占比更高的企業（通常是信息技術行業的企業）遭遇網絡事件的概率也明顯更高。h相比之下，所在國網絡立法更完善的企業的網絡事件發生率更低。i

在新冠疫情全球大流行期間，轉向遠程辦公的企業更有可能遭遇網絡事件。結果顯示，在疫情前僅適度依賴遠程辦公、但在疫情期間轉向遠程辦公的企業，其網絡事件的發生率上升幅度更大。疫情前，遠程辦公傾向較高的行業企業，比其他企業更有可能遭遇網絡事件，這可能是因為它們更依賴信息技術基礎設施。然而，疫情過后，這類企業遭遇網絡事件的概率下降了。a相反，疫情前遠程辦公能力較弱的企業不太可能轉向遠程辦公，在疫情期間也未受到網絡事件的強烈影響。

與網絡安全相關的治理安排不足，可能加劇了在新冠疫情全球大流行期間企業網絡安全的脆弱性。該研究發現，遠程辦公的公司在疫情期間遭遇更多網絡事件，而那些在疫情前就習慣遠程辦公的公司則遭遇了較少的網絡事件，一個合理的解釋是，后者具備相對更強的網絡安全和治理安排，以及準備更充分的員工隊伍。實際上，在疫情前具有較高遠程辦公傾向的行業，其治理安排更能有效應對網絡風險。這些公司更可能擁有具備網絡安全專長的董事會成員、擁有網絡安全和數據隱私政策，并且在管理數據隱私風險的能力上得分較高。而且，在疫情期間，上述公司在這些方面還進一步加強了治理。公司往往在發生網絡事件后才加強其網絡防御，這表明管理網絡風險是一個動態的學習過程。由于網絡治理是預防網絡事件發生的一個重要因素，因此已有證據表明，公司在發生網絡事件后會增加具有保障網絡安全專長的董事會成員數量。

五、金融行業的特征放大了其面對網絡事件的脆弱性

金融系統明顯暴露于網絡風險之下。金融機構處理大量的客戶數據和交易，這使得它們成為網絡犯罪分子首選的攻擊目標。網絡犯罪分子可能尋求通過獲取金錢利益或破壞經濟活動來實現該目標。金融行業的網絡事件在所有網絡事件中占相當大的比例，其中，銀行面臨全行業約一半的網絡安全事件。大銀行尤其容易受到攻擊，這可以通過衡量組織整體網絡安全表現的評分來反映——大概是因為大銀行經常成為既定的攻擊目標，盡管它們可能已經采取了更為復雜的網絡安全措施。bc這種脆弱性凸顯了網安管理和減輕網絡風險以維持全球金融穩定的重要性。有三個關鍵特征放大了金融機構面對網絡事件的脆弱性。

其一，考慮到關鍵服務如支付服務和托管銀行業務時，銀行的市場集中度在國家和全球層面都很高。d通常情況下，銀行的支付網絡是金融系統基礎設施的關鍵部分。網絡事件可能會中斷這些網絡，從而嚴重影響經濟活動（Eisenbach， Kovner， and Lee ，2022）。除了銀行業，金融市場基礎設施（包括支付和證券結算系統、中央證券存管機構、中央對手方和交易存儲庫）通常也具有較高的市場集中度和較低的可替代性特征，這使得對金融市場基礎設施的成功網絡攻擊成為金融系統的重大脆弱點。

其二，金融機構的運營日益依賴于共同的第三方IT服務提供商，這主要由于規模經濟和網絡效應。包括采用共同的軟件解決方案、采購相似的硬件組件，以及遷移到一小部分選定的全球云服務或關鍵服務提供商。全球系統重要性銀行的50%以上的IT提供商同時向兩個或更多的全球系統重要性銀行提供產品和服務，這意味著其中存在廣泛的重疊。同樣，大約20%的保險公司和25%的資產管理公司也面臨類似情況，它們的IT服務提供商同時為它們所在的兩個或多個機構提供服務。這些依賴關系——可能是跨國的——隨著金融行業的數字化增長而不斷增加。盡管第三方IT服務提供商能夠為金融機構帶來好處，如提升金融機構的運營韌性，但它們也帶來了風險。a如果管理不當，第三方服務提供商在服務提供方面的高度重疊，可能會使金融系統面臨共同的沖擊，在發生網絡事件時破壞關鍵服務，進而對金融機構和金融穩定構成重大風險（金融穩定委員會，2023；美國財政部，2023）。例如，IT行業的網絡事件往往會蔓延到公司其他部門。b

其三，金融機構之間的高度互聯性可能會加劇蔓延效應，從而增加網絡事件對金融系統產生系統性影響的概率。例如，某金融機構的支付處理系統因為遭遇網絡事件而中斷，可能會對其他金融機構的流動性和運營產生漣漪/連鎖效應。同樣，金融機構發生嚴重的網絡事件可能會削弱公眾對整個金融系統的信任，極端情況下甚至會導致市場拋售或銀行擠兌（Duffie和Younger，2019）。網絡事件可能會給銀行帶來流動性風險。尤其是大額機構儲戶，在面臨網絡事件導致的金融交易中斷時，可能會懷疑金融機構履行支付義務的能力，從而會迅速提取存款作為預防措施，這導致網絡擠兌的網絡事件（像儲戶信息泄露事件），也可能給銀行帶來潛在的長期聲譽損害，從而導致凈存款流量減少。盡管迄今為止并未發生重大網絡擠兌——因為網絡事件對金融交易的影響有限——但實證分析表明，在美國銀行被網絡攻擊后，存款外流呈現適度且略持續上升的趨勢。此外，較小的銀行在網絡事件發生后更容易出現資金外流，表明這些銀行的防范能力較弱。小型銀行可能無法在被網絡攻擊后迅速恢復儲戶的信任。通常，小型銀行的零售和批發存款在網絡事件發生后約六個季度內會累計下降約5%。c潛在暴露于流動性風險的銀行也更容易受到網絡風險的影響。為了評估網絡事件對大型銀行流動性狀況的可能影響，該研究計算了當銀行的流動性覆蓋率跌破100%的監管要求時的存款外流率（稱為逆外流率）。a結果顯示，在80家大型全球銀行的樣本中，無擔保批發存款和零售存款的逆外流率差異較大。當面臨25%的批發（零售）存款外流時，大約20%（60%）的銀行流動性覆蓋率會降至100%以下。b那些相對更容易受到存款外流的流動性風險影響的銀行，其網絡安全評級較低，這表明相對較大的銀行會面臨網絡風險和流動性風險。c金融科技的快速發展帶來額外的網絡風險。d金融科技公司通過數字化操作和互聯互通，增加了金融系統暴露于網絡威脅的風險。e去中心化金融——基于加密市場的金融中介——自2020年以來迅速增長，而網絡攻擊已對采用智能合約的去中心化金融構成威脅f。這些金融中介依賴智能合約和去中心化協議，而智能合約已成為常見的攻擊目標，通常導致巨大的損失（《全球金融穩定報告》，2022年4月）。盡管中央銀行數字貨幣尚未經歷任何已知的成功網絡攻擊，但由于這些貨幣可能依賴于分布式賬本技術等新興技術，因此可能會面臨未知和不可預測的網絡攻擊風險，而這些技術尚未建立廣泛接受的網絡安全框架（國際清算銀行，2023a）。黑客還經常針對加密貨幣資產進行攻擊，且對加密交易所的網絡攻擊數量有所增加。隨著加密資產逐漸融入金融體系，它們的脆弱性可能對金融體系構成風險，例如，可能發生針對法定貨幣支持的穩定幣的網絡擠兌。

六、各國網絡風險防范情況

隨著全球金融體系面臨嚴重且日益增長的網絡風險，政策和治理框架必須跟上這些風險的變化。如前所述，標準制定者和主要監管機構已經認識到這一需求。然而，在許多國家，特別是新興市場和發展中經濟體中，隨著數字化的推進，網絡威脅不斷增加。它們的法律框架和公司層面的網絡治理安排仍然不足，這一點可以從幾個網絡安全立法和監管的指標中得到體現。根據國際貨幣基金組織2021年對央行和監管機構進行的一項調查，關于網絡安全的政策框架在新興市場和發展中經濟體中通常仍然不足。該調查涵蓋了74個新興市場和發展中經濟體，共包含43個關于網絡安全各個方面的問題，最初在2021年進行，并于2023年實施了后續調查（Adrian和Ferreira， 2023）。g調查顯示，只有47%的受訪國家制定了國家層面和金融部門的重點網絡安全戰略，大約一半國家已實施專門“網絡安全法規”，54%的國家已通過數據隱私法。

對調查的各個方面的分析顯示，自2021年以來，新興市場和發展中經濟體在網絡安全監督和測試方法方面有所改善。

首先，一半的受調查新興市場和發展中經濟體報告稱，他們擁有專門的網絡風險監督部門，72%的國家要求定期進行網絡測試和演練，其中22%的國家積極管理這些測試。a其次，近一半的受調查地區具有審查第三方服務提供商的權力——鑒于越來越多的金融機構將業務運營遷移到云端計算領域，這是一個至關重要的發展。b再次，正式的網絡風險壓力測試仍較為罕見，27%的受調查經濟體將網絡風險納入壓力測試計劃。c僅有8%的地區制定了網絡地圖，識別金融機構之間的主要技術和服務連接。最后，金融行業的信息共享安排有助于預防網絡威脅，但只有28%的地區報告稱，金融機構擁有系統性的共享信息和情報。盡管中央銀行和監管機構日益參與國內行業的信息共享，但與其他地區共享數據的國家數量沒有增加（約50%）。只有49%的國家建立了網絡安全事件報告制度。

網絡安全防范指數衡量了應對網絡風險的監管和監督能力，揭示了新興市場和發展中經濟體之間的差距。基于調查結果，網絡安全防范指數已在各國間創建，用于總結網絡安全戰略和法規、監管實踐、事件報告安排、網絡安全測試方法、意識提升以及監管能力建設的質量。該指數的范圍從0到5，得5分代表最高的網絡安全防范水平——例如與美國的水平相當。2023年，在新興市場和發展中經濟體中，該指數的平均得分為3分（較2021年的2.8分略有上升），這表明其網絡安全防范處于中等水平；其中，半數國家得分低于3分；超過1/5的國家得分低于2分，凸顯了它們在減輕網絡風險方面的能力存在嚴重不足。

根據該指數的地區分布，非洲和亞洲的網絡安全準備水平相對較低，拉丁美洲的監管和監督能力有所改善。約2/3近期IMF能力建設項目集中在這些地區，涉及網絡安全的監管和監督方面。與調查結果一致，國際貨幣基金組織的監測和能力建設活動表明，各國在應對網絡風險方面需要做出更多努力，特別是在新興市場和發展中經濟體中。國際貨幣基金組織和世界銀行的金融部門評估項目在考慮網絡安全監管和監督時通常發現：一是國家和金融部門的網絡安全戰略及利益相關者之間的協調存在差距；二是董事會的網絡能力不足，且對第三方服務提供商的有效監督存在缺陷；三是網絡安全法規和監督、事件報告制度以及網絡測試要求存在不足。d缺乏安全意識、資源有限和優先事項的沖突，常常阻礙其進展。

七、結論與政策建議

網絡風險對金融穩定構成不斷演變的威脅。網絡事件，特別是惡意性質的事件，正在全球范圍內變得越來越頻繁。本文的分析表明，過去網絡事件的損失通常不大，但在某些情況下，損失可能極為嚴重。盡管金融行業尚未遭遇系統性網絡攻擊——這表明金融機構的網絡安全可能與過去的威脅水平相稱——但隨著數字化程度的提高、技術不斷發展和地緣政治緊張局勢的加劇，網絡風險已大幅上升。網絡事件現在對宏觀金融穩定構成急劇威脅，因為金融行業暴露于敏感數據、高度集中以及強大的相互關聯性——包括與實體經濟的關聯。

第一，需要公共干預。因為應對網絡風險的私人激勵措施可能與社會最優的網絡安全水平不同，所以金融機構在投資網絡安全時可能未能充分考慮網絡事件對整個系統的影響，特別是在金融領域，關鍵服務的中斷或對金融系統的信任喪失，可能帶來深遠的后果。公司可能低估了來自常見漏洞的風險，例如，使用相同的服務或軟件，或者缺乏足夠的激勵來充分監控第三方服務提供商。他們還可能出于聲譽原因而不愿共享網絡事件的信息——盡管從金融穩定的角度來看，分享這些信息是可取的，是有助于了解共同漏洞并防止跨公司事件的發生的。

第二，金融部門的網絡安全戰略，輔以有效的監管和監督能力，能夠幫助建立韌性（Gaidosch等，2019）。需要成立具備足夠技能的網絡風險監督單位，定期進行現場評估，并收集相關數據進行非現場監督，以評估網絡安全態勢。應開展金融和技術連接的映射，以識別由于相互關聯性和第三方服務提供商的集中度所帶來的潛在系統性風險（Adelmann等，2020）。監管者還應鼓勵金融部門機構提升“成熟度”——包括董事會層級接入網絡安全專家、三道防線的方法（在業務管理、風險管理和審計層面管理風險）、改善公司在線安全的網絡衛生措施（如反惡意軟件和多因素認證），以及網絡安全培訓與意識提升。a

第三，為了有效監控網絡安全，應該加強向監管機構提交網絡事件的報告。數據缺乏是有效監督、金融穩定分析、公司級風險管理的關鍵障礙。盡管近年來公司報告網絡事件及其相關損失的數據信息有所改善，但數據仍不完整且存在時滯。全球應優先收集網絡事件數據，并應在金融部門參與者之間共享信息，以加強其集體防范風險能力。

第四，監管者應要求金融機構制定并測試響應和恢復程序，以確保在網絡事件發生時金融機構仍能保持運營。銀行必須滿足巨大的資本要求，以應對操作風險（Afonso， Curti和Mihov，2019），其中包括網絡風險。然而，在中斷發生時，能夠提供關鍵服務同樣重要，它可以限制金融系統潛在的中斷。因此，機構需要識別其關鍵業務服務，并確保已測試的災難恢復計劃和危機管理框架到位。國家層面還應制定有效的響應控制和危機管理框架，以應對系統性網絡危機。

第五，應加強對與網絡相關流動性風險的監控。過去，網絡攻擊后的存款外流規模不大，且銀行的流動性要求似乎足以應對這些外流。然而展望未來，在評估壓力情景下流動性的充足性時，金融機構需要考慮到網絡攻擊，并為此做好準備。此外，中央銀行的業務連續性應急計劃應考慮到網絡風險，包括在危機期間如何提供流動性等。

第六，鑒于網絡攻擊的全球性及其系統性影響，跨境協調對于減輕網絡風險至關重要。網絡攻擊通常源自金融機構所在國家之外，攻擊所得資金也可能通過跨境渠道流動，這使得追究攻擊者責任和追回資金的過程變得復雜。因此，制定國際合作協議以有效解決網絡安全問題非常必要。此外，網絡事件的報告需要在各國之間實現統一，需要進行跨國協調，以促進跨境的信息共享。a

第七，各國政府需要推動建立有利于維護網絡安全的制度安排。針對網絡攻擊的刑事法律、涵蓋關鍵基礎設施識別的國家網絡安全戰略、建立計算機事件響應團隊、提高公眾網絡衛生和安全意識等措施，都能為增強網絡安全準備做出貢獻。

第八，網絡保險可以幫助抵消網絡風險，但在可用性和接受度方面仍然有限。b企業越來越依賴網絡保險來保護免受網絡事件造成的經濟損失，但保險覆蓋額度仍然較低。在美國，約60%的保險單覆蓋限額低于100萬美元，幾乎所有保險單都低于1000萬美元。c缺乏數據，尤其是關于網絡事件的總損失、試圖但未實現的攻擊以及關鍵風險指標（如網絡安全投資）的數據，可能是網絡保險可用性受限的重要因素之一。

國際貨幣基金組織（IMF）積極幫助會員國進行網絡風險評估，并加強金融部門的網絡安全框架。這主要通過金融部門評估計劃（Financial Sector Assessment Programs）以及其他能力建設倡議（如培訓課程、研討會和技術援助任務）來實現。IMF還開發了網絡風險監督工具包，包含了模型法規、風險評估工具、監督流程文件和監督手冊等。此外，IMF在國際層面網絡相關政策的制定中發揮了重要作用，為巴塞爾銀行監管委員會、金融穩定委員會和國際證券委員會等機構標準制定貢獻了力量。

（本文摘譯自國際貨幣基金組織2024年4月《全球金融穩定報告》第三章《網絡風險：日益影響宏觀金融穩定》。該章由法比奧·納塔盧奇（Fabio Natalucci）和馬赫瓦什·庫雷希（Mahvash Qureshi）指導；作者是拉斐爾·巴博薩（Rafael Barbosa）、本杰明·陳（Benjamin Chen）、奧薩那·哈達莉娜（Oksana Khadarina）、拉維庫馬爾·蘭加查里（Ravikumar Rangachary）、塔祖什·奧庫達（Tatsushi Okuda）、邵恩宇（Enyu Shao）、費利克斯·桑特海姆（Felix Suntheim）（主導）；由托曼赫日·蘇如格（Tomohiro Tsuruga）、勒內·斯圖茲（René M. Stulz）擔任專家顧問。翻譯：楊元辰、郭丹）

a 隨著時間的推移，網絡事件的增加可能部分歸因于公司報告的改進，但由于一些原因，網絡事件和損失的總數可能仍然被低估。這些問題包括事件報告滯后、企業對自身聲譽的擔憂，以及許多國家（尤其是新興市場和發展中經濟體）缺乏對企業報告網絡事件的正式要求。

b 直接損失包括，例如用于賠償損害、罰款和處罰、勒索金額或損失的金額、營業中斷帶來的營業收入。間接

損失包括聲譽受損、未來業務下滑、網絡安全投資增加和生產力下降。

a 從馬里蘭國際與安全研究中心（Harry and Gallagher ，2018）獲得的信息顯示，截至2024年2月，中東正在進行的沖突也存在類似的模式，從2023年10月沖突開始起，對以色列和巴勒斯坦的網絡攻擊數量顯著增加。

b “網絡事件”是指從摩根大通的技術資產中收集到的已觀察到的惡意和非惡意活動。此類事件可能包括收集用戶登錄和掃描網絡漏洞。（Owen Walker， 《摩根大通遭受網絡攻擊浪潮，因為欺詐者變得“更加狡猾”》，《金融時報》，2024年1月17日）

c 中央銀行和金融監管機構的網絡安全對金融穩定至關重要。例如，2024年1月，美國證券交易委員會的社交媒體賬戶遭到黑客攻擊，并發布了一份關于批準比特幣交易所交易基金的欺詐性公告，增加了市場波動性。（Krisztian Sandor，《比特幣暴漲，然后跌至4.5萬美元，因為有關現貨比特幣批準的假新聞變現了5000萬美元》，CoinDesk，2024年1月9日）然而，總體而言，這些機構的事件數量相對穩定，每年發生10至20起。

a 2021年，美聯儲主席杰羅姆·鮑威爾表示，“我們現在最關注的風險是網絡風險”（CBS新聞，2021年4月12日）。有關網絡安全風險增加的參考，請參見法國銀行（2022）、墨西哥銀行（2022）、歐洲央行（2022）、美國財政部（2022）和加拿大銀行（2023b）。2022年，英格蘭銀行啟動了網絡壓力測試，作為其運營彈性政策的補充；2024年3月，其金融政策委員會發布了一項考慮網絡風險的運營彈性宏觀審慎方法（英格蘭銀行，2024a）。歐洲央行（ECB）計劃在2024年對銀行的網絡彈性進行主題壓力測試。

b 標準制定機構的作用隨著巴塞爾銀行監管委員會（2021年）運營彈性原則而增強。該原則假設網絡事件將會發生，金融部門需要在中斷期間具備提供關鍵業務服務的能力。增強網絡和業務彈性也是金融穩定委員會的一個關鍵要素，該委員會的重點是促進網絡事件報告的趨同、網絡事件響應和恢復的有效做法、維護網絡詞匯，以及當前設計事件報告交換格式（FIRE）的工作。此外，金融穩定委員會還發布了一個工具包，以加強對金融政府、金融機構和服務提供商的第三方風險管理和監督（FSB 2023）。支付和市場基礎設施委員會以及國際證監會組織（2016）發布了關于網絡彈性的指南，以幫助融資；建設社會市場基礎設施以加強網絡安全；IOSCO（2021）外包原則涵蓋信息安全、業務彈性、連續性和災難恢復；國際保險監管協會繼2016年的網絡風險報告之后，又發布2023年的運營彈性報告；G7網絡專家小組發布幾篇論文，幫助金融部門實體更好地理解網絡安全主題（2016、2017、2018、2020、2022a、2022b）。

a Advisen網絡損失數據覆蓋40個發達國家和125個新興市場國家。該數據集來自可靠且可公開驗證的來源（新聞媒體，政府和監管來源，國家數據泄露通知網站和第三方供應商）。

b 人工智能系統可能容易受到特殊類型的攻擊，例如，數據中毒攻擊，即操縱訓練數據集，使算法錯誤地“學習”分類或識別信息。

c 在對美國大型公司的高級網絡安全專家進行的一項調查中，46%的人預計GenAI將使機構更容易受到攻擊，85%的人認為最近的攻擊是由GenAI提供的（Deep Instinct，2023）。

a Jeanny Yu，《Deepfake視頻通話詐騙全球公司2600萬美元》，《南華早報》，彭博社，2024年2月3日。

b 截至2023年6月，Advisen有7起與人工智能公司在網絡事件后丟失數據有關的記錄。

c 例如，2019年，Mood’s在2017年消費者數據大量泄露后，將信用報告機構Equifax的信用評級展望從“穩定”下調至“負面”。

d 本文使用2012年至2021年網絡事件造成的損失數據，估算了廣義極值分布，同時考慮了國家特征，如規模（即GDP）和信息技術基礎設施。由于分析樣本僅包括每年發生網絡事件超過10起的國家，因此該結果應被解釋為以發生網絡事件為條件的這些國家的極端損失。

e 例如，2018年Facebook宣布黑客入侵近5000萬用戶賬戶后，該公司股價下跌約3%。（見Deepa Seetharaman and Robert McMillan，《Facebook發現近5000萬賬戶存在安全漏洞》，《華爾街日報》2018年9月28日）

f 這種分析依賴于一個假設，即股票價格的變動恰當地反映了觀察到網絡事件后不久的損失。結果取決于是否報告了網絡事件，這可能會在估計中引入選擇偏差。該分析控制了整體市場走勢，對于重大事件，可能會受到公司網絡攻擊的影響。然而，過去

缺乏系統性網絡事件表明，網絡攻擊不太可能影響市場走勢。

a 分析中使用的樣本包括在不同國家注冊的公司，采用不同的報告標準。各國的結果具有可比性。

b 樣本中的公司事件層面，在大約90%的案例中，市值損失大于報告的直接損失。

c Kamiya等（2021）以美國公司為樣本，研究了涉及個人信息丟失的網絡攻擊的可能性。他們發現，經歷過此類網絡攻擊的公司規模更大、歷史更悠久；更有利可圖；具有更好的未來成長機會，更高的杠桿率，更多的無形資產；更愿意減少資本支出和研發方面的投資。

d 為了研究網絡事件的驅動因素，利用2014年至2022年覆蓋42個國家的16945家公司的全球公司層面數據，估計了一個概率模型。

e 電信基礎設施指數是由聯合國編制的，由四個指標組成：每100個居民的估計互聯網用戶數，每100個居民的移動用戶數量，活躍的移動寬帶用戶，每100個居民的固定寬帶用戶數量。

f 觀察到網絡事件的可能性也可能受到各國報告差異的影響。

g 地緣政治緊張局勢由地緣政治風險指數（Caldara and Iacoviello ，2022）反映，該指數基于報紙文章的統計，由不利地緣政治事件和風險的衡量指標組成。

h 這些結果與Kamiya等（2021）的結果一致。

i Maplecroft網絡立法指數收錄了網絡立法，該指數收錄了與電子交易、消費者保護、數據保護和隱私以及網絡犯罪有關的電子商務立法的采用情況。該指數表明，一個國家是否已通過立法或存在有待通過的法律草案。

a 根據新冠疫情全球大流行前能夠遠程工作的勞動力比例，在部門一級確定遠程工作能力（Dingel和Neiman，2020）。

b Bitsight Security Ratings是一個典型的綜合網絡安全評估工具。其評級涵蓋三個風險向量：1.勤勉。機構為防止攻擊而采取的步驟、最佳實踐的實施和風險緩解；2.受損的系統。存在惡意軟件或不需要的軟件，這是安全控制未能阻止惡意軟件的證據或不需要的軟件在組織內運行；3.用戶行為。員工活動，如文件共享和密碼重用，這些活動可能會將惡意軟件引入機構或導致數據泄露。

c 根據Modi等（2022）的研究，從2011年到2021年，美國銀行的IT支出增長了三倍，大銀行的IT支出增長速度遠遠快于小銀行。他和其他人（2023）支持這一發現，報告稱，按資產規模和非利息支出標準化，美國大型銀行的IT支出往往高于小型銀行。Moody’s 2023年網絡調查是對包括金融機構在內的1700家全球公司進行了調查，結果顯示，從2019年到2023年，網絡安全支出增長70%。

d 金融部門（包括銀行業）的市場集中度，自21世紀第二個10年以來相對穩定。

a 大型金融公司的第三方IT提供商通常具有與金融公司本身一樣高的網絡安全評級。

b 2023年12月，云IT服務提供商Trellance遭受勒索軟件攻擊，導致60家美國信用合作社出現服務中斷（肖恩·林加斯，《聯邦機構稱勒索軟件攻擊導致60家信用合作社服務中斷》，美國有線電視新聞網，2023年12月4日）。2017年，一款會計軟件的更新版本被NotPetya病毒感染，致使該惡意軟件在眾多企業間傳播，甚至跨越國界（Crosignani， Macchiavelli， and Silva，2023）。2020年，SolarWinds公司更新其軟件時，該公司軟件的數千名客戶面臨潛在的網絡攻擊風險（美國政府問責局，2021）。

c “批發存款”被定義為來自私人非存款類機構的存款。

a 更具體地說，“反向流出率”代表的是期限少于30天（或期限未定）的存款流出。

b 關于嚴重網絡事件后可能的流出率，有限的實證證據表明，2014年6月27日，保加利亞最大的國內銀行——第一投資銀行，在虛假電子郵件和社交媒體謠言暗示該銀行出現流動性短缺后，遭遇了10%的零售存款擠兌（Bouveret，2018）。Duffie和Younger（2019）考慮了無擔保批發存款30天累計流出率分別為50%和75%的情景。

c 盡管銀行面臨將操作風險（包括網絡風險）納入考量的監管資本要求，但流動性要求并非主要基于包含網絡事件的壓力情景而設計（Duffie和Younger，2019）。

d 金融科技（金融技術）是指金融活動中的技術創新（參見2022年4月《全球金融穩定報告》第3章）。

e 例如，開放金融通過允許金融機構以數字渠道與其他機構共享客戶數據，促進了金融產品和服務的創新。

f 智能合約是能夠自動執行合同條款的計算機程序。由于智能合約是公開可見的，黑客可以對其進行掃描以查找漏洞。

g 在2023年接受調查的74個國家中，有37個是低收入發展中國家。

a 定期的網絡測試包括漏洞評估、滲透測試和紅隊測試（即基于威脅情報的測試）。

b 在2023年的調查中，38%的國家表示其轄區內的若干或大多數金融機構正在向云端遷移，這一比例高于2021年的27%。

c 網絡風險壓力測試是一種新興做法，通常側重于測試金融系統對網絡事件的抵御能力。例如，測試在出現中斷的情況下是否有應急計劃來提供關鍵服務。這些測試也被稱為網絡彈性壓力測試。

d 國際貨幣基金組織和世界銀行的金融部門評估項目中，對網絡風險的監管和監督的覆蓋范圍日益擴大，例如冰島（2022）、墨西哥（2022）、南非（2022）、英國（2022）和瑞典（2023）。

a 據微軟（2023）稱，大多數網絡攻擊可以通過踐行網絡衛生措施來進行預防，比如啟用多因素身份驗證、應用零信任原則、使用反惡意軟件以及保持軟件更新。利益相關者的培訓和意識提升以及以安全為導向的文化，也有助于提高網絡安全水平。對數據進行加密有助于確保數據被盜時無法被使用。

a 金融穩定委員會（2023）已發布建議，以實現網絡事件報告的更大趨同。如果得以實施，這些建議應有助于各國建立有效的事件報告制度，收集有關網絡事件的必要信息。金融穩定委員會還在設計一種事件報告交換格式（FIRE），該格式提供了一種方法，以促進事件報告中通用信息要素和要求的統一。

b 保險的可獲得性，特別是如果其涵蓋勒索軟件的話，也可能使支付贖金變得更容易，從而讓實施攻擊更具吸引力。

c 保險政策的覆蓋限額基于Advisen客戶洞察的數據。