BIS | 央行网络风险
金融领域的网络攻击不断增加,对金融稳定构成威胁,网络风险成为政策制定者的重要关注点。文章介绍了全球网络弹性小组成员就网络风险及其对中央银行的挑战的调查结果。中国人民大学金融科技研究所(微信ID:ruc_fintech)对文章核心内容进行了编译。
作者 | Sebastian Doerr, Leonardo Gambacorta等
来源 | BIS
编译 | 朱炳姮
调查显示,自2020年以来,中央银行明显增加了与网络安全相关的投资,将技术安全控制和弹性放在首位。中央银行认为网络钓鱼和社会工程学是最常见的攻击方法,系统性的网络攻击的潜在损失是巨大的,特别是提供关键云基础设施的大型科技公司。一般来说,受访者认为金融部门对网络攻击的准备不足。虽然大多数新兴市场经济体的中央银行提供了一个框架来收集关于金融机构网络攻击的信息,但发达经济体中只有不到一半的中央银行这样做。公共当局之间的合作(特别是在国际范围内的合作)可以提高中央银行应对网络攻击的能力。
界定网络风险和评估威胁状况
"网络风险 "是一个总括性术语,包括信息技术系统的故障或破坏所导致的各种风险。根据金融稳定委员会的《网络词典》(2018年),网络风险是指"网络事件发生的概率及其影响的组合"。
网络风险包括无意的事件和有意的攻击。前者的例子是意外的数据泄露,以及实施、配置和处理错误。大约40%的网络事件是故意的和恶意的,而不是意外的(即它们是网络攻击)(Aldasoro等人(2020))。尽管中央银行本身并不依赖云服务来运行其关键业务,但金融机构采用云也带来了额外的挑战。具体来说,依靠有边界的、定义明确的公司网络的传统安全边界在云技术时代可能不再适合。
中央银行的网络风险状况
谈到攻击造成的成本,高级持续性恶意软件和勒索软件攻击排名最高。鉴于勒索软件的普及率上升,相关的高成本尤其值得关注。同样,发达经济体的中央银行对供应链攻击的成本评价相对高于新兴市场国家。拒绝服务攻击和网络钓鱼产生的成本通常较低。网络事件的成本是多方面的:发达经济体和新兴市场经济体的中央银行都认为网络攻击带来的财务损失是巨大的,但可能的运营、声誉影响(如对中央银行或支付系统的信任)是更大的担忧。
网络事件的频率、成本和威胁者
中央银行对金融部门网络风险的评估
中央银行认为金融科技公司特别容易受到网络攻击的威胁。相对于金融机构,四分之三的发达经济体受访者和三分之二的新兴市场经济体受访者认为,金融科技公司更有可能成为成功的网络攻击的目标。在新兴市场经济体中,几乎三分之二的受访者也认为大型科技公司更有可能遭受成功的攻击,而大约三分之二的发达经济体认为大型科技公司同样有可能遭受网络攻击,只有四分之一的发达经济体受访者认为这种可能性更大。然而,当涉及到以GDP为单位的总损失时,这些模式是不同的。在发达经济体和新兴市场经济体的受访者中,大多数人认为,对金融科技公司的成功攻击将导致类似或低于对传统金融机构的成功攻击的GDP损失。然而,在大型科技公司中,只有四分之一的发达经济体受访者认为成本低于对传统金融机构的攻击,没有新兴市场经济体受访者认为其成本低于对传统金融机构的攻击。
网络攻击和相关成本:金融机构与大型科技公司和金融科技公司的对比
政策合作
在谈到具体的合作主题时,信息共享、模拟(如联合桌面演习或网络范围演习)和政策制定以提高网络弹性在新兴经济体中非常突出。在新兴经济体中,尽管水平较低,中央银行经常在信息共享和政策制定方面进行合作。此外,超过三分之二的发达经济体和新兴经济体的受访者都为金融部门制定了共同的标准和协议。
跨机构合作
网络攻击正变得越来越频繁,它们的复杂性和先进性也在继续演变。与此同时,金融业和中央银行内部的技术也发生了重大转变,特别是云计算的采用和远程工作的增加。本文从中央银行的专家和从业人员的角度,讨论了网络风险的优先事项和挑战(包括关键金融市场基础设施)。
以下为部分报告截图
……
获取完整报告
请后台回复“央行网络风险”
获取下载链接
END
编辑/朱炳姮
责编/杨世祺
【延伸阅读】