全球中央銀行視角下的金融領域網絡攻擊風險評估

2023-02-23 10:17:42 · 世界投資銀行 · 世界投資銀行

來源：世界投資銀行，微信號：SJTZYH

隨著金融領域雲服務和遠程工作的普及，金融部門遭受網絡攻擊的風險隨之增長，並對金融穩定構成了威脅，網絡風險成為政策制定者的重要關注點。我們從全球層面和中央銀行視角，基於對2021年全球網絡彈性小組（GCRG）一項調查的分析，首次系統性地評估了金融領域面臨的網絡攻擊風險及其帶來的經濟損失，以及應對准備情況，旨在進一步充實現有研究。

世投行行長：方文

近年來，金融領域的網絡攻擊日益頻繁和複雜，加密貨幣世界的興起又增加了金融領域遭受黑客攻擊的可能性（尤其是金融機構和金融市場基礎設施， FMI），金融業已被視為受網絡攻擊最嚴重的行業之一（Boissay et al., 2022）。

當前有關網絡威脅的研究文獻大多指向私營部門（主要是金融部門），關於中央銀行對金融部門網絡攻擊評估的文獻較少。劉貴輝（2017）闡述了金融網絡攻擊的行為動機、主要特征、發展趨勢，分析了金融網絡攻擊給金融行業帶來的新問題，總結了歐美國家和國際組織應對金融網絡攻擊的做法。Aldasoro et al.（2022）使用Advisen 數據集，發現IT 投資較高的行業遭受網絡攻擊的損失更低，尤其是金融和保險部門，比其他部門更能抵禦網絡風險。Duffie&Younger（2019）發現，最具系統重要性的美國金融機構擁有足夠的高質量流動資產來應對極端網絡事件期間的大規模資金流失。Eisenbach et al.（2022）的研究表明，美國關聯度最高的五家銀行中的任何一家因網絡事件減值都可能對其他銀行產生顯著的溢出效應。

中央銀行如何評估轄內金融領域的網絡攻擊風險，又采取了哪些應對措施？回答上述問題迫在眉睫，因為無論是直接針對中央銀行還是針對金融部門的網絡攻擊都可能損害中央銀行的履職能力並威脅金融穩定。鑒此，本文從全球層面和中央銀行視角，基於對2021 年全球網絡彈性小組（GCRG）一項調查的分析，首次系統性地評估了金融領域面臨的網絡攻擊風險及其導致的經濟損失，以及應對准備情況，旨在進一步補充現有研究。

後文第一部分概述網絡風險，分析金融領域采用雲計算和遠程工作對網絡風險的關鍵影響；第二部分分析中央銀行可能面臨的網絡攻擊類型，對其影響和損失進行評估，並提出防範措施；第三部分分析中央銀行對金融部門網絡風險的評估；第四部分概述中央銀行在網絡風險領域的合作；第五部分是研究結論與啟示。

一

網絡風險與形勢評估

（一）網絡風險

網絡風險涵蓋了因IT 系統失敗或被破壞所導致的各類風險。金融穩定委員會（2018）將網絡風險定義為網絡事件發生的概率及其影響的組合。其中，網絡事件指在信息系統中發生的任何可觀察到的事件，包括危及信息系統及其處理、存儲、傳輸信息的網絡安全，以及違反安全政策、安全程序或使用政策。網絡事件又分為意外網絡事件（如意外的數據泄露以及錯誤的實施、配置和處理）和蓄意網絡事件兩類。約40% 的網絡事件是蓄意和惡意而不是偶然的，即網絡攻擊（Aldasoro et al.,2020）。以下三類網絡攻擊尤為突出。

一是網絡釣魚。這是最常見的初始攻擊載體。傳統上，網絡釣魚郵件被用來欺騙用戶運行惡意軟件，從而將惡意軟件安裝到用戶設備上。近年來，網絡釣魚攻擊頻率明顯增加，2021 年1 月—12 月全球針對雲服務的網絡釣魚郵件的月均數量翻番。攻擊者憑借有針對性和量身定制的惡意郵件入侵終端用戶設備，或獲得一個入口點，以獲得訪問本地基礎設施或基於雲服務的特權。這種未經授權的訪問潛在傷害可能很大。其中，憑據網絡釣魚是一種新型的網絡釣魚誘餌。其攻擊者先通過在電子郵件、即時消息或其他通信渠道中偽裝成有信譽的或已知的實體，竊取受害者的登錄名和密碼組合，然後再攻擊其他目標，以獲得進一步的訪問權限。

二是供應鏈攻擊。當攻擊者滲透到合法軟件供應商的網絡，並在供應商將軟件發送給客戶之前使用惡意代碼破壞軟件時，就會發生供應鏈攻擊。這種攻擊利用已建立的信任關系，並借助用於提供基本軟件更新的機對機通信。供應鏈攻擊的頻率相對較低，但能產生潛在、巨大的系統性後果。

三是勒索軟件。這是攻擊者在受害者的計算機網絡上部署的惡意軟件，用於加密和持有他們的文件，以獲取贖金。它往往從受感染的終端用戶設備傳播到整個組織的IT 環境。其不僅會損害信息和IT 資產的可用性，還會損害它們的機密性和完整性。近幾年，勒索軟件的使用量大幅增長，僅2021年一年就翻倍。

除上述類型外，還有工業間諜、黑客行動主義者或國家贊助的行動者等網絡攻擊。相應地，網絡攻擊既可能只為賺取利潤（如勒索軟件、工業間諜），也可能出於地緣政治（國家贊助的對關鍵基礎設施的攻擊）或普遍不滿（黑客行動主義）而發生。

（二）網絡風險對雲應用和遠程工作的影響

一是對雲應用的影響。金融領域引入數字化工作方式，既促進了雲計算的應用，也為網絡攻擊提供了新機會。盡管中央銀行本身通常並不依賴雲服務來運行其關鍵業務，但金融機構應用雲也給金融業帶來了新挑戰，傳統安全邊界可能不再適合雲技術時代。當前，敏感數據駐留在網絡之外，網絡攻擊目標也轉移到終端用戶及其設備和身份，因而新的數字邊界已經轉移到對身份識別、用戶、設備和數據實施有效的控制。

網絡風險給雲應用帶來了三大挑戰。第一，在無明確定義邊界情況下，缺乏一套全面統一的信息安全控制措施，包括應用程序編程接口（API）易受攻擊、配置不正確、身份和訪問管理脆弱。第二，如何選擇雲提供商成了艱難抉擇，尤其在面臨數據主權問題時。在選擇將哪些關鍵服務上傳到雲端時，關鍵看國家有關承載和處理數據的法律和監管框架。第三，存在較大技能差距。部分中央銀行在招聘、留住和持續培訓員工方面存在較大困難，尤其在勞動力供應有限、成本高和技術環境發生變化時。企業戰略集團（ESG）和信息系統安全協會（ISSA）在2020 年的一份報告中指出， 70% 的網絡安全專業人士表示，其所在組織面臨網絡安全技能短缺問題，超過60% 的安全專業職位至少空缺了3 個月。

二是對遠程工作的影響。與雲應用相關的挑戰因遠程工作的增加而加劇，例如，定向釣魚郵件對家庭無線網絡和工作中使用的個人設備的安全保障帶來挑戰。中央銀行和金融機構雲服務的廣泛應用以及向遠程工作的轉變，對網絡安全戰略提出了新要求。第一，組織的數字和物理邊界的模糊需要制定新的戰略。一種常見方法一是所謂的零信任概念。它假設不能信任外圍防禦，甚至不能信任內部網絡，而應根據多種因素（如用戶身份、端點屬性、位置和行為指標）賦予用戶對資源的訪問權限。第二，應加強信息分類紀律以及與信息配置相關的自動化控制。這是因為信息資產在轉移到雲上時需要多技術協作。數據顯示，雲環境遭到破壞有近三分之二是由信息配置錯誤導致的（De Beck，2021）。第三，網絡安全戰略需要應對機構治理弱化的風險。當機構依賴雲提供商的安全控制而缺乏對其基礎設施的控制權時，會讓其誤以為雲提供商負有維護基礎設施安全的全部責任。事實上，機構和雲提供商負有共同保障數據安全、安全配置和漏洞管理的責任。

二

中央銀行自身面臨的網絡攻擊狀況

（一）網絡攻擊的類型及其帶來的損失

中央銀行負責管理和監督金融部門的關鍵基礎設施（如支付系統），因此對中央銀行及其關鍵基礎設施的網絡攻擊不僅可能對央行造成重大的資金和聲譽損失，還可能導致整個金融系統遭到破壞，最終付出重大的社會成本。此外，中央銀行負責保護的大量敏感信息往往是網絡攻擊者的目標，例如，有關未來政策的機密材料可能成為參與網絡間諜活動的犯罪分子和國家贊助實體的目標。因此，了解哪類網絡攻擊最頻繁和最具破壞性，有助於確定和應對網絡威脅。

從攻擊類型看，根據GCRG 對發達經濟體（AEs）和新興市場經濟體（EMEs）中央銀行的調查，網絡釣魚和社會工程攻擊的概率均被AEs 和EMEs 中央銀行排在第一位（見圖1 左）。可能是因為此類攻擊只需通過向大眾發送大量電子郵件就能顯著提高攻擊成功的概率，且不需要進行大量投資。而受勒索軟件或拒絕服務攻擊的概率，AEs 和EMEs 中央銀行相差不大，但AEs 中央銀行明顯比EMEs 中央銀行更擔心供應鏈攻擊。

從攻擊損失看，網絡事件的損失是多方面的，不僅潛在的經濟損失重大，潛在的操作影響和相關聲譽（如對中央銀行或支付系統的信任）損失也值得關注。其中，各中央銀行受高級持久惡意軟件和勒索軟件攻擊的損失最高；AEs 中央銀行受供應鏈攻擊的損失通常高於EMEs 中央銀行；而受拒絕服務攻擊（DoS）和網絡釣魚造成的損失相對較低（見圖1 中）。

從攻擊肇事者看，AEs 中央銀行認為，攻擊者主要是有組織犯罪和國家贊助的實體，而EMEs 中央銀行認為主要是有組織犯罪和激進分子；此外，少數EMEs 中央銀行和三分之一的AEs 中央銀行認為，內部參與者是重要肇事者（見圖1 右）。雖然內部威脅的發生概率較低，但其嚴重性不應被低估，因為內部人員可能是犯罪實體的教唆者。

（二）提高抵禦網絡攻擊的能力

信息技術也是金融領域的核心，因而網絡安全和威脅也是中央銀行日常操作的關注重點。網絡犯罪呈上升趨勢促使網絡安全成為監管部門的一個關鍵政策問題。下文將分析中央銀行自身網絡風險管理的關鍵方面以及應引起金融體系注意的政策問題。

如圖2 所示，投資方面，自2020 年年初以來， AEs 和EMEs 多數中央銀行的網絡安全投資預算至少增長了5%，四分之一的EMEs 中央銀行甚至增長20% 以上，但也有約三分之一的AEs 中央銀行預算無變化（見圖2 左），投向技術安全控制和彈性的資金排名靠前。對現有員工進行網絡安全培訓或雇用具有相關技能的新員工也受到重視，其中，EMEs 中央銀行更急需解決技能短缺問題，而AEs 中央銀行則更依賴於雲提供商等外部管理（見圖2 中）。

除了投資，中央銀行還制定了具體的政策應對措施。例如，所有中央銀行都制定了事件應對計劃，有些中央銀行還在制定正式戰略，以應對轄區金融體系受到的攻擊（見圖2 右）。其中，有些政策已落實到位。例如，所有中央銀行都進行了模擬應對網絡攻擊的內部演練，且多數中央銀行每年至少一次（見圖3 左1）。演練的最常見場景是中央銀行系統受到攻擊以及支付系統或其他關鍵金融市場基礎設施出現故障。

多數司法管轄區（尤其是EMEs）的中央銀行已經或計劃提供網絡安全風險管理框架（見圖3 左2），但定期對金融公司進行網絡壓力測試的情況不多見，僅三分之一的AEs 中央銀行和約15% 的EMEs 中央銀行定期進行網絡壓力測試（見圖3 右2）；而在尚未進行網絡壓力測試的中央銀行中，三分之二的EMEs 中央銀行計劃開展，不到30% 的AEs 中央銀行計劃開展。

多數EMEs 的中央銀行為收集金融機構遭受網絡攻擊的信息提供了標准框架（見圖3 右1），而一半多的AEs 中央銀行尚未建立。幾乎所有EMEs 中央銀行都要求向監管機構報告網絡攻擊的損失，但僅三分之二的AEs 中央銀行要求這樣做。所有中央銀行均未要求公司公開披露網絡攻擊的損失。

三

中央銀行對金融領域網絡攻擊的評估

在新冠肺炎疫情暴發之前，金融部門面臨網絡攻擊事件時仍能保持比較穩健的狀態。盡管如此，金融部門正成為越來越有吸引力的網絡攻擊目標。對此，金融部門在網絡安全和IT 系統防禦方面投入了大量資源，也培養了相當多的相關人才。然而，隨著金融部門逐漸將IT 外包並更多地采用雲技術，也給金融機構帶來了新風險。

（一）傳統金融機構受網絡攻擊損失評估

對於當金融機構遭受系統性網絡攻擊所遭受的損失，多數中央銀行經評估後認為，可能占到一國GDP 的5%，有些EMEs 中央銀行估計甚至超過10%。這說明，金融部門提供的關鍵金融基礎設施的安全對於國家極其重要。

縱向來比，多數中央銀行認為，金融部門在2020—2021 年期間遭受網絡攻擊所造成的損失比疫情大流行之前有所增加（見圖4 左）。其中，近30% 的AEs 中央銀行認為金融機構損失增長了20% 以上，多數EMEs 中央銀行則認為損失增長在10% 以下。這種損失的增長與其說是網絡攻擊的頻率更高，不如說是網絡攻擊更趨嚴重。

從分類看，所有中央銀行均認為，高級持久惡意軟件和勒索軟件攻擊事件給金融機構造成的損失最大，而拒絕服務攻擊造成的損失最小（見圖4 中）；相對而言，AEs 中央銀行認為供應鏈攻擊在金融機構中很突出，但EMS 中央銀行未將其置於突出位置。

從投資看，隨著網絡事件頻度和嚴重性的上升，中央銀行普遍認為金融機構應優先考慮在網絡安全方面的投資，對員工進行網絡安全培訓，確保業務連續性，並管理其外部依賴性（見圖4 右）。

（二）金融科技行業受網絡攻擊損失評估

除了傳統金融機構，網絡安全也是金融科技行業的一個重要問題。金融科技行業是一個充滿活力的創新領域，許多新提供商提供網絡安全相關服務，但它們也面臨特定風險，例如，在眾籌中可能出現資金被盜或加密貨幣交易遭到黑客攻擊，都不屬於傳統金融監管範圍。此外，大型科技公司也是關鍵雲基礎設施提供商，從而使金融部門與大型科技公司形成了依賴關系。

從受攻擊風險看，各中央銀行普遍認為，金融科技行業受到網絡攻擊的風險較大。四分之三的AEs 中央銀行和三分之二的EMEs 中央銀行認為，相較於傳統金融機構，金融科技公司更易成為網絡攻擊的目標（見圖5 左）。從受損失程度看，多數中央銀行認為，金融科技公司受網絡攻擊所導致的損失程度與傳統金融機構類似或更低，而大型科技公司的損失程度常常高於傳統金融機構（見圖5 右）。

（三）應對網絡風險的准備情況

目前，僅有少數中央銀行認為，轄內金融機構已做好應對網絡攻擊風險的充分准備（見圖6 左）。其中，在網絡安全支出和員工培訓方面准備的平均得分為3分（1 分表示表示嚴重不足，5 分表示充分准備下，同）；在雇傭員工充足性准備方面的平均得分不足3 分；在制定應對網絡攻擊造成嚴重損失的保險政策方面得分最低。

多數中央銀行認為，轄內金融部門大幅增加了網絡安全投資（見圖6 中）。約一半的EMEs 中央銀行和40% 的AEs 中央銀行認為網絡安全投資充足，其餘認為投資太少（見圖6 右）。同樣，多數中央銀行表示，轄內不到一半的金融機構持有網絡保險，多數認為保險市場還不夠成熟，無法有效地對網絡攻擊損失進行定價和承保。

四

國際合作

網絡安全領域的國際合作不僅有助於推廣最佳實踐和共同經驗，還可以克服單家機構難以保障網絡安全的問題，有效應對網絡攻擊導致的系統性影響（Kopp et al,2017）。當前在這方面已開展多項國際合作。

（一）中央銀行之間的國際合作

各中央銀行已開展了一系列相關主題的廣泛合作，包括雙邊合作以及全球和區域層面之間的合作（見圖7 左）。從合作主題看，AEs 中央銀行對信息共享、聯合桌面或網絡演練、政策制定方面的合作更關注（見圖7 右）；相對而言，EMEs 中央銀行在信息共享和政策制定方面的合作涉及較少。此外，超過三分之二的AEs 和EMEs 中央銀行在推動制定共同標准和協議。

（二）國際清算銀行支持中央銀行合作的方式

國際清算銀行通過多種方式支持各經濟體中央銀行在網絡安全方面開展全球合作，並為此成立了國際清算銀行網絡彈性協調中心（CRCC）和國際清算銀行創新中心（BISIH）。

1.CRCC

CRCC 成立於2019 年，旨在為各經濟體中央銀行在網絡彈性領域的知識共享、協作和運營提供結構化方法。其在積極促進技術交流、網絡空間模擬和網絡彈性評估方法等方面發揮了關鍵作用。為給各經濟體中央銀行合作提供安全服務，CRCC 組建了由一批資深的IT 安全專家組成的GCRG。GCRG 支持的一個關鍵項目是開發網絡彈性評估，旨在為各中央銀行提供一個通用框架，評估網絡彈性態勢並改善其在提供關鍵業務服務中的網絡彈性實踐。這種為中央銀行量身定制的方法基於共同基准，有助於開展定量的自我評估。

2.BISIH

BISIH 旨在為中央銀行合作提供平臺，在開發應對與中央銀行和更廣泛的金融部門相關的網絡威脅的技術方面，發揮了重要作用，並降低了相關運營成本。BISIH 下設多個二級中心。其中的歐元系統中心，正在研究後量子密碼學對支付系統的影響；香港中心的Sela 項目，由以色列銀行和香港金融管理局合作，探索網絡安全的兩層零售中央銀行數字貨幣（CBDC）架構的技術實施問題；北歐中心的Polaris 項目，主要研究與離線使用CBDC 相關的彈性和安全問題。CBDC 的引入，增加了IT 環境的複雜性，需要投入更多資源用於網絡安全保障（見圖8）。

五

結論

隨著金融領域雲服務的廣泛運用以及遠程工作的增加，中央銀行和金融部門所遭受的網絡攻擊也日趨頻繁複雜。本文從全球層面和中央銀行的視角，基於全球網絡彈性小組2021 年所開展的一項調查，首次系統性地評估了金融領域面臨的網絡風險及其帶來的經濟損失，以及應對准備情況，以進一步補充現有文獻。現將研究結論小結如下。

（一）AEs 和EMEs 中央銀行對網絡攻擊頻率和損失的評估不同

所有中央銀行均認為，受網絡釣魚和社會工程攻擊的頻率最高，而AEs 中央銀行明顯比EMEs 中央銀行更擔心供應鏈攻擊。所有中央銀行均認為，受高級持久惡意軟件和勒索軟件攻擊造成的損失最高。AEs 中央銀行認為，有組織犯罪和國家贊助的實體是主要肇事者，EMEs 中央銀行則認為肇事者主要是有組織犯罪和激進分子。

（二）各中央銀行積極制定應對網絡攻擊政策，2020 年以來顯著增加了相關投資

各中央銀行均將投資於技術安全控制和彈性置於重中之重的地位，同時也十分關注對現有員工進行培訓或聘用具有相關技能的新員工，尤其EMEs 中央銀行。此外，各中央銀行均高度重視制定事件的應對計劃，並通過內部演練來模擬網絡攻擊。

（三）各中央銀行均認為金融領域面臨網絡攻擊的潛在損失很大，且過去一年受網絡攻擊造成的損失有所增加

僅少數中央銀行認為，金融部門做好了應對網絡攻擊的充分准備，超一半的中央銀行的網絡安全投資不足。各中央銀行均認為，除傳統金融機構外，金融科技公司受網絡攻擊的風險普遍更大。多數中央銀行認為，大型科技公司受網絡攻擊造成的損失比金融科技公司高。

（四）各中央銀行已經在一系列議題上進行了廣泛合作

中央銀行雙邊之間以及全球和區域之間的合作已成為常態。在具體議題上，AEs 中央銀行在信息共享、模擬和政策制定方面尤為突出，EMEs 中央銀行經常在信息共享和政策制定方面開展合作。此外，超三分之二的中央銀行為金融部s 門制定了共同標准和協議。國際清算銀行通過多種方式支持各國中央銀行在網絡安全方面進行全球合作，並為此成立了網絡彈性協調中心和創新中心的項目。