勾勒金融体系的网络安全

1.概述

网络风险对金融体系中的个体代理人(银行、保险公司、中央对手方等)构成了越来越大的威胁。然而，网络事件也有可能破坏整个金融体系的稳定。虽然专门的微观审慎监管和监督制度已经到位，或者正在制定中，以管理网络风险，尤其是信贷机构的网络风险，但目前缺乏的是对网络风险的系统性看法，尤其是对对金融体系至关重要的集中和传染渠道的看法。考虑到上述因素，本定性分析旨在提供一种系统的网络风险视角，这种视角可以被视为与迄今为止相当微观审慎(自下而上)的网络风险观点相反，因此也是互补的。此外，这种方法补充了现有的宏观审慎分析，该分析侧重于金融部门产生的结构性和周期性系统性风险(如信贷和流动性风险)，增加了对“网络特定”的集中风险和传染渠道的新视角。

为了可视化网络风险固有的系统特性，本文区分了两种网络，金融网络和这些作者提出的网络。术语“金融网络”指的是金融系统(或金融部门)的要素，而术语“网络”包含了代表金融网络中所有操作流程的底层基础设施的信息和通信技术(ICT)要素。正如本文所示，这种双网络方法既考察了网络风险在风险形成、集中和网络网络内部溢出方面的独特性，也考察了对金融稳定更为重要的两个网络之间的相互依赖关系，特别说明了网络风险如何在金融部门引发系统性风险。在此综合两网络方法的基础上，本文制定了一种概念性方法(称为“网络映射”)，以揭示金融体系可能面临的相关网络风险结构，包括除了金融网络本身产生的金融稳定风险之外，可能使其遭受额外程度脆弱性的结构。

基于这两个网络的概念，我们的方法首先确定金融网络中具有系统重要性的参与者。这一步骤是必要的，因为作为一项规则，金融部门系统性网络事件的先决条件是对具有系统重要性的机构(满足规模、可替代性和互联性标准)进行足够大的网络攻击，并可能对整个金融体系造成严重后果为了识别金融体系中具有系统重要性的行为者，本文借鉴了国际或国家惯例以及专家判断。其次，本文阐述了并非每一个影响系统重要性行动者的网络事件都可以被视为系统性网络事件。在此澄清之后，它确定了网络中对金融部门具有系统重要性的要素及其对金融机构构成的风险。通过一般情景分析，本分析侧重于两个网络及其相关参与者之间的相互依存关系，以揭示可能威胁金融稳定的潜在因素。在这种背景下，金融稳定可以被定义为一种状态，在这种状态下，关键的宏观经济功能，即金融资源和风险的配置以及支付交易的结算，得到有效执行，特别是在不可预见的事件、压力情况和结构调整期间定性方法的结果可以作为深化系统性网络风险实证分析的理论蓝图。虽然对金融网络中系统重要行为者的身份有广泛的共识，但系统重要行为者和网络网络的部分尚未得到全面识别。因此，显然需要更多的网络数据。对于网络事件，本研究部署了一套必要和补充条件来定义系统重要性网络事件，并为系统重要性网络事件提供了一个潜在的分类体系。此外，分析还确定了系统性网络事件的特征。尽管其中一些风险(如网络攻击不受金融周期影响)与操作风险的属性类似，但其他风险则截然不同。

2. 关于系统性网络风险的文献

近年来，一些研究人员和机构将网络风险作为金融稳定的潜在威胁，采取了全系统的视角例如，作为对经济合作与发展组织(OECD)项目“未来全球冲击”的贡献，Sommer和Brown指出，尽管很少有与网络相关的事件会导致全球中断，但政府需要准备承受并从此类事故或攻击中恢复过来这项研究是值得注意的，因为它调查了这些全球冲击的影响，不仅限于金融体系，而是整个社会。相反，Kopp、Kaffenberger和Wilson将网络风险描述为对金融稳定的威胁，是系统性风险的教科书范例他们将接触脆弱性、集中风险、相关风险和传染风险确定为这一风险的主要来源。只有少数作者质疑将网络风险视为系统性风险的观点。例如，Danielsson、fouch<s:1>和Macrae声称，几乎所有的网络风险都是微观审慎的，网络攻击必须与其他非网络事件同时发生，才能产生系统性影响在系统性网络风险如何实现方面，文献侧重于各种场景和传播渠道。

大多数作者将具有系统重要性的机构或金融体系关键功能的服务的潜在中断视为对金融稳定的潜在威胁国际金融研究所进一步研究了数据泄露、数据丢失或数据完整性受损以及交通、电力或电信等一般基础设施设施故障的后果在传播渠道方面，英格兰银行认为金融体系的互联性是一种可能的损害放大器，可以将对具有系统重要性的机构的成功攻击传播到整个金融体系金融研究办公室(Office of financial research)的一篇论文也关注了金融体系中网络安全事件可能的传播渠道。在这里，作者提出了三种传播渠道，即缺乏可替代性、信心丧失和数据完整性丧失。虽然目前的分析建立在现有文献的基础上，但它开发了一种不同的系统方法来研究应用于金融体系的系统性网络风险。为了做到这一点，通过区分所谓的网络网络和金融网络(也称为金融系统)，引入了对系统性网络风险的新视角。对网络进行单独研究，可以让分析师从系统风险的角度，勾勒出它对金融体系的具体功能。这为揭示整个金融体系的风险集中度和传导渠道提供了概念基础。此外，本分析进一步阐述了定义系统性网络事件的条件。

图1在原则上和总体上显示了金融系统中个体代理之间以及与其他部门(非金融公司、家庭、一般政府)之间的金融(例如，贷款)关系是如何通过网络技术映射的，并以通信连接为两侧。在这里，术语“网络”包括信息和通信技术(ICT，如软件、硬件和通信服务提供商)的那些元素，它们代表了金融网络中所有操作流程的底层基础设施。一些节点直接连接两个网络——例如，信贷机构使用某些软件产品的节点，或者保险公司获得信息技术(IT)服务提供商的服务的节点。这些节点很重要，因为它们是网络风险可能在金融体系中实现的潜在入口。例如，IT服务提供商通过向金融系统代理的临界质量或具有系统重要性的金融机构提供服务，以外包能力执行金融机构的核心功能，一旦受到严重的网络攻击，可能会破坏金融系统的稳定。在整个金融系统中，如果软件产品被用作现成的解决方案——不仅是针对个人参与者，而且可能是针对整个参与者——也会产生类似的影响——如果所谓的漏洞利用了安全漏洞和软件故障的广泛优势除了这些风险之外，从金融稳定的角度分析网络风险还需要考虑主要涉及网络通信元素的威胁场景。在假新闻时代，网络攻击可以被用来在社交媒体上传播被操纵的信息，或者几乎实时地渗透到金融系统中数据提供商(例如交易所和市场数据提供商)的系统中。结合算法交易等自动交易流程，这可能是市场混乱的一个来源，至少是暂时的

例如，由于网络风险的影响是非线性的，因此网络风险在金融网络中表现出一定的特征，传播方式与传统经济风险不同。作为一个恰当的例子，网络攻击可以迅速将压力脉冲同时传递给众多接收者(包括彼此之间没有经济联系的接收者，例如通过金融关系)，至少在一段时间内，不仅可能破坏金融体系的部分稳定，而且可能破坏整个金融体系的稳定。网络攻击的影响不仅可以通过针对多个受害者，还可以通过同时发动多次攻击来成倍增加。与此同时，网络风险也可能数月未被发现，并对受害者的系统造成损害(损害金融稳定)。这些例子表明，无论金融体系中的典型(即经济或金融)周期或其结构特征或特定行业构成如何，网络风险都可能成为现实。此外，网络风险所固有的是某种程度的意图，在传统经济风险的背景下，这种程度是不为人所知的，而在有目的的网络攻击中，这种意图就会显现出来。网络的弹性(“网络弹性”)是金融体系稳定的关键。从金融稳定的角度来看，如果一个网络能够防止对金融体系的破坏稳定的网络攻击，那么它就具有弹性。网络弹性的关键框架条件包括更一般意义上的IT设备的技术状态。过时的IT设备往往比最先进的IT设备更容易受到今天的网络攻击。另一个条件是提供针对网络风险的技术保护，例如，通过运行防病毒程序并使其保持最新。网络弹性的另一个条件在于其监管框架条件和对这些条件的遵守。这些条件可以规定是否符合技术标准或组织和风险管理考虑(例如，国际标准化组织/国际电工委员会规范ISO/IEC 27001)。金融网络中员工对网络风险的意识同样对金融系统的弹性有影响。在这篇影响网络弹性的因素的不详尽的描述中，最后值得提出的一点是检测和抵御网络攻击的能力。在网络攻击成功的地方，尽可能控制其影响至关重要，例如，通过切换到应急系统，并能够恢复it操作的正常功能(业务连续性)。

3. 金融网络:识别关键的金融系统代理

网络制图首先对金融部门进行总体鸟瞰。识别金融网络中具有系统重要性的参与者是分析网络网络对金融网络潜在的不稳定溢出效应的先决条件。这是因为一次成功的网络攻击，只要击中其中一个具有系统重要性的机构，就可能演变成对整个金融体系的直接威胁。实际上，识别系统重要性代理人的过程源于监管惯例和专家判断(见表2)。然而，对临界数量的非系统重要性代理人的网络攻击同样会给金融稳定带来风险。这种临界质量并不一定需要由来自同一部门的元素组成。为此，可以想象攻击可能发生在一组异构代理上，这些代理属于不同的部门，但都使用相同的现成软件或云提供商。因此，即使金融系统可以被分解为单个部门，网络风险的主题也应该始终从跨部门的角度来考虑。

4. 系统重要性分类

并非每一个有针对性的网络攻击或影响上述金融网络系统关键要素的网络事件都具有系统重要性。相反，发生在一家具有系统重要性的金融机构或多家金融机构的网络事件是否真的会破坏金融体系的稳定，这一问题首先取决于受影响机构的哪些功能或服务被中断或禁用。考虑到这一点，表2所述和进行的机构盘点工作需要从功能角度加以加强，以确定这些实体提供的关键系统功能和服务。对这些功能的网络攻击很可能破坏金融体系的稳定(功能渠道)。本分析最初避免根据其系统重要性对功能进行分级，而是基于一般和简化的工作假设，即对一个或多个被确定为对金融系统具有系统重要性的代理的网络攻击本身也会产生不稳定的影响，无论哪种特定功能受到这种攻击的影响。即使满足上述条件，即对具有系统重要性的金融市场代理人、其功能或服务进行网络攻击，也不足以确定事件具有系统重要性。还需要满足说明攻击本身及其后果的补充条件，包括下列条件：

（1）活动持续时间

虽然具有系统重要性的代理或服务的短期中断或失败可能会损害金融体系，但通常应该可以通过应用强大的业务连续性计划来绕过它们。例如，《金融市场基础设施原则》指出，“金融市场基础设施应该有一个业务连续性计划，以应对可能导致运营中断的重大风险事件，包括可能导致大规模或重大中断的事件。”该计划应包括使用二级站点，并应设计为确保关键(IT)系统在中断事件发生后两小时内恢复运行。该计划的设计应使FMI能够在中断当天结束前完成解决，即使在极端情况下也是如此。FMI应该定期测试这些安排。“因此，考虑到网络事件的系统重要性，我们可以得出一个具体的结论，即任何金融市场基础设施的中断持续两个小时以上和/或在一天结束时阻止结算，都可以被认为具有系统重要性。将这种考虑适用于其他具有系统重要性的代理人似乎是合理的，因为在正常业务期间，他们也经常被期望在同样短的期限内提供服务。从这个意义上说，损害或阻止日内结算的中断期应被视为具有系统重要性。

（2）经济损失

系统性网络事件和网络冲击对整个金融体系的可能传递渠道的另一个补充条件是网络事件造成的金融损失最小(金融渠道)。同样，这种想法认为，并非网络事件造成的所有经济损失(包括间接损失)都必然具有系统性。因此，基本需要的是对损失事件的财务维度进行定义，如果损失事件因网络事件而超过该维度，则可被视为具有系统重要性。以银行为例，资本水平可以被视为一个门槛，一旦被网络事件造成的损失所吸收或超过，就可以将一个非系统性的网络事件变成一个具有系统重要性的事件。

（3）丧失信心

网络事件损害了金融体系的关键功能，但迅速得到补救，只造成轻微的金融损失，然而，如果此类事件或类似事件的爆发——即使它们单独的影响微不足道——侵蚀了对金融体系正常运作的信心(信心渠道)，则可能具有系统性的比例通过信任渠道产生的类似影响可以通过使用通信工具(如Twitter)来引起公众对金融体系或其部分功能的不安。当然，由于网络事件通过信心渠道产生的影响，可能很难将其归类为具有系统重要性的事件。使用基于调查的定性分类可能会有所帮助，例如，确定金融系统中的哪些事件损害了市场参与者的信心。为了务实地解决这一问题，这些作者建议将网络事件的媒体报道作为通过信任渠道影响的代理。例如，报纸的数量、持续时间和媒体报道的范围(如跨地区或跨国家)可能会通过信任渠道对网络事件的潜在不稳定影响产生印象。

5. 网络的要素

在分析了影响金融部门的网络事件可能被视为具有系统重要性(至少是潜在的)的情况之后，本文更仔细地研究了网络网络作为这些网络事件的起源。“网络”一词包括构成金融网络中所有业务流程基础设施的信息和通信技术要素。由于有限的公开数据，网络的元素只能在抽象的层面上识别。IT基础设施的关键技术组件包括软件、硬件和用于操作应用软件的内置设备。这些基础设施的提供越来越多地被外包给第三方IT服务提供商，或通过互联网上的云计算或专用链接服务提供。此外，该分析认为，全球安全金融新闻和支付服务提供商环球银行间金融电信协会(SWIFT)在网络中发挥着核心作用。最后，在分析网络风险时，不仅是IT，最先进的通信基础设施，尤其是社交媒体，也发挥着重要作用。本节简要概述了网络要素对金融体系构成的风险。

•软件:在绝大多数网络攻击中，无论是主动的还是被动的，决定性因素都是软件。黑客积极地使用各种恶意软件渗透和破坏系统。被动地说，公司软件中的漏洞是网络攻击的主要切入点。与软件相关的网络风险的程度和强度在很大程度上取决于软件是现成的还是定制的，许多金融机构使用的现成软件为大规模网络攻击提供了更大的空间。

•硬件:硬件可以被操纵，例如，通过使用额外的结构组件修改它，改变现有的电路，篡改芯片，或修改固件。篡改自动柜员机(atm)、销售点系统、信用卡或电子现金(EC)卡是金融部门特有的情况。集中式硬件，如计算机中心，在硬件被多个企业使用的情况下，往往会带来集中风险的危险。

•云计算:美国国家标准与技术研究院(NIST)将资源池列为云服务的基本特征之一。提供者的资源被集中起来，以使用多租户模型为多个客户提供服务。这意味着，根据定义，云服务的各种用户依赖于云服务提供商及其IT基础设施来正常工作。这种依赖性导致了高度集中的风险。相当大的问题不仅包括云服务可用性受损，还包括对云服务的攻击对数据机密性或完整性造成的威胁。

•IT外包:IT外包包括放弃控制和监视具有高运营相关性的组织领域的权力，并且经常与其他实质性组织领域密切相关。在这种情况下，计算机中心或自动取款机和自助服务机器的故障，核心银行系统的中断，或者在IT服务提供商遭受网络攻击期间敏感客户数据的丢失或损坏，如果采取的预防措施不充分，可能演变成公司的重大风险，阻止系统关键功能的执行，或造成长期的声誉损害。

•SWIFT:银行、保险公司、市场基础设施和企业通过SWIFT提供的服务，特别是通过该平台的共享使用和统一的通信标准，在全球范围内相互联系。这使得SWIFT成为潜在网络攻击的诱人目标。SWIFT在国际支付领域，尤其是代理行领域占有独特的地位。200多个国家和地区的11,000多家金融机构可以通过SWIFT网络直接交换支付指令，这是其他服务提供商无法提供的覆盖范围。

•社交媒体:对社交媒体的监管不足，给各个层面的操纵和影响留下了巨大的空间。因此，假新闻可以很容易地通过社交网络传播，以一种有针对性和未经过滤的方式，在没有公正审查的情况下，几乎实时地接触到无数用户。社交机器人伪装成虚假的个人资料，对一个话题发表大量评论，从而影响公众辩论或传播假新闻，可能会成为潜在的催化剂。这些沟通刺激可能会削弱公众对金融体系或其部分功能的信心，例如，对单个信贷机构的信誉。它们也可以在金融系统中被放大，例如，通过自动交易算法扫描互联网和社交媒体上的某些关键词，并在几秒钟内据此做出交易决策，这可能导致相当大的价格波动，被称为“闪电崩盘”。

6. 网络风险对金融稳定的影响

基于迄今为止的考虑，金融和网络网络的连接揭示了可能威胁金融稳定的系统层面的新关键节点和风险。换句话说，网络和金融网络之间的接口开辟了新的风险传导渠道，能够破坏金融体系的稳定。从本质上讲，人们可以区分网络事件的直接和间接传播(见图2)。

（1）直接传染

网络事件的“直接传播”分类包括直接影响单个具有系统重要性的代理或金融网络中非系统重要性代理的IT基础设施的所有攻击。攻击者可以单独行动，也可以组队行动。攻击方法各不相同(例如，它们可以是高级持久威胁、拒绝服务或勒索软件)18，并且可以针对一个或多个金融网络代理的IT基础设施的任何和所有组件。利用软件产品中的漏洞是同时攻击一组金融市场代理的有效方法。通过这些漏洞，攻击者可以渗透计算机系统并对其进行篡改。由于现成软件的广泛使用，潜在受害者的数量高得惊人。而且，这种攻击很容易实施(通过网络钓鱼电子邮件)，非常成功，并且可以无限扩展。

（2）间接传染

网络事件的“间接传播”分类包括不直接影响单个系统重要代理或金融网络非系统重要代理的IT基础设施的所有攻击，而是使用技术或通信杠杆来影响它们。此外，可以区分两种场景类别:对第三方服务提供商(例如，云服务提供商)的攻击或通过恶意使用通信基础设施(将通信作为武器)进行的攻击。

（3）外部风险汇总

金融部门越来越倾向于外包资讯科技，这进一步给金融稳定带来潜在风险。一是对云计算或IT服务提供商的攻击也可能给外包某些服务的具有系统重要性的机构带来问题。另一个原因是，将某些流程或服务外包给云计算或IT服务提供商，有助于在金融系统代理和网络网络代理之间创建新的网络。IT服务提供商在这些网络中扮演关键角色，充当节点，从而在其个人客户(金融系统代理)之间产生集中风险。对云服务提供商或IT服务提供商的可用性的成功攻击将通过网络发送冲击波，并且可以在一次攻击中拒绝这些服务的多个用户(例如多个金融系统代理)访问外包服务或功能。服务提供商在网络中的垄断程度越高，这种攻击的影响就越大，因为尽管有可用的技术，但可能无法切换到其他服务提供商。根据中断的时间长短和严重程度，这可能会在受影响的客户中造成相当大的混乱。在这种情况下，网络攻击的冲击将通过功能渠道传递到金融体系，从而可能威胁到金融稳定这使得云服务提供商和IT服务提供商成为金融网络的外部风险节点，根据本文的双层网络分析方法。

云计算或IT服务提供商带来的风险，与2008年金融危机之后受到监管机构越来越严格审查的结构有两种相似之处。其一，对金融稳定至关重要的代理人(如保险公司或货币市场基金)是存在的，而在此之前，监管机构并未发现这一事实。为了应对金融危机，这些实体在2008年之后受到了更严格的监管。有必要分析云服务提供商和It服务提供商是否可能在金融网络中发挥类似的作用。另一个原因是，特别是在雷曼兄弟(Lehman Brothers)破产之后，人们开始注意到某些市场的不透明性，特别是在场外(OTC)衍生品交易中，以及由此产生的巨大危险。在IT服务提供商的情况下，从监管的角度来看，建议将金融系统代理直接并按名称分配给各自的云或IT服务提供商。这将使网络结构得以公开，这对于识别连接、节点和风险点是必要的。

（4）识别虚假新闻

假新闻和数据泄露给企业带来的风险可以转移到整个金融体系。如果规模足够大，这种攻击还可能在整个金融体系中引发大规模动荡——例如，通过信心渠道——从而威胁到金融稳定对一组金融代理广泛披露机密信息(例如，审慎信息)可能会产生类似的效果。受影响的公司和整个金融体系的声誉损失也将在这里发挥作用。考虑到虚假推文的潜在泛滥，迅速将此类推文斥为虚假推文可能有助于缓解市场的不安情绪。此外，自动通信协议和对此类攻击的响应可能是快速可靠地否定此类假新闻的有效方式。

7. 总结

这项定性研究强调了对网络风险采取系统观点的必要性，通过增加这些风险危及整个金融体系稳定的可能性，增加了这些风险作为单个实体操作风险子集的微观审慎覆盖范围。通过将本分析中引入的网络网络概念与金融网络联系起来，本研究确定了具有系统重要性的网络事件及其属性的各种潜在情景。然后，将上述情景细分为系统网络风险的各个类别，并描述了网络与金融体系之间的关键传递渠道(功能渠道、金融渠道和信心渠道)。该研究为广泛的网络地图奠定了概念基础，该地图显示了金融网络的哪些系统重要功能可以映射到网络网络的哪些特定元素接下来的步骤将包括充实这一方法，首先，具体识别网络的代理人和结构，即其对金融体系具有系统重要性的代理人。此外，网络事件需要在统一分类法的基础上进行系统监测，然后将监测结果输入网络登记册。展望未来，将系统性网络风险整合到其他金融稳定风险(例如信贷、市场和流动性风险)的结构性宏观审慎分析中是有意义的，以便更好地理解这些风险类别之间的相互作用。例如，还需要澄清哪些因素与诊断系统性网络冲击相关(如持续时间和影响)，以及将具有系统重要性的网络冲击视为存在的阈值设置在何处。进一步的步骤是讨论网络冲击的定量模拟(称为“网络压力测试”)及其对金融体系的影响在多大程度上是可能的，以及它们与传统冲击的建模有何不同。

资料来源：

https://carnegieendowment.org/files/Brauchle_Cyber_Mapping_the_Financial_System_final.pdf