金融机构面临高度的网络风险 在信息安全风险管理中,风险被定义为后果和可能性的组合,其中可能性又由危险等级和现有漏洞的脆弱性决定。由于各种因素的综合作用,金融机构非常容易受到网络风险的影响。危险等级方面,由于网络犯罪、黑客行为、代理机构以及第三方对通信的监视,金融机构面临相当高的危险等级。脆弱性方面,由于金融机构高度依赖互联网和关键基础设施,加之许多金融机构拥有的大型计算系统往往已经使用了很长一段时间,可能无法抵御网络攻击,脆弱性很高。后果方面,由于金融业务高度依赖于技术而非实物,网络攻击造成的后果往往很严重。 网络风险影响金融稳定的方式 (一)单一故障和关键基础设施 关键的金融市场基础设施包括支付和结算系统、交易平台、中央证券存管和中央交易对手等。其中任何单一故障点,或针对它们的任何一次成功的网络攻击,都可能产生广泛的影响。在金融市场基础设施缺乏替代品的情况下,金融市场基础设施或一组大型金融机构的业务中断可能会由于风险过于集中而产生重大影响。如果支付和结算系统在白天宕机,市场参与者将无法处理交易,金融机构会因此面临流动性和偿付风险。同样,如果一家或几家大型银行受到干扰,无法处理交易,其同行将被波及,面临流动性和偿付风险。 (二)金融部门的业务中断 对一家金融机构的成功攻击可能导致严重的业务中断。2014年年底,芬兰三家银行遭到攻击,导致它们的在线服务无法使用,其中一家银行还中断了提取现金和银行卡支付业务。同年,网络上出现钓鱼邮件,指出保加利亚最大的国内银行第一投资银行存在流动性短缺,随后该银行遭遇了挤兑。网络攻击也可以针对多个金融机构,以扰乱金融系统。有些国家已遭遇针对银行部门的协同攻击。2013年3月,捷克中央银行等三家银行和证券交易所被攻击,损失达50万美元。 (三)欺诈及传染效应 网络攻击者通过使用SWIFT(一种金融机构用于金融交易的信息系统),取得机密信息(如用于网上支付的客户凭证),并以攻击目标(如银行)的名义发送虚假支付命令给客户的银行账户,进行欺诈。数据显示,目前报告损失的90%源自网络欺诈。金融科技尤其容易暴露在网络攻击下。一方面,专业公司的控制和风险管理程序可能不如大型、垂直整合的监管中介严密;另一方面,新技术的更大规模应用扩大了金融系统的接口范围,增加了接口数量,使它们更容易成为网络攻击者的目标。由于企业将业务外包给少数几个集中的供应商,使他们在金融系统中处于中心地位,其业务中断可能会增加系统风险。 企业之间的高度联系会导致传染效应。例如,一家大型银行业务中断将导致其无法处理交易和提高利润率,这可能会迅速蔓延至其交易对手和金融市场基础设施,从而加剧流动性和偿付能力风险。 (四)数据泄露 金融机构也特别容易受到数据泄露的影响。基于它们的业务活动对客户数据的依赖,近年来金融部门遭遇了严重的数据泄露事件。仅在美国,2015至2017年间,由于在金融领域的黑客行为,超过2.6亿条记录被泄露,造成损失达数百亿美元。 美国审计署关于网络安全的审计实践 目前,对金融机构面临的网络风险及其可能损失,尚未形成被广泛认可的标准量化评估体系和计量方法。国家审计机关对金融机构网络风险的审计,主要结合于对金融机构的常规审计中,或者通过对网络安全主管部门、金融科技公司等的审计间接实现。 美国审计署在名为《高风险系列:需要采取紧急行动来应对国家面临的网络安全挑战》的报告中指出,包括金融服务在内的国家关键基础设施,系统和数据的安全性至关重要,却也面临日益复杂的风险。1997年,美国审计署把信息安全列入高风险区域。随后,网络关键基础设施保护和隐私信息的保护也被纳入其中。美国审计署确定了相关机构面临的四大网络安全挑战和十项应对措施。其中,制定综合性更强的网络安全战略并贯彻落实、确保新兴技术的安全性、及时反馈网络安全事件、仅在及时告知和获得同意的前提下收集使用个人信息、加强对隐私信息和重要数据的立法保护等,对金融机构应对网络风险均有助益。 根据联邦法律和政策,美国国土安全部在促进和完善国家网络安全方面承担着重要职责,在促进完善关键基础设施的网络安全体系方面扮演着重要角色。美国审计署通过对国土安全部执行联邦法律和政策,建立国家网络安全保护系统,开展网络安全工作进行审计评估,间接推动金融机构应对网络风险。 美国审计署也充分意识到金融科技在提升传统金融服务方面的作用,并对此进行了审计调查,评估了以下方面:金融科技的收益、风险和对用户的保护;对金融科技公司的监管;对金融科技公司的监管挑战;美国国内和其他国家为鼓励金融创新所采取的措施。美国审计署采取的方法包括:审查数据、文献、机构文件;分析相关法律法规;对超过120名联邦和州的监管者、市场参与者、观察员和来自4个不同国家的监管者进行访谈,听取他们对金融科技部门和监管路径的看法。 美国审计署发现,金融科技,包括支付、借贷、财富管理等,在为用户带来便利和降低成本的同时,也隐藏着一系列尚未被现有法律法规充分关注到的风险。同时,随着金融科技活动的发展,数据安全、隐私保护等风险可能影响整体金融稳定。在现行的监管框架下,金融科技公司同时面对多方监管者,遵循成本较高且执行困难。他们建议,应加强监管部门间的合作,包括明确各部门角色和职责、定义部门绩效等,以提高监管绩效。