中央银行的网络风险(英)
AI智能总结
国际清算银行工作文件 没有1039 中央银行的网络风险 作者:SebastianDoerr、LeonardoGambacorta、ThomasLeach、BertrandLegros和DavidWhyte 货币经济部 2022年9月 JEL分类:E5、E58、G20、G28。 关键词:网络风险、中央银行、金融机构、云服务、网络监管。 BIS工作文件由国际清算银行货币和经济部的成员撰写,并不时由其他经济学家撰写,并由银行出版 。这些论文是关于热门话题的,并且是技术性的。其中表达的观点是其作者的观点,不一定是BIS 的观点。 该出版物可在BIS网站(www.bis.org)上获取。 ©国际清算银行2022。保留所有权利。如果注明出处,可以复制或翻译简短的摘录。 ISSN1020-0959(印刷版)ISSN1682-7678(在线) 中央银行的网络风险 SebastianDoerr、LeonardoGambacorta、ThomasLeach、BertrandLegros和DavidWhyte* 抽象的 金融部门不断增加的网络攻击对金融稳定构成威胁,并使网络风险成为政策制定者的主要关注点。本文介绍了全球网络弹性小组成员对网络风险及其对中央银行的挑战的调查结果。调查显示,自2020年以来,中央银行显着增加了与网络安全相关的投资,将技术安全控制和弹性放在首位。中央银行将网络钓鱼和社会工程视为最常见的攻击方法,系统相关网络攻击的潜在损失被认为是巨大的 ,特别是如果目标是提供关键云基础设施的大型技术。一般来说,受访者认为金融部门对网络攻击的准备不足。虽然大多数新兴市场经济体的中央银行为收集有关金融机构网络攻击的信息提供了框架,但只有不到一半的发达经济体这样做。公共当局之间的合作,特别是在国际背景下,可以提高中央银行应对网络攻击的能力。 JEL分类:E5、E58、G20、G28。 关键词:网络风险、中央银行、金融机构、云服务、网络监管。 *SebastianDoerr、LeonardoGambacorta、BertrandLegros和DavidWhyte在国际清算银行(BIS)。ThomasLeach在帕维亚大学。我们要感谢CodrutaBoar和SamehMekhail就BIS创新中心项目的内容提供非常宝贵的意见。GiulioCornelli提供了出色的统计帮助。关于“网络弹性基准测试——中央银行的一个例子”的方框A由RaymondKleijmeer(DeNederlandscheBank)撰写。本文所表达的观点是作者的观点,不一定是BIS和DeNederlandscheBank的观点。 1.介绍 网络攻击每年都变得越来越频繁和复杂,公司和政策制定者都将网络风险列为主要关注点。1金融机构和金融市场基础设施(FMI)尤其面临风险,金融业一直被列为受攻击最严重的行业之一。加密货币世界的兴起进一步增加了更广泛金融领域遭受黑客攻击的可能性(Boissay等人(2022年))。 虽然有几项关于私营部门网络威胁的研究和调查——尤其是金融部门的公司——但人们对中央银行对网络攻击的评估知之甚少。他们的主要担忧是什么?他们如何看待威胁形势?他们采取了哪些措施来预防或应对网络攻击?中央银行如何评估整个金融部门的风险和准备情况?这些问题的答案迫在眉睫,因为直接针对中央银行或关键FMI的网络攻击可能会严重削弱中央银行履行职责的能力并威胁金融稳定。 本文利用2021年在全球网络弹性小组(GCRG)成员中进行的一项调查,对中央银行界的网络风险形势评估提供了新的视角。该小组成立于2020年,作为一个论坛,央行首席信息安全官可以在这里讨论战术和战略网络弹性主题。 该调查包含21名参与者的回复,并就中央银行看到的突出网络风险、它们如何准备以及如何评估其辖区内金融部门的准备情况提出了详细的问题。该调查包括来自发达经济体(AE,9名受访者)和新兴市场经济体(EME,12名受访者)的中央银行的回答。 该调查揭示了四个主要见解。 首先,来自AE和EME的中央银行对不同网络攻击的频率和成本的评估不同。所有中央银行都将网络钓鱼和其他形式的社会工程视为最有可能的攻击媒介类型。AE央行明显更担心供应链攻击2比他们的EME同行。就攻击造成的成本而言,高级持久性恶意软件和勒索软件攻击排名最高。谈到这些攻击中的谁,AE中央银行认为有组织犯罪和国家支持的实体是主要肇事者。在EME中央银行中,它是有组织的犯罪和个人或活动家。 二是中央银行积极讨论和制定应对网络攻击的政策,2020年以来网络安全相关投资显着增加。技术安全控制和弹性在网络安全投资领域中处于优先地位。对现有员工进行网络安全培训或雇用具有相关技能的新员工也被认为很重要,尤其是在新兴市场经济体中央银行中。除了投资之外,中央银行还专注于制定具体的政策应对措施。所有中央银行都高度重视发展 1见安盛(2021)。 2供应链攻击是一种网络攻击,旨在通过针对其供应链中不太安全的元素来破坏组织。有关详细信息,请参阅第2节。 事件响应计划,以防他们自己的机构受到攻击,一些中央银行也在制定正式的策略来应对对整个金融系统的攻击。所有中央银行都进行内部演习以模拟网络攻击,最常建模的场景是对中央银行自身系统的攻击,以及支付系统或其他关键FMI的中断。 虽然大多数新兴市场经济体的监管机构为收集有关金融机构网络攻击的信息提供了框架,但只有不到一半的新兴市场经济体这样做。同样,尽管几乎所有新兴市场经济体都要求受监管的公司向中央银行报告与网络攻击相关的损失,但只有三分之二的AE受访者表示需要进行此类披露。然而,没有任何司法管辖区要求公司公开披露此类损失。 第三,央行认为系统相关网络攻击造成的潜在损失很大,并认为金融部门网络攻击造成的损失在过去一年有所增加。只有少数中央银行完全同意金融部门已为网络攻击做好充分准备,超过一半的受访者认为过去一年对网络安全的投资不足。除传统金融机构外,受访者表示,他们认为金融科技公司比大型科技公司更容易受到网络攻击,尽管大多数受访者同意对大型科技公司的成功攻击将导致比对金融科技公司的攻击更高的总成本.3 第四,新兴经济体和新兴市场经济体的中央银行已经在一系列主题上进行了广泛合作。中央银行之间的双边合作以及区域和全球层面机构的合作是常态。当谈到与合作、信息共享、模拟和政策制定相关的特定主题时,以提高网络弹性在AE中脱颖而出。在新兴市场经济体中,中央银行经常在信息共享和政策制定领域进行合作。此外,超过三分之二的受访者为金融部门制定了通用标准和协议。国际清算银行以多种方式支持中央银行的网络安全工作以及该领域的全球合作——例如,通过其网络弹性协调中心或国际清算银行创新中心的项目。 本文的主要贡献是强调了中央银行所看到的网络威胁格局。最近的研究调查了非金融公司或金融机构的网络风险。Chande和Yanchus(2019年)使用Advisen数据集研究跨行业网络事件造成的损失,并按行业提供公司风险的初步估计。使用相同的数据集,Aldasoro等人(2022)发现,相对于其他行业,“金融和保险”似乎更能抵御网络风险。此外,IT投资较高的行业损失较低。Duffie和Younger(2019年)发现,一些最具有系统重要性的美国金融机构拥有足够的优质流动资产库存,以应对极端网络事件期间的批发资金流失。Eisenbach等人(2022)表明, 3“金融科技”是指金融服务领域的技术创新,以及相关的新业务模式、应用、流程或产品,所有这些都对金融服务 的提供产生重大影响。“大科技”是指现有的大型公司,其主要活动是提供数字服务,而不是主要从事金融服务。因此,虽然金融科技公司主要经营金融服务,但大型科技公司仅提供金融产品作为更广泛业务线的一部分。有关更多详细信息,请参阅Frost等人(2019)。 由于网络事件,美国五家关联度最高的银行中的任何一家都可能导致对其他银行的重大溢出效应。 Kashyap和Wetherilt(2019)概述了监管机构在监管金融部门网络风险时需要考虑的一些原则 。巴塞尔委员会还为银行发布了有关网络风险最佳实践的指南(巴塞尔银行监管委员会(2018年) )。此外,围绕网络安全事件成本估算的高度不确定性和可变性对政策制定者产生了影响。例如,很难培育稳健的保险市场,也很难就安全控制和防御性干预的适当投资水平做出决策(Biener等人 (2015年);Wolff和Lehr(2017年))。 本文通过对中央银行如何评估网络风险和相关宏观经济成本以及它们如何判断其管辖范围内金融部门的准备情况进行首次系统评估,对现有文献进行了补充。 本文的其余部分安排如下。第2节概述了网络风险,并强调了中央银行越来越多地采用云计算 和远程工作对网络风险的主要影响。第3部分利用调查显示中央银行认为最有可能的网络攻击以及它们如何评估其影响和成本。然后,它强调了中央银行为保护自己免受网络攻击而采取的行动。第4节概述了中央银行对金融部门网络风险的评估,第5节说明了中央银行在网络风险领域的合作努 力。第6节结束。 2.定义网络风险和评估威胁形势 本节首先对网络风险进行一般性介绍。然后,它强调了日益增加的云采用和远程工作对网络风险的关键影响,重点是它们与中央银行的相关性。 一般分类法 “网络风险”是一个概括性术语,涵盖了由IT系统故障或破坏导致的各种风险。根据金融稳定委员会的网络词典(2018年),网络风险是指“网络事件发生的概率及其影响的组合”。反过来,“网络事件”是“信息系统中任何可观察到的事件:(i)危害信息系统的网络安全或系统处理、存储或传输的信息 ;或者 (ii)违反安全政策、安全程序或可接受的使用政策,无论是否由恶意活动引起”。 网络风险包括意外事件和故意攻击。前者的例子是意外的数据泄露,以及实施、配置和处理错误 。估计表明,大约40%的网络事件是故意和恶意的,而不是偶然的,即它们是网络攻击(Aldasoro等人(2020))。 三种类型的攻击脱颖而出。 网络钓鱼仍然是迄今为止最常见的初始攻击向量。传统上,网络钓鱼电子邮件被用来诱骗用户运行恶意附件,以便安装恶意软件来接管用户的实际设备。凭据网络钓鱼 有不同的目标。这是通过伪装成电子邮件、即时消息或其他通信渠道中的知名或已知实体来窃取用户的登录名和密码组合的做法。然后攻击者使用受害者的凭据对其他目标进行攻击以获得进一步的访问权限。网络钓鱼攻击的频率正在增加:例如,在2021年1月至2021年6月期间,针对云服务的网络钓鱼电子邮件的月平均值几乎翻了一番。4攻击者依赖于更具针对性和定制化的恶意电子邮件 ,通过这些电子邮件他们可以破坏最终用户设备或获得对本地基础设施或基于云的服务的特权访问的入口点。这种未经授权的访问可能导致巨大的损失。 供应链攻击当威胁行为者渗透到合法软件供应商的网络并在供应商将软件发送给客户之前使用恶意代码破坏软件时,就会发生这种情况。此类攻击利用已建立的信任关系和用于提供基本软件更新的机器对机器通信。因此,它们很难缓解和针对服务提供商(例如2020SolarWinds攻击)和关键技术(例如2021年的MicrosoftExchange服务器)。供应链攻击不太频繁,但它们可能会产生巨 大且潜在的系统性后果。 勒索软件是攻击者在受害者的计算机网络上部署的一种恶意软件,用于加密他们的文件并持有它们以勒索赎金。它通常从受感染的最终用户设备传播到整个组织的IT环境。它不仅会损害信息和IT 资产的可用性,还会损害它们的机密性和完整性。在过去几年中,勒索软件的使用量大幅增长,仅在过去一年中发生率就增加了两倍。勒索软件主要用于有组织的犯罪。 攻击者的类型可能会有所不同。除了彻头彻尾的犯罪和恐怖组织之外,还可能有工业间谍、“黑客行动主义者”或国家和国家资助的参与者。因此,网络攻击的动机可能只是为了赚取利润(例如勒索软件、工业间谍),但也可能是地缘政治问题(国家支持的对关键基础设施的
