國際貨幣基金(IMF)在今年4月發布的《全球金融穩定報告:最後一哩路――金融脆弱性和風險》中,專章探討日益受到重視的資訊安全網路風險,及其為總體金融穩定帶來的潛在威脅,並提出減輕此類風險的政策選項。
該報告指出,自2020年以來,資安事件的發生頻率顯著增加,數量幾乎是COVID-19疫情前的2倍;而且這些資安事件讓企業付出重大成本,直接損失接近280億美元,這還很有可能是被低估的數字,實際損失估計可占全球GDP的1%到10%。值得注意的是,過去20年間所有已知的資安事件中,近五分之一影響到金融機構,銀行又占了其中大約一半的比例。
這樣的現象並不意外,畢竟金融機構處理大量的客戶資料和交易數據,可能因而使其成為網路犯罪分子的首選。大型銀行尤其容易受到攻擊,儘管多半已經採用相對先進的網路安全措施,仍無法避免成為頻繁攻擊的目標。近期的重大資安事件,例如2023年11月8日,中國工商銀行美國分行遭受勒索軟體攻擊,竟導致美國公債市場暫停交易,顯示金融機構若受到網路攻擊,可能威脅金融穩定。
影響金融穩定三途徑 不可不防
報告中認為,資安風險主要透過3種途徑影響總體金融穩定。首先,資安事件(例如資料外洩)可能會使社會大眾對受攻擊機構的經營能力失去信心。實證分析顯示,美國的銀行在遭受網路攻擊後存在相對持久的存款外流,較小型銀行的這種狀況更明顯。平均而言,小型銀行的存款在資安事件後一年半之內累計下降約5%。也就是說,這些銀行在經歷網路攻擊後可能無法迅速恢復存款人的信心,從而提高流動性風險。這種流動性風險一旦導致清償能力驟減,例如存款突遭大量提領(或所謂的「網路擠兌」),其影響可能波及整個金融體系。
其次,如果資安事件影響到難以替代的關鍵機構或金融市場基礎設施,那麼對金融穩定的威脅或將快速成形。通常銀行的支付網路是金融基礎設施的重要組成部分,資安攻擊如果中斷這些網路,將嚴重影響經濟活動。又例如主要銀行遭受勒索軟體攻擊、核心雲端服務供應癱瘓、中央銀行被駭客入侵或電子交易系統遭到破壞等,影響都可能迅即蔓延並破壞金融穩定。
第三,現在有越來越多企業使用相同的軟體或作業系統,這種藉由技術連接或金融連接(例如銀行共用結算系統)所造成的機構互聯性,促使資安事件的損害輕易傳遞到整個金融體系,對總體金融穩定產生不利影響。
不過,即使是非金融機構的資安事件,也同樣可能削弱金融穩定。例如對關鍵基礎設施(如電網)的網路攻擊可能使金融機構難以正常運行;公家機構的資安事件同樣可能擾亂政府運作,從而影響金融體系。