另一方面,金融科技的快速發展也帶來額外的資安風險。例如人工智慧雖可經由偵測異常行為提升資安風控效能,但也可被利用來進行惡意活動,包括以生成式AI產生以假亂真的釣魚信件或身分證明。此外,金融科技公司的數位化營運和互聯性則使金融體系更加暴露於資安威脅之下。自2020年以來,去中心化金融(基於區塊鏈與加密貨幣的金融中介)迅速成長,結果對去中心化金融智能合約的網路攻擊也同步增長,經常造成巨大損失。而儘管目前央行數位貨幣(CBDC)似乎尚未遭遇網路攻擊,但由於CBDC可能依賴分散式帳本技術等新科技,因此依舊存在不可預測的資安風險。駭客也經常將加密資產作為目標,使虛擬資產交易所的網路攻擊有所增加。未來倘若加密資產更為融入金融體系,其脆弱性可能會加劇金融系統風險,例如法幣儲備型穩定幣的網路擠兌。
提升網路安全 多項政策找解方
到目前為止,網路攻擊事件雖多,所幸尚未釀成系統性事件,這也許代表金融機構的網路安全措施,在過去大抵足以應付資安威脅。但隨著數位化與新科技的演進,以及地緣政治緊張局勢的升高,目前資安風險已大幅增加。資安事件現在對總體金融穩定構成嚴重威脅,因為金融體系暴露於敏感數據、高度集中和強大的互聯性中,包括與實體經濟的緊密關聯。因此該報告中對於強化網路安全提出幾項建議。
私部門對於資安風險的應對可能與符合社會最適水準的網路安全維護不盡相同,因此需要政府機構參與引導。例如民營企業在投資網路安全設施時,不見得會考慮資安事件對整體的影響,特別是在金融體系,關鍵服務的中斷或對金融系統信心的喪失可能帶來重大打擊。而且儘管從金融穩定的角度來看,分享網路攻擊訊息對彌補共同資安防禦漏洞和防止跨企業資安事件的發生大有助益,企業還是可能為免於商譽受損,不願分享這些訊息。
為了做好金融穩定分析與企業層面風險管理的工作,資安事件的相關資料極其重要。儘管近年來企業報告網路攻擊事件及所受損失的情況已有改善,但仍不完整,且存在時間落後。所以最好能大範圍收集資安事件相關數據,並提供金融體系參與者共享,以提高集體防禦能力。
跨境合作 有助降低風險
由於網路攻擊的全球性和系統性影響,跨境合作應有助於減輕資安風險。網路攻擊通常來自金融機構的母國之外,且不法所得可跨境轉移,因而阻礙追究攻擊者責任及追討資金的過程。因此制定國際合作協議以共同解決網路安全問題實屬必要,包括各國之間的標準化資安事件報告,可促進跨境訊息流通。
金融監理機關應定期評估金融體系的網路安全環境,包括識別由互聯性和第三方服務供應商集中所帶來的潛在系統性風險。監理機關應鼓勵金融業提高網路安全「成熟度」,包括董總層級所需的網路專業知識,貫徹三道防線強化金融機構資訊安全,並維持系統強韌(如利用反惡意軟體和多因子認證等),以及全體員工資安意識的養成。
