金融安全就是國家安全 盡早規劃各種攻擊的應變措施

應用之一：金融及資訊安全

賴清德總統引用世界經濟論壇「2024全球風險報告」指出，2024全球前五大風險，其中一項就是「假訊息與錯誤訊息」，另一個報告也指出，未來2年內，全球第四大風險就是「網路犯罪以及網路犯罪帶來的風險」。而金融與人民的生活息息相關，經不起一點攻擊，也因此賴總統認為金融資安相當重要，已成為國家安全的重要一環。

過去人們常以「黑天鵝事件」來描述影響金融穩定的因素，意指機率小、難預測、危害大的事件。事實上黑天鵝有兩種，一種是傳統的黑天鵝，一種是「人造黑天鵝」，因此提早做好防範，就更有能力來抵禦外來風險。

打造金融韌性 傳統黑天鵝來也不怕

過去國際清算銀行檢討2008年金融海嘯的經驗，推動巴塞爾協議III，包括逐步提高資本充足率，特別是系統性重要銀行（D-SIBs），並新增了關於流動性與槓桿比率的要求，來提高金融韌性與穩定。國內也遵循此國際金融監理潮流，公布國內「大到不能倒」銀行名單，並要求這6家銀行要分4年平均提列2％額外法定資本要求及2％內部管理資本要求。

我們這些努力到底夠不夠，是否有對症下藥？直到危機發生前我們永遠不知道。例如當我們把許多力量放在提高資本適足率時，2023年3月美國矽谷銀行等卻因為資產錯配（Asset mismatch）造成流動性問題，引發有史以來最快速的擠兌風波。該銀行並無投機高槓桿操作，或重大人謀不臧，卻因為其持有大部位的債券，因升息而出現巨額虧損。這個負面消息又讓該公司公開增資不順，造成股價暴跌，進而這些存款戶對銀行的信心發生動搖，擠兌的結果就造成此次銀行的倒閉。

在保險業方面，國際會計準則理事會為統一保險合約之會計準則規範，於2017年推出IFRS17草案，因相關作業高度複雜，因此生效日期延至2023年。正當國內業者把精神都放在此議題時，美國聯準會（Fed）卻針對美國壽險公司的資產配置提出示警。因為過去10年來其高品質流動性資產的比例一直下降，相反的負債的流動性卻逐漸上升。也就是說這些壽險要變現資產給付給其客戶時，越來越不容易；相反的持有其負債的人要變現時，越來越容易。一旦客戶出現解約潮或申請給付量大時，這些壽險公司的流動性很容易出現問題。

其他可能的黑天鵝還包括AI狂潮造成股市過熱，AI演算法造成投資行為的「羊群效應」（Herding Behavior），加劇市場波動；社群媒體對擠兌行為的推波助瀾，以及中國經濟金融風險對世界各國的外溢效果，都值得密切專注。

抵禦人造黑天鵝需要更多準備

除了傳統黑天鵝外，敵人也可經由人為的介入，設計誘發這些金融危機，這就是所謂的金融戰。利用人造黑天鵝，除了提高對攻擊目標的精準度，也提高發生的機率，加大危害的程度。因此在地緣政治風險升高的今天，未來的金融戰的出現將更頻繁。因為金融體系對敵人來講是高價值的攻擊目標，但發動金融戰的成本低、效益高、打擊範圍無遠弗屆並且以光速進行。金融戰的攻擊可分網路攻擊、市場攻擊與實體攻擊三大類，其目的就是要破壞敵方資本形成管道，或是破壞敵方資本交易流動性，製造銀行擠兌與股匯市的巨幅波動，引發社會動盪。

長期關注網路攻擊的「卡耐基國際和平基金會」（Carnegie Endowment for International Peace）發表一份報告指出，從2007年到2019年間，對金融業造成較大損失的網路攻擊有94件，其中有23件網路攻擊相信是由官方支持的網路駭客所為。這些攻擊者不僅資訊知識技巧豐富，對金融資訊服務的運作也相當了解，因此所造成的危害更是不容輕忽。

由於金融業所遭到的網路攻擊日益頻繁，危害不斷升高。因此歐美央行早已高度重視此議題，例如由歐洲央行（ECB）總裁帶領的「歐洲系統風險委員會」（ESRB）發布「系統網路風險報告」（Systemic Cyber Risk）指出，惡意網路攻擊的技術越來越複雜，並且其背後有國家支持或政治動機的案例不斷增加。這也再次提醒我們，資訊安全對於金融穩定的重要性，我們要用創新的（駭客）思維與穩健的資安來防範各種潛在的攻擊，建構金融安全的堡壘。

台灣積極走向世界，加強和更多理念相近夥伴國家合作。除了公部門要努力，也希望產官學研更深度合作，攜手建立全球資安聯防體系。這項工作需要政府與民間共同努力合作，體系有弱點，就要儘早規劃各種攻擊的緊急應變措施。可參考G7（七大工業國）資安演練基本要素中所建議的，演練、評估、改善與再演練的模式。沒有一勞永逸，而是不斷精進。（本文作者為台灣金融研訓院金融研究所副研究員）