法規與監理
2024年8月
金融機構強化韌性是關鍵
網路風險飆升
國際貨幣基金(IMF)在今年4月發布的《全球金融穩定報告:最後一哩路――金融脆弱性和風險》中,專章探討日益受到重視的資訊安全網路風險,及其為總體金融穩定帶來的潛在威脅,並提出減輕此類風險的政策選項。
該報告指出,自2020年以來,資安事件的發生頻率顯著增加,數量幾乎是COVID-19疫情前的2倍;而且這些資安事件讓企業付出重大成本,直接損失接近280億美元,這還很有可能是被低估的數字,實際損失估計可占全球GDP的1%到10%。值得注意的是,過去20年間所有已知的資安事件中,近五分之一影響到金融機構,銀行又占了其中大約一半的比例。
這樣的現象並不意外,畢竟金融機構處理大量的客戶資料和交易數據,可能因而使其成為網路犯罪分子的首選。大型銀行尤其容易受到攻擊,儘管多半已經採用相對先進的網路安全措施,仍無法避免成為頻繁攻擊的目標。近期的重大資安事件,例如2023年11月8日,中國工商銀行美國分行遭受勒索軟體攻擊,竟導致美國公債市場暫停交易,顯示金融機構若受到網路攻擊,可能威脅金融穩定。
影響金融穩定三途徑 不可不防
報告中認為,資安風險主要透過3種途徑影響總體金融穩定。首先,資安事件(例如資料外洩)可能會使社會大眾對受攻擊機構的經營能力失去信心。實證分析顯示,美國的銀行在遭受網路攻擊後存在相對持久的存款外流,較小型銀行的這種狀況更明顯。平均而言,小型銀行的存款在資安事件後一年半之內累計下降約5%。也就是說,這些銀行在經歷網路攻擊後可能無法迅速恢復存款人的信心,從而提高流動性風險。這種流動性風險一旦導致清償能力驟減,例如存款突遭大量提領(或所謂的「網路擠兌」),其影響可能波及整個金融體系。
其次,如果資安事件影響到難以替代的關鍵機構或金融市場基礎設施,那麼對金融穩定的威脅或將快速成形。通常銀行的支付網路是金融基礎設施的重要組成部分,資安攻擊如果中斷這些網路,將嚴重影響經濟活動。又例如主要銀行遭受勒索軟體攻擊、核心雲端服務供應癱瘓、中央銀行被駭客入侵或電子交易系統遭到破壞等,影響都可能迅即蔓延並破壞金融穩定。
第三,現在有越來越多企業使用相同的軟體或作業系統,這種藉由技術連接或金融連接(例如銀行共用結算系統)所造成的機構互聯性,促使資安事件的損害輕易傳遞到整個金融體系,對總體金融穩定產生不利影響。
不過,即使是非金融機構的資安事件,也同樣可能削弱金融穩定。例如對關鍵基礎設施(如電網)的網路攻擊可能使金融機構難以正常運行;公家機構的資安事件同樣可能擾亂政府運作,從而影響金融體系。
另一方面,金融科技的快速發展也帶來額外的資安風險。例如人工智慧雖可經由偵測異常行為提升資安風控效能,但也可被利用來進行惡意活動,包括以生成式AI產生以假亂真的釣魚信件或身分證明。此外,金融科技公司的數位化營運和互聯性則使金融體系更加暴露於資安威脅之下。自2020年以來,去中心化金融(基於區塊鏈與加密貨幣的金融中介)迅速成長,結果對去中心化金融智能合約的網路攻擊也同步增長,經常造成巨大損失。而儘管目前央行數位貨幣(CBDC)似乎尚未遭遇網路攻擊,但由於CBDC可能依賴分散式帳本技術等新科技,因此依舊存在不可預測的資安風險。駭客也經常將加密資產作為目標,使虛擬資產交易所的網路攻擊有所增加。未來倘若加密資產更為融入金融體系,其脆弱性可能會加劇金融系統風險,例如法幣儲備型穩定幣的網路擠兌。
提升網路安全 多項政策找解方
到目前為止,網路攻擊事件雖多,所幸尚未釀成系統性事件,這也許代表金融機構的網路安全措施,在過去大抵足以應付資安威脅。但隨著數位化與新科技的演進,以及地緣政治緊張局勢的升高,目前資安風險已大幅增加。資安事件現在對總體金融穩定構成嚴重威脅,因為金融體系暴露於敏感數據、高度集中和強大的互聯性中,包括與實體經濟的緊密關聯。因此該報告中對於強化網路安全提出幾項建議。
私部門對於資安風險的應對可能與符合社會最適水準的網路安全維護不盡相同,因此需要政府機構參與引導。例如民營企業在投資網路安全設施時,不見得會考慮資安事件對整體的影響,特別是在金融體系,關鍵服務的中斷或對金融系統信心的喪失可能帶來重大打擊。而且儘管從金融穩定的角度來看,分享網路攻擊訊息對彌補共同資安防禦漏洞和防止跨企業資安事件的發生大有助益,企業還是可能為免於商譽受損,不願分享這些訊息。
為了做好金融穩定分析與企業層面風險管理的工作,資安事件的相關資料極其重要。儘管近年來企業報告網路攻擊事件及所受損失的情況已有改善,但仍不完整,且存在時間落後。所以最好能大範圍收集資安事件相關數據,並提供金融體系參與者共享,以提高集體防禦能力。
跨境合作 有助降低風險
由於網路攻擊的全球性和系統性影響,跨境合作應有助於減輕資安風險。網路攻擊通常來自金融機構的母國之外,且不法所得可跨境轉移,因而阻礙追究攻擊者責任及追討資金的過程。因此制定國際合作協議以共同解決網路安全問題實屬必要,包括各國之間的標準化資安事件報告,可促進跨境訊息流通。
金融監理機關應定期評估金融體系的網路安全環境,包括識別由互聯性和第三方服務供應商集中所帶來的潛在系統性風險。監理機關應鼓勵金融業提高網路安全「成熟度」,包括董總層級所需的網路專業知識,貫徹三道防線強化金融機構資訊安全,並維持系統強韌(如利用反惡意軟體和多因子認證等),以及全體員工資安意識的養成。
不過網路攻擊基本上防不勝防,因此金融機構應制定並測試危機處理與恢復程序,嘗試在資安事件中保持營運,即使不得已中斷正常營運,在此期間至少也需提供關鍵服務,以避免金融體系完全失能。為此,金融監理機關應有完整的危機管理框架,包括在危機處理過程中必須為金融體系保持充足的流動性。
地緣政治升溫 資安應有作為
鑑於台海兩岸近年時生齟齬,地緣衝突風險日漸升高,這份報告的內容,對於台灣應是深具啟示。先不論兵燹之厄,早在軍事行動發生之前,台灣即已可能遭遇以製造社會動亂、打擊市場秩序為目的的網路攻擊。由於金融服務與庶民生活息息相關,且高度依存於網路,因此極易成為攻擊目標。一旦金融服務癱瘓且無良策應對,對民心士氣衝擊甚鉅,試想如果所有ATM都無法提領現鈔,民眾會是何種心情。
為了有效應對這些威脅,思考可能被攻擊的模式和對手策略,找出潛藏的弱點至關重要。這需要深入分析對手可能採取的攻擊手段,預測各種可能的攻擊時間順序,並設想不同的攻擊情景。根據這些分析,再以兵棋推演或壓力測試來探查自身的弱點與盲點,並提出減輕受創程度的方案,制定詳細的緊急應變措施,確保在遭受攻擊時迅速應對。兵棋推演是一種模擬實戰場景的演練,可幫助識別潛藏的威脅和應對策略。而壓力測試則可評估金融系統在面對極端情況下的應對能力,希冀在遭受攻擊時仍能保持基本功能的穩定運作。
建立整體的防禦體系需要政府和民營部門的共同努力。政府應制定明確的資訊安全政策與法規並落實執行,確保各機構遵守一致的安全標準。同時,民營部門應積極配合政府政策,加強自身的網路安全措施,定期進行資安稽核與風險評估。只有透過政府和民營部門的緊密合作,才能對抗潛在的網路金融攻擊。
總而言之,面對日益增長的金融戰威脅,必須採取綜合性的應對措施。不僅僅是制定預應方案,還需要持續收集相關情報,建立預警系統,公民營部門同心協力,藉由操作演習不斷提升改進面對重大事件時的應變能力,以達強化金融韌性的目的。如此才有機會在動盪的局勢中,保障國家安全與社會安定。(本文作者為台灣金融研訓院金融研究所所長)
