来源：国际货币组织网站 2018年6月22日

　　网络风险已成为金融体系的重大威胁。IMF工作人员通过建模估计，金融机构每年因网络攻击所受的损失平均可能达到几千亿美元，这导致银行利润减少，并对金融稳定构成潜在威胁。

　　最近一些案例显示，这种威胁是真实的。成功的网络攻击导致数据外泄，使窃贼获得机密信息并进行欺诈，例如，Coincheck加密货币交易所受到网络攻击，5亿美元被盗。此外，这种网络攻击可能导致目标机构无法运作。

　　毫不奇怪，多项调查均显示，金融机构的风险管理人员和其他高管对网络攻击最为担忧，如下图所示：

　　金融部门的脆弱性

　　金融部门特别容易受到网络攻击。作为资金流通过程中的中介，金融机构的作用十分关键，因而成为有吸引力的网络攻击目标。由于金融体系相互关联紧密，对一家机构成功实施的网络攻击可能会快速传播至其他机构。许多机构仍在使用可能无法抵御网络攻击的旧系统。一次成功的网络攻击可能造成财务损失这样的重大直接后果，也可能带来声誉下降等间接成本。

　　鉴于最近一些备受瞩目的案例，网络风险已被列入官方部门包括国际组织的议程。然而，对网络风险的量化分析仍处于初期阶段，主要原因是缺少网络攻击成本的数据，以及在模拟网络风险方面存在困难。

　　IMF最近的一项研究提供了一个框架，可用于估计网络攻击所导致的潜在损失，重点是金融部门。

　　估计潜在损失

　　该建模框架采运用精算学和操作风险衡量的技术，以估计网络攻击造成的总体损失。这要求对金融机构受网络攻击的频率进行评估，并了解此类事件所致损失的分布情况。然后可以使用数值模型来估计网络攻击总体损失的分布情况。

　　用于说明该框架的数据集涵盖了50个国家因网络攻击所遭受的损失。这是如何估计金融机构潜在损失的一个例子。这项工作非常困难，而网络风险方面的重大数据缺口则使该工作更具挑战性。此外，金融体系幸好尚未出现过成功的大规模网络攻击。

　　因此，我们的结果应被视为是说明性的。从表面来看，这些结果表明，网络攻击所造成的年均潜在损失可能很大，接近银行全球净收入的9％，约为1000亿美元。在严重的情况下，比如网络攻击的频率比过去高出一倍，并且具有更大的蔓延性，则损失可能为这一估计损失的2.5至3.5倍，约为2700亿美元至3500亿美元。

　　该框架可用于分析涉及大规模攻击的极端风险情况。我们收集的数据的分布表明，在这种情况下（这种情况代表所有情况中最差的5％），平均潜在损失可能高达银行净收入的一半，从而使金融部门面临风险。

　　这种估计的损失比目前网络风险保险市场的规模大几个数量级。尽管最近有所增长，但网络风险保险市场规模仍然很小，2017年全球的保费收入约为30亿美元。大多数金融机构甚至没有网络保险。保险责任范围有限，且保险公司很难评估风险，因为网络风险暴露程度具有不确定性、缺乏数据，以及可能存在蔓延效应。

　　出路

　　需要改善风险评估，这方面有很大的空间。政府收集更加详细、一致和完整的关于网络攻击频率和影响的数据有助于评估金融部门的风险。要求报告数据外泄情况（如欧盟《通用数据保护条例》考虑施加的要求），应有助于增进对网络攻击的了解。情景分析可用于全面评估网络攻击如何传播，并设计私人机构和政府的适当对策。

　　此外，需要进一步开展工作，了解如何加强金融机构和基础设施的抗冲击能力，以降低网络攻击成功的可能性，并促进顺利和快速地从攻击中恢复。还需在世界许多地区提高官方部门的能力，以监测和管理此类风险。

　　总之，需要加强网络风险的监管框架，重点在于有效的监督实践和实际的脆弱性和恢复测试以及应急计划。IMF正在提供技术援助，帮助成员国改善其监管框架。