不难看出,宏观审慎监管是一个不断扩展和深化的概念,是人们不断总结金融危机的经验教训而逐渐发展出来的理论框架。当前,中国银行业的业务离柜率已超过90%,金融服务高度依赖网络,服务效率获得了极大提升。与此同时,网络风险扩散速度更快、范围更广、影响更大,其中所蕴涵的网络安全风险巨大。传统上主要防范网点挤兑和机构连锁倒闭的宏观审慎监管,在金融科技高度发展的今天有必要进一步发展和完善,以便持续维护储蓄者利益,维护金融稳定,保障实体经济良性循环。
金融网络安全风险引发新的宏观审慎监管问题
恶意篡改攻击。是指针对网络程序漏洞,植入木马(webshell、跨站脚本攻击)、篡改网页、添加黑链或者嵌入非本站信息。此种攻击可通过篡改银行指令引发系统性风险,或经由金融机构系统转走储户大量存款。比如,2016年2月,黑客在孟加拉央行新上线RTGS系统后不久,用恶意软件篡改了SWIFT的消息,从孟加拉央行银行成功转走8100万美元,足见其潜在的系统性风险。
流量攻击。是指CC攻击和DDOS攻击。CC攻击是借助代理服务器模拟多个用户不停对网络系统提出访问请求;DDOS攻击是通过控制多台电脑向网络系统发送访问请求。流量攻击会使系统服务器CPU达到峰值,进而导致网络系统瘫痪无法正常使用。不但储户无法通过电子银行渠道(手机银行、网上银行、ATM等)办理转账和储蓄业务,也无法通过任何线上或者线下渠道取款,各种网络支付都将处于瘫痪状态。此外,与瘫痪的金融机构具有同业存款关系的金融机构因无法兑付短期同业存款,可能会遭遇流动性问题。
数据库攻击。是指通过将SQL命令插入网页表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令的目的。此种攻击危害很大,可能导致银行用户信息大规模泄露,数据库被篡改,银行系统被植入后门。比如,2019年7月29日,CapitalOne称客户信息大规模遭窃取,信息规模约1.06亿条,涉及信息主要为2005-2019年期间该银行用户信息。
恶意扫描。是指黑客为了攻击网站,使用工具自动扫描漏洞。这种攻击往往是其他攻击的前奏,一旦让黑客得手,将会引发部署扫描的黑客大规模攻击,黑客也有可能将漏洞倒卖给其他黑客,黑客利用各自特长多种方式组合攻击漏洞。
加密算法被攻破。随着解密技术的发展,特别是量子技术的发展,银行业面临着加密算法被攻破的潜在风险。一方面,银行客户的密码都以加密的密文形式(人不可直接读取)存储在数据库中,一旦加密算法被攻破,客户密码就变成明文形式(人可直接读取),储户的存款面临着大规模损失的风险。另一方面,银行的操作员权限也是基于密码控制,一旦被攻破,黑客就会直接取得对银行系统的控制权。
通讯网络中断。目前,银行业的绝大多数指令传递都依赖于通讯网络,一旦通讯网络中断,将导致严重后果。从客户角度,银行线上服务将全面中断;从银行角度,银行内部的异地网络也将瘫痪。以汶川地震为例,2008年5月12日,四川地区的部分通讯中断,当地银行业务只能采用原始的手工记账方式。
将金融网络安全纳入宏观审慎监管确有必要
宏观审慎监管一般防范的是流动性风险、系统性风险、顺周期性风险和外溢性风险,面对金融网络安全风险,宏观审慎监管除了应对以上四类风险外,还要防止金融网络风险从单一机构向整体市场、从虚拟经济向实体经济、从国内向国际的传递,有效防范由此衍生的经济与金融风险。
从单一机构的流动性风险到整体市场的系统性风险。一旦某家银行因网络安全问题无法提供金融服务出现挤兑,可能引发社会恐慌并迅速向市场蔓延,进而破坏整个金融市场的稳定性。基于安全性考虑,储户可能盲目将资金从小银行转移至安全口碑更好的大银行,再设法取出现金,不但可能导致小银行储蓄资金暴跌,也可能引起大银行储蓄资金短期暴增之后暴减。同时,与问题银行存在同业存款关系的银行,可能无法变现同业存款,从而引发更多银行的流动性问题,产生系统性风险。
从虚拟经济到实体经济的顺周期风险。顺周期风险是指金融部门与实体经济之间的相互动态作用,这种相互增强效应可以放大实体经济周期的波动,引起或加剧金融体系的不稳定。在我国数字经济占比不断提升的情况下,虚拟经济和线上金融服务对社会民生的影响愈加广泛,在此背景下,网络安全导致的金融服务中断,或对实体经济造成一系列严重后果。仅就城市而言,可能导致电子商务、生鲜、外卖、快递、网约车等众多行业从业人员停工或失业,除了经济损失外,也埋下了巨大的社会隐患。此种情况,又会进一步加剧储户的不安全感,挤兑发生的概率加大,从而威胁到经济与金融的稳定。
进一步完善宏观审慎监管的建议
监管机构相机决策,准备好接管预案。相机性监管是指当银行偿付能力降至某一临界点时,监管机构被授予控制权保护储户利益。相机性监管分为两种情况,即单一银行被接管和整个银行业市场被接管。
当银行业网络安全风险快速蔓延,甚至出现银行网络中断或通信网络中断,监管机构应接管整个市场。由于我国手机号码已经实现了实名制,若银行网络中断但通讯网络仍可用,监管机构可考虑允许银行依托手机号码,临时赋予成年公民一定支付额度。若通讯网络瘫痪,可以考虑采取身份证实名抵押,直接发放临时额度的纸币。
二是金融机构应预留足够的冗余,持续加固IT系统防火墙,不断完善自动化网络监控工具;建立行业金融安全态势感知与信息共享平台,实现提前预警,以防金融机构之间的连锁反应;在兼顾公平与效率的情况下,设计网络限流等预案。
三是增强数据库防火墙保护力度,强化数据库防火墙体系建设,既要提升对数据库攻击的侦测能力,又要增强对攻击的阻断能力,通过分析积累访问行为数据,对访问行为进行建模,不断提高防火墙对数据库访问行为的控制能力。同时,建立并严格执行有关程序设计规范,加强对国家和行业数据库标准的落地执行,如在各种信息提交框处进行权限验证等。
五是增强银行对用户线上行为分析的能力,通过大数据、人工智能等筛查恶意扫描行为,严格落实端口管理策略。银行系统还应根据自身银行业务与用户行为进行适配分析,通过机器学习模型精准查找疑似恶意扫描行为,并通过关闭闲置端口、修改默认端口等方式加以阻止或干预。
八是挖掘数字人民币潜力,提升金融支付系统的韧性。目前,我国试点中的数字人民币,已经具备双离线功能,即使在没有网络的情况下,也可以进行数字人民币的交易。通过推广数字人民币,可以将大量现金以数字人民币的形式存储于居民手机中,居民即便在断网断电的环境里,通过手机面对面碰一下,就可完成近场(NFC)支付,提升了金融支付系统的韧性。
推动理论研究与时俱进。现行《巴塞尔协议》只是将网络安全作为操作风险之一,在当前网络安全挑战日益严峻的情况下,现有激励机制并没有设计出有效的委托代理关系链,难以长远地解决网络安全问题。以前文提到的CapitalOne事件为例,CapitalOne采购了亚马逊的AWS云服务,亚马逊要求客户对用户数据安全负主要责任,但CapitalOne有将网络安全外包给云服务供应商的动机。从披露信息看,客户数据泄露可能在CapitalOne责任范畴内,而非亚马逊的云服务。在经济学或金融学中,如何通过设计更为合理有效的激励机制,将金融网络安全内化为银行自身责任?目前,这一理论问题研究还不够深入,亟待进一步探讨。