报告行业投资评级 未提及 报告的核心观点 - 网络风险压力测试已成为当局和金融公司增强应对网络攻击操作韧性的有效工具，可解决多种对运营韧性的冲击 [69][71] - 目前有企业层面和金融部门层面两种网络压力测试途径，各有优缺点，当局应选与目标吻合的方法设计测试 [71] - 持续改进和披露测试方法论可提高意识、建立最佳实践，反复测试能加强公司反应和当局能力 [72] - 公司应对网络事件需有效沟通，系统性冲击时当局需补充沟通计划 [73] - 未来测试可纳入跨境和跨行业中断，广泛参与有益，针对公司的演练可引入系统性元素 [73] 根据相关目录分别进行总结 引言 - 网络事件增加，当局采取测试工具，全面测试计划包括漏洞评估、基于场景的测试、渗透测试和红队测试 [9] - 基于场景的测试和渗透/红队测试互补，前者关注运营弹性，后者识别可利用漏洞 [9] - 网络压力测试为当局和企业提供应对流程有效性见解，其静态特性和较长时间利于企业梳理规划和评估策略 [11][12] - 网络压力测试经验有限、披露受限，本简报回顾英格兰银行、丹麦金融监管局和欧洲中央银行的测试，强调设计测试需考虑的关键因素 [13] 定义网络压力测试 - 当局覆盖网络风险有两种方式，一是纳入现有金融压力测试关注金融损失，二是单独考虑网络风险评估运营能力，本文讨论的三个例子属后者 [14][18] - 网络压力测试与偿付能力和流动性压力测试框架不同，缺乏单一数量指标，通常为探索性学习机会 [19] - 网络压力测试评估从企业层面转向系统层面，其教训应用范围广，网络攻击使网络压力测试更有价值 [20][21] 两种网络压力测试方法 - 负责机构需确定测试侧重于金融体系运营韧性还是个别企业韧性，两种方法各有优势，选择应明确以确保测试一致性 [23] - 以体系为重点的练习评估金融体系韧性，考虑对金融稳定的影响，增强企业对系统影响的认识；以企业为重点的练习评估企业应对和恢复能力，发现操作性韧性框架缺陷 [24] - 系统导向和公司导向方法影响与参与公司的关系和活动规范性程度，系统导向更重视学习视角，公司导向更重视审慎方面 [25] - 三个权威机构明确压力测试动机并采取相应方法，英格兰银行和欧洲央行分别代表系统和公司聚焦方法，丹麦结合两种方法 [27] 规划网络压力测试 范围 - 当局需确定合适银行样本，平衡全面性和实用性，系统中心练习要覆盖关键节点，公司焦点练习要涵盖全面银行以进行基准比较 [32] - 公司参与可能自愿或强制，系统性关注活动中自愿更可能，目标是涵盖系统重要性公司 [35] - 审查活动范围可限制特定公司敞口或根据活动相关性调整，系统中心练习选前者，公司焦点练习选后者 [36][37] 资源与制度安排 - 网络压力测试需企业和当局投入资源，当局需多部门员工参与，可能依赖外部顾问，公司需跨学科专业知识和管理层支持 [38][39] - 负责当局需考虑其他金融监管机构参与，系统焦点演练可能涉及不同类型公司和司法管辖区，需与相关机构协调，中央银行可能参与系统层面测试 [40][41] - 跨境元素融入测试具挑战性，目前可采取谨慎方法，设计测试应吸纳网络安全机构参与 [41] 情景设计 - 压力测试从疑似网络攻击开始，场景基于定性叙述，需有现实主义，披露有限 [42][43] - 系统聚焦测试需构建行业冲击情景，准备多个叙述，与公司预测试合作；公司聚焦测试情景可较简单 [45] - 当局可采取不同策略提高情景实用性，如增加冲击强度、调整直接目标代理，还可与企业共享初步版本并讨论 [47] 互联网压力测试的实施及结果 - 测试活跃阶段从公司收到情景并响应开始，当局审查响应计划质量和效果，测试公司各层面应对能力 [51] - 当局与公司密切接触，演习可分阶段进行，提高现实感，公司通过问卷提供描述性反馈，系统导向练习用开放式问题，公司导向练习问卷更详细 [52][53] - 定性答案更适合把握网络攻击影响，当局可通过同行benchmarking、研讨会和要求企业提供文件进行质量控制，系统重要银行可能受额外审查 [54][55][56] - 当局可研究银行结果分布，识别安全漏洞与银行特征联系，系统评估需结合特定公司结果，可通过工作坊分析影响，识别学习点和最佳实践 [59][60] - 系统性压力测试可包括传染性和第二轮效应，但分析复杂 [61] 跟进和披露 - 当局向参与公司提供个别报告，公司可能需采取补救措施，公司针对性练习中监管者可能继续与公司接触，系统导向练习着重确保企业结合测试结果 [62][63] - 网络压力测试披露有限，尤其是公司中心练习，公开披露有益，可帮助未参与公司，分享通用经验教训，系统导向练习可帮助公司识别溢出效应 [63][66][67] - 当局可重复进行测试，不同年份测试可不同，增加容量，吸引公司 [68] 结论性反思 - 网络风险压力测试是增强操作韧性的有效工具，可解决多种冲击，目前有两种途径，当局应选合适方法设计测试 [69][71] - 持续改进和披露方法论可提高意识、建立最佳实践，反复测试可加强公司反应和当局能力 [72] - 公司应对网络事件需有效沟通，系统性冲击时当局需补充沟通计划，未来测试可纳入跨境和跨行业中断，广泛参与有益，公司演练可引入系统性元素 [73]