BIS -FSI简报：银行网络安全风险评估测试 202604

银行网络安全风险评估测试patriziaBaudino出版物16.3厘米[文档副标题]FSI简报由国际清算银行（BIS）金融稳定研究所（FSI）的员工撰写，有时与其他专家合作。这些是关于当前监管和监督主题的简要报告，具有技术性。本出版物中表达的观点是作者的个人观点，并不一定反映BIS、其成员中央银行或在巴塞尔设立的标准制定机构的观点。此外，本出版物中表达的观点也不代表作者雇主或公司的观点。FernandoRestoy，FSI主席授权。本出版物可在BIS网站（）上找到。如需联系BIS全球媒体与公共关系团队，请发送邮件至media@bis.org。您可以在/emailalerts.htm上注ISSN2708-1117（网络版）ISBN9银行网络压力测试1监管部门对银行业的网络风险压力测试1针对网络事件发生频率、复杂程度和潜在影响的不断上升，2当局已采取一系列旨在测试公司应对网络风险准备的理想情况下，针对网络风险的全面测试计划应由漏洞评估、基于场景的测试、渗透测试和红队测试组成（参见支付系统与基础设施委员会（CPMI）和国际证券委员会组织（IOSCO），CPMI-IOSCO（2016年））。3在这些方法中 ,基于场景的测试和渗透/红队测试为识别弱点提供了一种互补的方法。渗透/红队测试模拟对实时系统进行网络攻击 ,以识别可利用的漏洞。4相反，基于场景的压力测试，或更广泛地说，压力测试，假设公司的预防措施已经失败 ,并关注公司的网络安全事件响应及其恢复，也就是说，他们的运营弹性。Baudino（patrizia.baudino@），2例如，参阅Khiaonarong和Shanyuan（2026）关于网络事件崛起的讨论。3全球标准制定者已经就网络风险概念及其应对方法提供了指导。除了2016年国际清算银行支付和基础设施委员会（CPMI）和国际证券委员会组织（IOSCO）的报告外，还可以参考巴塞尔银行监管委员会（BCBS（2018））、金融稳定委员会（FSB（2023））、国际保险监管协会（IAIS（2023a,b））、国际清算银行支付和基础设施委员会（CPMI（2025））以及CPMI-IOSCO（2022）的报告。FSB（2025a）开发了事件报告 ,即所谓的“事件报告交换格式”（FIRE），以提高事件报告的质量，包括网络事件报告。4此类测试的例子，在欧洲联盟中，有基于威胁情报的道德红队测试（TIBER-EU）。该框架提供了全面指导，说明当局、实体、威胁情报提供商和红队测试人员应如何共同合作，通过实施控制性网络攻击来测试和提升实体的网络韧性（参见ECB（2025））。以类似方式，在英国，当局采用了CBEST框架（英格兰银行（2024b））。其他司法管辖区的事例，请参阅Prenio等人（2019）。2网络银行压力测试尽管网络压力测试无法完全复制现实生活中的网络事件影响，但它们为当局和企业提供了关于其应对流程有效性的宝贵见解。特别是，此类练习的静态特性使企业能够梳理其规划和准备，并评估其有效性。此外，由于压力测试的持续时间较长，这为企业和当局提供了识别其应对策略中的关键安排、评估设计中的可能弱点以及反思其适用性的空间。网络压力测试的相对新颖性意味着目前进行此类测试的经验相对有限。5此外，目前披露非常受限，无论是在出版机构的数量上还是在发布的信息范围上。这种谨慎的态度反映了保护演练范围和发现结果的机密性的需要，以避免使参与公司面临恶意攻击。尽管如此，英格兰银行、丹麦金融监管局（DFSA）和欧洲中央银行（ECB）银行监管最近发布了他们的网络压力测试报告（英格兰银行（2025年）、DFSA（2024年）和ECB（2024年。6本FSI简报回顾了这三项主要练习的主要方面，这三项练习是基于它们所代表的相关较广泛的披露和方法的考虑而被选出的。由于它们共同关注银行和银行业，且时间上几乎同步，因此它们也展现出相对较高的可比性。7借鉴这些例子，《简报》强调了当设计实施网络压力测试时，当局需要考虑的关键因素。第二章为本论文目的定义了网络压力测试。第三章介绍了当局在执行网络压力测试时可以采用的两种方法，即系统或公司重点关注。第四章至第六章展示了网络压力测试的主要组成部分，并讨论了当局需要就这些问题做出的选择。第七章得出结论。原则上，当局可以通过两种方式在压力测试中覆盖网络风险（ESRB（2022））。8在一次中，将网络风险纳入现有的金融压力测试，重点关注由网络风险引发的金融损失。5国际货币基金组织（IMF）最近发布了一套关于网络风险监管和监督的优良实践指南，该指南借鉴了其金融监管和技术援助工作（Gaidosch等人，2026年）。此外，IMF还支持金融监管机构提升其应对网络风险的准备能力。这项工作是该机构与这些监管机构在金融部门评估项目（FSAPs）框架下合作开展的一部分，其中网络压力测试被纳入分析的关键领域。例如，这种方法已应用于最近的欧元区FSAP（IMF，2025a）。6英格兰银行被认为是最早公开其网络压力测试发现结果的权威机构之一，从2023年开始（英格兰银行（2023b））。对于DFSA和ECB来说，本简报中所涵盖的练习是它们这一类中的第一次（ECB银行监管练习的引用标为ECB以便于理解，但应理解为是ECB的监管方执行的）。为了进行比较，英格兰银行的练习描述指的是2024年进行的那个，除非有明确的说明。7仅有少数其他机构发布了关于他们最近网络风险压力测试的一些披露。例如，葡萄牙央行（BancodePortugal（2024）），以及更广泛的斯洛文尼亚（Poljšak和Bračković（2025））。这两者都基于本文讨论的欧洲央行（ECB）领导的演习，并在国内层面进行系统分析。澳大利亚储备银行（2024）报告称，开展了一次针对国家高价值支付系统的网络攻击演习。有关早期网络压力测试的参考文献，请参阅Crisanto等人（2023 )。当局如何管理网络风险，由金融稳定委员会（FSB）在其最近的同行评审（FSB（2025b,c））中讨论，国际货币基金组织（IMF）在其第四条款磋商（IMF（2025b））中讨论，以及上述FSAPs。8随着越来越多的文献涵盖网络压力测试的概念框架。这包括由七国集团（G7，2020年）发布的一份关于网络演习基本要素的报告，由欧盟网络信息安全局（ENISA，2025年）编制的关键部门（包括银行）网络风险压力测试手册，以及若干其他。网络攻击。例如，可通过将网络攻击包括在流动性短缺触发因素中来扩展流动性压力测试（IMF（2024））。9银行网络压力测试3另一步骤是，网络风险与其他因素分开考虑，分析的重点是在网络危机周期的初始阶段。在这种情况下，压力测试——即真正的网络压力测试——旨在评估公司在网络事件发生时的运营能力，甚至可能是整个金融体系的运营能力。由于关注的是运营方面，这些练习更容易采用桌面模拟的方式进行，直接涉及公司面临的压力场景。此处讨论的三个例子就属于第二类。接下来，设计网络压力测试需要与偿付能力和流动性压力测试不同的框架，后者已成为监管机构工具箱中一个确立的部分。其中最相关的差异包括缺乏单一的数量指标来衡量压力因素的影响，以及对资产负债表指标不适合作为衡量标准的认识。顺便提一下，由于它们的定性性质，可以认为“基于情景的测试”可能是一个更合适的术语（CPMI-IOSCO网络压力测试通常并非设计为及格/不及格的练习，即使是在相关监管机构的主管之下。相反，鉴于网络压力测试仅在最近几年才进行，且尚未建立起完善的框架以开展此类测试，监管机构通常将它们视为学习机会，具有探索性质。从对网络压力测试的定量关注转向，也意味着评估将从企业层面转向系统层面。与偿付能力或流动性压力测试不同，系统视角并非源于将企业的某些压力指标进行汇总。相反，它源于审视企业在应对、恢复以及减轻可能影响整个金融系统的中断所造成的冲击时，是否具备足够的能力。单独来看，网络压力测试的教训比仅来自网络事件的教训应用范围更广，因为它们的格式适合研究广泛的对运营韧性这是因为，从当局的角度来看，定义性的起点是已经发生了一次干扰，并且预防措施已经失败。12尽管如此，网络攻击日益频繁的发生使得专门针对网络风险的压力测试在当局的工具箱中变得越来越有价值。此外，虽然网络事件可能像网络攻击一样是运营压力的一个重大触发因素，但后者被认为更具挑战性，因为它们可能更加激烈且持续时间更关于金融部门网络压力测试的报告——主要从宏观审慎的角度——由欧洲系统性风险委员会（ESRB）于2020年、2022年、2023年和2024年发布。相关研究论文包括：从美国视角来看，Kotidis和Schreft（2022）以及Eisenbach等人（2021）；国际货币基金组织（IMF）的Khiaonarong等人（2025），以及欧洲央行（ECB）的Vermeulen等人（2025），重点在于宏观审慎。9杜菲和杨格（2019）提出了一种情景，即关于网络攻击性质的的不确定性导致金融体系中的流动性枯竭，影响银行和非银行机构。流动性囤积和非银行机构无法获得央行流动性支持线可能导致系统性危机。11强调由于不同原因造成的运营韧性也可以通过这些压力测试进行研究，例如由于物理基础设施不足导致的停电、软件更新故障或由于地缘政治风险而意外取消的银行牌照。4网络银行压力测试3.两种网络压力测试方法主要决策是负责网络压力测试的机构确定该测试是侧重于金融体系的运营韧性还是个别企业的韧性。两种方法都各有优势，应根据其辖区内的制度设置和压力测试的目标由负责机构选择。选择应从一开始就明确表述，以确保在整个测试过程中的一致性。这反映出，在一个设计良好的网络压力测试中，选择其中一种方法几乎会驱动测试所有要素的设在以体系为重点的练习中，分析建立在各个企业的贡献之上，旨在评估整个金融体系的韧性。在以企业为重点的练习中，目的是评估企业如何应对和从网络安全事件中恢复，以及发现这些企业在操作性韧性框架中的缺陷。13练习采用系统整体视角，考虑一些额外的目标，例如帮助参与企业评估其服务运营中断可能对金融稳定产生的影响，通过金融、运营和信心渠道。此类练习可以增强企业对其原子化反应的系统影响及其可能造成的破坏的理解。鉴于企业传统上更关注冲击对其自身韧性的影响，而不是整个系统，这些练习有助于提高企业对这些影响的意识，并使他们熟悉当局对可能源于个别参与者反应的金融系统运营中断的容忍度。此外，每家公司都可能优先考虑恢复自身运营能力，并且可能并未充分考虑其决策可能对整个金融系统造成的外部影响。研究表明，由于与客户之间存在信息不对称，企业相对于社会最优水平有减少对网络安全投资的动机（参见例如Anand等（2022）和Ahnert等（2022）的研究）。全面系统压力测试可以凸显企业在面对共同冲击时网络安全应对的相对弱点，并识别可能的补救需求。系统导向与公司导向方法的区别也影响着与参与公司的关系以及这项活动的规范性程度。在系统导向的练习中，鉴于推导系统评估的复杂性以及缺乏对公司在系统层面的监管预期，可以预见，监管机构将对学习和学习视角更加重视，这既适用于监管机构，也适用于公司。考虑到监管机构可能不如市场参与者那样擅长确定建立应急或缓解措施以应对新颖或高度技术性漏洞的最佳方式，这种探索性练习可能为公司自身提供更多空间，以便就练习的设计提供反馈和意见。相反，公司导向的练习更有可能更重视审慎方面和可能的后续行动；因此，可能需要在公司和监管机构之间维持一定的距离。然而，这可能会受到特定司法管辖区传统监管文化的影响，允许在通常情况下采取更合作的办法。1413在此背景下，Prenio和Restoy（2022）主张明确认识到需要执行操作韧性政策的系统级评估、监控和测试。14这个区别并不明显。例如，丹麦的这项练习被设计为一个学习机会，尽管它侧重于监管，并为参与的公司产生了个人跟进报告。因此，它没有触发监管行动或制裁。银行网络压力测试5动机进行网络压力测试权限银行DFSA.营运韧性压力测试是金融政策委员会（FPC）中长期战略的核心部分优先事项。对FPC最有相关性的操作事件是那些最具潜在影响力的。具有系统性的影响。例如，源于可以跨系统关联的风险的事件。金融体系，如同网络攻击。数字依赖性、威胁级别以及长期广泛的潜在后果信息和通信技术中断意味着需要加强运营韧性。确保企业能够管理中断，因此后果对公民来说是可控的，社会因此陷入停滞的风险也较低。要求指南。检测并解决受监管银行的操作弹性不足问题框架，包括源于网络风险的那些，是欧洲央行单一监管机制之一。来源：英格兰银行（2023b，2025），欧洲央行（2024）和迪拜金融服务局（2024）。如表1所示，三个选定的权威机构清楚地指出了其压力测试的动机，并根据此采取系统或公司聚焦的方法。英格兰银行和欧洲央行进行的压力测试分别代表了前两种方法，反映了监管机构的要求。丹麦的情况将主要的监督方法与一些系统性要素相结合：其压力测试重点在于单个金融机构对大规模信息和通信技术（ICT）中断的管理，但额外的动机是认识到严重的ICT中断可能影响金融体系的金融和运营稳定性。因此，领导这次测试的权威机构是审慎监管机构(即DFSA），而丹麦克朗国家银行是咨询合作伙伴。15以下小节描述了网络压力测试的主要构建模块，即规划（第4节）、实施（第5节）以及后续和披露（第6节），并突出了选择采用以系统或公司为导向的方法的后果。表2总结了这些差异。总结银行网络压力测试的关键特点系统化练习专注公司的练习评估企业运营韧性，重点在于事件，系统范围内潜在风险最高识别运营中的弱点企业韧性除了对企业的直接影响外，考虑财务稳定性后果评估企业将如何应对和从事件中恢复过来。关系与可能会以合作的方式进行参与。很可能保持一定距离。参与企业决定加入锻炼更有可能是自愿的。更有可能是强制性的。15在第一次网络压力测试（DFSA（2024））之后，进行了第二次网络压力测试，以调查类似中断如何在该行业各方之间得到管理，并确定行业层面的后果。由于第二次测试的系统关注点，DFSA与丹麦国家银行合作进行了测试。计划于2026年发布关于测试的公开报告。6网络银行压力测试样本相对较少的企业，包括系统性参与者（包括选定市场/活动）银行和非银行机构；包括国际货币基金组织（FMI）很有用。相对较大数量的国内银行无关紧要（该测试是根据系统性地可能，尤其是如果银行的数量为重要企业，包括其他企业以提供系统公司对金融影响的更广阔视角生态系统所有参与者享有同等的市场。特定企业活动范围高级/专业（适用于两家公司）至少，负责金融的权威机构至少，监管机构金融行业稳定性；这次演习可能涉及相应其他类型的当局参与企业（例如保险公司、金融市场监管体系（）；如果这项运动也涵盖跨境活动，可能涉及，到不同程度，相应的海外当局。最初震惊系统级冲击；当局也可能选择公司认为冲击波击中他们，而不是情景仅仅对市场的一个狭窄部分造成冲击，或者更广泛的一个（即窄或宽的情况），但至少，干扰必须具有可能对财务稳定性产生影响。收集反馈相对较短，包含开放式问题。使用现场决策元素；研讨会与行业层面的结果企业；企业与当局的讨论。基准测试可行性取决于样本（有多少公司）可能被当局用于识别在整个相似范围内各方内容均涵盖在此练习中）。异常值有限的，只包含汇总结果和主要教训。非常有限-没有企业层面的披露一般课程可以包括在出乎意料，但公司可以自行确认很可能，尽管没有自动谨慎的响应时的矫正步骤含义，无需额外的首字母大写。流动性要求频率可能对进行连续几轮有重要价值参与公司的组成可能发生变化随着时间的推移，以及情景的变化。可能有必要进行更多测试随着时间的推移-情景可能会改变随着时间的推移来源：作者阐述。4.规划网络压力测试本节回顾了在演习开始前，当局制定的网络压力测试的要素。这些决策涵盖了演习的范围，包括活动和公司样本，以及压力情景的设计。对于当局和公司而言，还需要估算并提前提供资源需求，以满足对大量具有专业知识的员工的需求。最后，进行网络压力测试可能需要涉及有能力的当局。银行网络压力测试7不同金融领域，可能还包括司法管辖区，以及理想情况下，具备能力的网络安全机构。因此，应提前探索支持此类合作的制度安排。4.1范围首先，当局需要确定一个合适的银行样本，考虑到国内金融行业的结构。在全面性和实用性之间取得平衡是至关重要的。例如，当局可以决定只包括系统性的银行样本，或者其监管下的所有银行——这一决策在银行集中度较低的行业中尤为重要。对于以系统为中心的练习，覆盖系统中的关键节点至关重要，这意味着不仅包括银行，还包括其他金融机构（以及可能的其他非金融机构。16公司也应纳入范围。测试中包括的公司数量应足以覆盖研究中的活动/市场。17当局可能会选择用较小的金融机构补充参与系统的银行和其他金融公司。这种扩展的好处还在于，它使当局有机会研究不同规模的机构是否会有不同的反应。此外，为了更好地捕捉金融系统（包括金融市场基础设施）中冲击的传播，金融市场基础设施（FMIs）可能特别有用。18相比之下，在以公司为焦点的练习中，涵盖银行的全面性更为重要。这不仅回应了负责机构的审慎要求，还允许其对各公司的结果进行基准比较。这一步骤特别有助于帮助识别同行中的异常值。反过来，基准比较可以提醒当局注意练习行为（例如，一些银行在评估初始冲击的影响时可能过于乐观）或公司响应能力（例如，某些银行的恢复时间可能过长，无法接受）的不足。所选的三项练习提供了当局如何选择实施这些选择的例子（见表3）。样品企业权限样本银行DFSA.普适性和专业银行，以及来自保险和互助储蓄行业代表谁是受影响服务的客户，以这种场景进行模拟的？FMI加入了研讨阶段。四家银行（丹斯克银行、日德兰银行、纽克罗伊特银行和南丹银行）和三个数据中心（JN数据、BEC和启动，因银行特定原因（如重组或重要性变更）略有排除状态。28家银行的子样本进行了更深入的测试。来源：英格兰银行（2025年），欧洲央行（2024年）和迪拜金融服务局（2024年）。尽管审慎监管机构可能会发现将大量银行纳入演习是有益的，但对于一部分银行进行额外审查可能是合理的。这种情况通常适用于系统重要性银行，但监管机构也可以应用其他标准。例如，在欧元区中央银行的演习中，窄样本中的银行被选中以涵盖不同的商业模式和地理位置，以反映更广泛的欧元区银行体系，并确保与其他监管活动的充分协调。在丹麦，尽管演习具有审慎性质，但按照设计，样本并未包括所有16例如，这些至关重要的非金融企业可能是系统银行依赖的第三方服务提供商。17分阶段进行这项练习，使得参与的公司被分成不同的群体，这些群体在不同时间开始练习，也可以增加未来测试的容量。18云计算服务提供商在金融机构提供服务的过程中正变得越来越重要。Koh和Prenio（2023）讨论了测试其运营弹性的可能方法。8网络银行压力测试银行。相反，一些银行以及一些非金融企业被选中，因为它们被认为对丹麦的金融基础设施至关重要。相关问题是公司参与是自愿的还是强制的。在系统性关注的活动中，前者更有可能。公司可能因为个别监管原因没有被邀请参加个别测试，但目标是随着时间的推移包括所有系统重要性公司，并为每个测试或测试的一部分实现一个代表性样本。在研究中的例子中，英格兰银行的压力测试是自愿参与的，但监管机构在寻找愿意提供系统观点的参与者时没有遇到任何问题。参与的公司完成了一份报告，该报告由其董事会审查，并可供监管机构查阅，尽管这次测试并非主要是监管性质的。第二个维度是审查活动的范围。虽然在原则上，一家公司的业务各个方面都可能包含在压力测试中，但实际考虑，如可行性和资源限制，要求监管机构建立某种形式的优先级。因此，监管机构可以选择以下两种方式来细化活动的重点。他们可能将其限制在特定公司的敞口上，例如与特定市场或产品相关的敞口，或者限制在单一司法管辖区或货币上 ,尤其是如果该公司在全球范围内运营。这种方法允许监管机构评估所选活动/市场/产品对参与公司的综合影响。或者，监管机构可以根据活动对参与公司的相关性来调整范围，例如，选择只包括构成该银行核心活动的业务线。在以系统为中心的练习中，第一个选项更合适，因为它使得当局能够按可比基础（即对选定市场的暴露）评估各公司的影响。这确保了在跨公司分析中，公司的结果是可比的。相比之下，在以公司为中心的练习中，优先考虑每个公司的核心业务活动更为合适。但缺点是，在这种情况下，公司间的汇总和传染分析可能无法实现。4.2资源与制度安排资源限制是影响网络压力测试执行的重要维度，对企业和当局而言均是如此。此类演练可能持续数月。19对于当局来说，这些测试需要不同部门的员工参与，例如信息技术、金融稳定、法律和市场基础设施部门。重要的是，参与这项活动的员工需要具备适当的专业水平，如果内部没有这种专业能力，当局可能需要依赖外部顾问。因此，较大的当局可能存在规模优势，特别是如果他们可以依靠内部专业知识或从相关当局获取这种专业知识的话。类似的跨学科专业知识对于公司至关重要。业务单位的参与对于确保严密的审查和管理层的支持至关重要。权威机构还期望公司的资深管理层和董事会成员至少了解结果，并可能签署压力测试的结果，以确保公司有足够的承诺。此外 ,还期望他们与相关内部或监督团队讨论可能的后续行动。在以监督角度为重点的以公司为对象的练习中，这些后续行动可能更明确地正式化，但在所有情况下都是相关的。此外，负责网络压力测试的当局需要考虑是否需要其他金融监管机构参与。这对于以系统为焦点的演练尤为重要，因为这些演练按照设计可以涵盖不同类型的公司，甚至可能涉及不同的司法管辖区，这取决于对初始冲击的性质和演练范围内的活动的假设。因此，主导机构可能需要与其他金融公司的监管机构进行协调。此外，19例如，欧洲央行（ECB）的演习于1月开始，7月结束，其启动前进行了广泛的准备工作。银行网络压力测试9中央银行可能参与针对系统层面的压力测试，鉴于他们的金融稳定性视角。20在这方面，该演习的设计也需要明确中央银行是否仅以市场参与者的身份加入，还是也作为能够启动应急响应的政策制定者（例如，在遭受网络攻击后存款人恐慌的情况下提供紧急流动性援助）。将跨境元素融入网络压力测试更具挑战性，这不仅仅是因为各国缺乏共同的实践，还因为保密限制。考虑到这些限制 ,目前可能只能采取更为谨慎的方法。这包括仅考虑协调政策，以便在应对同时影响多个司法管辖区网络攻击时，通知当局可能面临的挑战。此类实践示例是G7当局定期进行的跨境协调演习。这些演习旨在加强G7当局在重大跨境事件发生时的沟通和协调实践（G7（2024））。21类似的安排也适用于欧盟的当局。22超越金融部门监管机构，设计网络安全压力测试应吸纳有资质的网络安全机构参与。这将增强测试的现实性，并优化压力测试场景的设计。4.3情景设计压力测试练习从一次疑似网络攻击开始，其强度高于常规事件管理，这与任何压力测试中冲击的典型严重但可能出现的性质相符。在网络安全压力测试中，场景基于描述中断的定性叙述。在假设中的现实主义是有用的，因为它使公司能够采用自己的数据来模拟影响。例如，中断原因的不确定性可以增加场景的现实主义，并确保公司考虑恶意和非恶意原因。然而 ,尽管技术性强，但场景的详细程度或规范性不如偿债能力或流动性测试，鉴于网络安全压力测试更多是定性的，以及每家公司的技术和操作流程都具有独特性。关于当局公开报告中关于场景的披露也可以预期将相当有限，反映了将企业脆弱性暴露给恶意分子的风险（参见表4,了解研究中的三个案例的描述）。2320例如，这种情况发生在第二次丹麦测试中，这项测试是由DFSA和其他机构合作进行的。21作为该集团提高网络攻击事件中跨境协调能力的努力之一，七国集团财政部长和央行行长们就协调集体应对的结构和关键要素采纳了非约束性指导。针对金融领域的网络事件（G7（2025））。22系统网络事件协调框架（欧盟-SCICF）旨在促进欧盟各机构间的沟通和协调，并在出现可能威胁金融稳定性的网络事件时，与国际层面的关键利益相关者建立联系。请参阅/。23如表4所示，关于该场景的披露非常有限。DFSA（2024）提供了一些更多信息，突出了该场景由不同阶段组成，这些阶段代表了冲击的逐步加剧。特别是，在第一阶段，银行客户发现他们的账户被错误地存入和取出金额。由于原因不明，当时公司的任务是找出原因、纠正错误并决定如何继续运营和为客户服务。在第二阶段，发生了一场供应链攻击，即关键IT运营的第三方提供商受到攻击。根据DFSA的指导，提供商需要大约一周时间来开发一个使系统再次工作的解决方案。这意味着受影响银行的关键功能至少在七天内不可用。公司不允许假设他们可以自行恢复系统。有关针对金融机构的网络安全压力测试的假设场景示例，请参阅ESRB（2022）。10网络银行压力测试叙事场景记叙权限样本银行DFSA.该场景聚焦于英国市场。企业被要求测试三种场景变体：（i）疑似网络攻击；（二）确认的网络攻击；以及（三）更长时间的网络攻击场景，每个影响交易结算的数据完整性。一个中心场景被用来模拟金融影响，但可以测试场景严重性的变化。通过（较为简略的）变体问题，取代具体场景的假设。具体的、广泛的、长期的信息与通信技术中断每个银行的核心理念系统。来源：英格兰银行（2025年），欧洲央行（2024年）和迪拜金融服务局（2024年）。系统聚焦的压力测试需要构建一个围绕整个行业冲击的情景。指导还需要限制公司假设它们可以独立恢复正常运营，以反映这些练习核心的金融系统相互关联性。由于不同公司在情景中扮演不同的角色（例如，一些是受影响服务的提供者；另一些是这些服务的使用者），需要准备多个叙述来代表这些不同的角色。与公司的预测试合作可以降低公司无法将情景应用于其自身商业模式和系统的风险。相比之下，在以公司为重点的练习中，情景可以不那么详细。以忽略第二轮和传染效应为代价，一种可管理的方法是要求公司假设其核心业务受到冲击的影响，但金融系统的其他部分不受影响。此外，在一个以系统为重点的练习中，当局还有调整情景可能具有的狭窄范围的选项，即情节包括跨越多个市场或管辖区的中断，或者仅涉及一个。情景范围的狭窄有利于描述更精确，公司可能会发现量化影响是可行的。然而，与受更多部分/市场直接或通过传染影响的现实生活情况相比，这种狭窄的范围也可能减少冲击的整体影响。为了提高情景的实用性，当局可以采取不同的策略。其中之一是包括初始中断的替代规格。通过在各个规格中增加冲击的强度——例如通过延长其持续时间或逐步披露其性质——可以帮助识别关键阈值。24另一种方法是直接调整由网络事件直接针对的代理。在一项具体规定中，要求每家公司在第一轮考虑自己为直接目标；在后续回合中，则变为在准备场景时，无论是针对企业还是系统导向的演习，当局可能决定起草一个初步版本并与参与企业共享以供讨论。企业的反馈有助于确保场景与他们的具体情况相关。在探索性测试中，利用企业专业知识来识别广泛场景中最具影响力的方面，也有助于发现事先未知或未预料到的影响。这种协作方法在涉及企业数量较少时尤其有效。采用这种协作方法也可能反映了特定管辖区域内传统银行监管方式。24其他调整场景严重程度的手段包括关于公司应对攻击的时间假设；目标数据的范围和量；以及威胁被控制之前的时间长度。25尽管增加压力因素的强度（例如冲击的持续时间和强度，或受影响实体的数量）允许对不同规格进行比较，但改变直接受到冲击的代理使得比较变得更加困难，因为每个规格都反映了受冲击公司的独特特征。银行网络压力测试115.互联网压力测试的实施及结果网络压力测试的活跃阶段开始于公司收到情景并激活对初始冲击的响应时。从那时起，当局开始审查响应计划的质量以及它们在最小化公司（以及如适用，整个金融系统）的信心、运营和财务影响方面的效果。当局测试公司在各个层面的应对冲击的能力，例如激活响应计划和识别受影响的服务的分析；与外部利益相关者的沟通，26包括声誉风险管理以及应急流程和缓解计划的实施。在整个演习期间，当局可以与公司密切且反复地接触，包括确保他们正确理解情景和所需反馈的类型。该演习也可以分为单独的阶段，要求公司在每个阶段提交回应。分阶段进行演习还可以提高其现实感。例如，在DFSA演习中，分阶段也用于验证情景按预期工作，以及对情景有一个共同的理解。随着时间的推移，随着当局和企业对网络压力测试经验的积累，这些演练可以扩展到在测试的某些部分融入实际决策元素。27这次改进对于测试跨公司合作尤为重要，这在静态环境中更难以有效地复制。28由于网络压力测试的定性性质，公司可以通过由当局设计的问卷提供描述性反馈。这些问卷的长度和详细程度可能不同。当练习集中于个别公司时，问卷可能更详细，可能更长，以支持审慎当局进行评估。相比之下，对于系统导向的练习，开放式问题更合适，因为这种格式最大化了吸引公司探讨场景影响的好处。这也更好地适应了不同类型的参与公司（即不仅限于银行）。无论采取何种方法，定性答案可能更适合把握网络攻击对运营韧性的影响。29特别是，定性回复更有可能更好地反映公司自身的解释以及潜在影响范围。相比之下，财务建模只能代表对颠覆性影响的单一解释，并且可能非常主观，基于在影响公司业务的网络攻击中可能受到影响的非常广泛的变量所做的假设。权威机构可以通过同行benchmarking或与企业的专门研讨会来对这类定性答案的可靠性进行质量控制。此外，企业可能需要提供由监督机构分析的文件，以支持其对问卷调查的回答。银行被认为对系统性重要的，可能受到额外的审查，包括要求提供更多文件以支持其结果，并且可能受到质疑。26在专注于企业的练习中，沟通可以限制在告知单个企业的韧性。在专注于系统的练习中，沟通还需要涉及到整个金融系统的韧性。因此，相关部门可能需要参与此类沟通。27另一种方法是，通过一个共同场景将网络压力测试与其他实时训练联系起来。28在丹麦进行的第二次测试涉及了如此多的现场元素，用以测试受ICT中断影响的演员如何进行应对和恢复时的合作。29问卷调查的主要定性性质不应阻止当局收集有关金融影响建模的信息。这些信息预计将比金融压力测试中的信息更为有限，有助于补充公司提供的定性反馈。12网络银行压力测试当局。例如，在欧央行（ECB）的演习中，狭窄样本中的28家银行接受了现场检查，以验证其回复。在英格兰银行的情况下，其测试通过关注识别影响网络事件可能对金融稳定造成影响的程度的因素范围和相对重要性来调查其系统性重要性。一些回复要素可能使用业务连续性指标进行展示，例如如何以及多快企业估计可以恢复正常的信息和通信技术（断开/重连）运营的信息，或者企业如何以及在多大程度上能够维持受网络事件影响的临界业务功能。30长时间的恢复时间或未成熟且未经证实的流程将令当局和企业都不满意，并可能促使企业升级其应对系统。31例如，早期发现表明，在2024年欧洲央行（ECB）网络压力测试的银行中，那些在演习之前在网络安全方面投资不足的银行在演习之后将其网络安全投资增加了比其他银行显著更多（Abidi等人，2026年）。当局还可以研究各银行结果分布情况，以识别相关模式。例如，当局可以要求每家银行提供受影响最大的业务线（例如贷款、存款和批发融资）的信息。32这有助于阐明在压力测试中出现的安全漏洞与其他银行特征（如其商业模式或对特定服务提供商的敞口集中度）之间的联系。在这种情况下，文献中的发现表明，某些特征会使银行面临网络攻击，例如其规模、面临的地缘政治紧张局势、内部治理质量或其运营司法管辖区内与网络相关立法的强度（国际货币基金组织，2024年）。当锻炼包括对影响的系统评估时，结合特定公司结果至关重要。当局可以通过要求参与的公司不仅提供数据，而且参加与当局和其他公司一起讨论他们响应的工作坊来实现这一点。33通过这些安排，企业和当局可以共同分析运营、财务和信心相关的影响。当局还可以在业务连续性计划、ICT恢复和沟通等材料的基础上，审查企业的响应，以识别个体组织以及所有参与者的关键学习点和最佳实践。尽管这些流程并非旨在产生一个单一的总数来估计整体影响，但它们仍然可以提供对整个系统网络中网络事件严重性的宝贵见解。最后，系统性的压力测试可以包括传染性和第二轮效应——这有助于评估参与公司第一轮联合反应的有效性。然而，像传统的偿债能力和流动性压力测试一样，这种分析的扩展是复杂的，它甚至可能是30关于关键商业功能的讨论，参见BCBS（2021）。31特别是，公司会关注恢复点目标（RPO）和恢复时间目标（RTO），压力测试可以帮助揭示这两个方面的不足。理想情况下，监管部门需要能够挑战公司可能默认满足RTO和RPO以及保持业务连续性目标的结果。32在此步骤之后，当局可以通过计算与最相关的业务线相关的损失来尝试量化经济影响。这种计算超越了网络压力测试的运营弹性关注点，并不简单。在这一步骤中的一项挑战是，尝试衡量定量影响仅在网络攻击后产生微小的损失（IMF（2024））。对这类事件进行建模也很复杂，因为网络攻击相对罕见，其影响也可能不会总是被披露。此外，对经济后果的适当评估必须包括直接和间接影响，而后者特别难以估计。33保护此类讨论的机密性至关重要，公司可能需要提前签署保密协议。银行网络压力测试13更甚是在网络压力测试中，鉴于缺乏成熟的规范及其本质上的定性，但文献中已经概述了一些尝试。346.跟进和披露在完成练习后，当局可能会向参与公司提供关于他们在练习期间表现和可能改进领域的个别报告。这些公司特定报告属于机密，以保护公司信誉。除接收个别报告外，公司可能还被要求采取一些补救措施，即使压力测试没有得出通过或未通过的结论。在公司针对性练习中，鉴于对公司具体准备工作的强调，监管者可能在他们的日常监督活动中继续与该公司保持接触。例如，在ECB的情况下，预期的结果是该年度的监管审查与评估程序（SREP），但它并不会意味着资本要求或监管评分的变更。相反，即使DFSA练习是由监管当局主导的，它也没有导致任何直接监管措施，因为DFSA更注重压力测试的学习方面。在系统导向的练习中，对参与企业的后续跟进可能着重于确保所有企业和金融市场基础设施将压力测试的结果与自身运营韧性测试的结果以及真实事件的教训结合起来考虑。例如，英格兰银行期望所有企业考虑这些发现对其自身业务的影响，反思如何改进潜在金融稳定性情景的规划和准备，并将这些教训融入持续改进的循环中。然而，由于这次练习并非作为监管周期的组成部分而设计，因此没有期望那些改进措施会在之后直接由监管机构进行评估。然而，这些材料可以被企业和监管者作为其在持续运营韧性工作中的一个参考。总的来说，在它的各种网络压力测试中，英格兰银行倾向于优先考虑以行业主导的举措形式进行的后续跟进，这些举措旨在提高系统韧性，为持续的行业举措提供信息或降低对金融稳定性的风险。35超出向参与公司报告的范围，关于网络压力测试的披露预计将非常有限，尤其是在以公司为中心的练习中。36这反映了用于分析收集的信息以及结果的敏感性。虽然流动性压力测试的背景下也会出现引发自我实现的危机的担忧，但与网络风险相关的恶意攻击风险进一步增加了谨慎的需要。34例如，Kotidis和Shreft（2022）通过模拟网络攻击来量化其影响。他们研究了初始冲击如何降低一些公司处理支付的能力（第一轮效应），导致其他银行收到的支付减少（第二轮效应），使他们面临储备金不足的风险，无法发送自己的支付（潜在的第三轮效应）。Eisenbach等人（2021）对美国五大银行的网络攻击传染效应进行建模，以量化对其他银行的溢出效应。在所选的练习中，英格兰银行（2025）描述了初始冲击可能传播至整个金融系统并导致金融不稳定的渠道。35例如，这次后续跟进可以采取对计划断开和重新连接FMI系统进行指导的形式。36在某些情况下，披露可能是由于立法对领导活动的权威机构施加的透明度要求的结果，即使只需要公开发现的高层信息。例如，欧盟法律要求欧洲央行至少每年对受监管银行进行一次压力测试。欧洲央行公布了这些测试的结果，以提高透明度和市场纪律，并将其纳入压力测试报告中。在开展主题性压力测试，例如2024年进行的网络风险测试时，欧洲央行可能仅沟通汇总发现和结论。在2024年的主题性压力测试中，欧洲央行在结果披露上有限制，表示银行已建立应对和恢复框架，但仍存在改进领域。欧洲央行还提到，压力测试有助于提高银行对其网络安全框架的优14网络银行压力测试尽管如此，一些公开披露仍然有益。分享压力测试的关键成果可以帮助未参与这项练习的公司——以及其他关键领域的公司——评估并加强它们的网络应急计划。压力测试的资源可以被开发成一个工具包，供公司进行桌面演练。这还表明了监管部门对网络弹性的兴趣，并加强了对金融公司董事会成员的信息，即准备是重要的，并且是监管部门所期为了强调这些观点，并提醒企业和公众关注处理网络风险的复杂性和重要性，当局可以考虑发布压力测试中的通用经验教训。这一解决方案适用于企业层面和系统层面的演练。例如，DFSA发布了对任何企业都具有相关性的五项关键网络风险教训，无论这些企业是否参与了网络压力测试。这些教训包括在恢复正常运营所需时间上做出保守假设的重要性；事前准备的关键作用；认识到初步冲击的影响会随着时间的推移而累积，因此在演练中包含足够长的预期时间以充分捕捉其影响的重要性；沟通在内部和与外部各方，如客户和对手之间的关键作用，以及不同业务部门之间以及它们与IT部门之间进行内部协调的重要性，以实现有效的响应。对于系统导向的练习，公开披露可以帮助公司更好地识别和应对个别公司薄弱的网络安全响应对整个系统可能造成的溢出效应。特别是，这项测试为公司提供了更好地理解当局对在运营弹性规划和准备过程中考虑金融不稳定性的期望的机会，并考虑在应对网络事件时如何保持金融稳定。例如，英格兰银行强调了在公司应对中内部化系统级影响的重要性，以及优先考虑保持金融稳定行动的必要性（英格兰银行，2025）。为了指导公司理解当局的偏好，它根据其2022年网络压力测试的部分发现，开发了其关键支付的影响容忍度（英格兰银行，2023a）。37另外，根据特定司法管辖区现有的谨慎做法，当局可能会利用其网络压力测试的发现来为金融机构开发一套开展桌面演习的工具包。最后，鉴于各公司响应质量可能在不同年份有所提高，当局可能希望重复进行网络压力测试。不同年份的测试不必相同，从而保留重复参与者的新鲜感。当局自身也可能会增强自身进行此类测试的准备，并随着时间的推移完善其方法。这样，他们可以使练习更有价值，从而更吸引公司。当参与是自愿的，而当局需要维持行业的支持时，这一点尤为重要。此外，无论是重复进行测试，还是在分阶段进行测试，都能增加其容量，为更多公司提供加入的机会。7.结论性反思尽管仍处于初级阶段，但网络风险压力测试已成为当局和金融公司增强应对日益频繁且复杂的网络攻击的操作韧性的有效工具，同时与其他当局可用的工具结合，以监控和提升操作韧性。37例如，当局可能会鼓励企业选择变通方案或替换服务，以优先完成对金融稳定至关重要的交易，即使这意味着不能按时间顺序服务客户。英格兰银行（2025年）强调了金融服务行为局关于公平对待客户的声明是如何直接回应了人们认为的以金融稳定为重行动的障碍。银行网络压力测试15韧性。此外，可以采取专门的压力测试来解决一系列对运营韧性的冲击，这超出了网络事件或网络攻击的范畴。目前还没有为当局设计和管理这些演习的既定模板，但已经可以定义两种独特的途径，即重点关注单个企业层面的影响，或者关注（国内）金融部门的更广泛影响。这两种方法都有其优点，但也伴随着独特的挑战。关键在于，在规划网络压力测试时，当局应选择与他们的目标最吻合的方法，并据此设计关键特征。这确保了演习各个组成部分之间的内部一致性，这对于为企业和当局提供有用的经验教训至关重要。持续的改进和披露网络压力测试的方法论方面可以帮助提高意识并建立最佳实践。这些措施也可能有助于增加公司对网络韧性的投资，减少“最薄弱环节”危及整个金融系统稳定的风险。将网络压力测试反复进行，而不是将其视为一次性的事件，不仅可以加强公司的反应，还可以加强当局设计和实施这些测试的能力。迭代测试可以提供对不断演变的风险的有价值见解，并确保压力测试保持相关和有效，包括通过满足新的监管优先事项并通过探索新的潜在脆弱区域来调整其范围。公司对网络事件的部分应对措施是向内部和外部利益相关者进行有效沟通，包括旨在管理声誉风险的目标。在系统性的冲击事件中，公司的沟通需要由当局补充，以提供对整个系统韧性的评估。尽管迄今为止进行的网络压力测试可能强调了公司的沟通计划，但完整的测试还需要包括当局的补充计划。38展望未来，实际考虑因素，主要与保密限制相关，可能会使进一步发展变得具有挑战性。然而，虽然当局可能会继续发展他们现有的方法，但在网络压力测试方面仍有几个可以进一步发展的领域。例如，未来的测试可以纳入跨境和更广泛的跨行业中断，以更好地反映金融体系的相互关联性。广泛的参与，包括非银行金融机构和关键第三方提供商，是有益的，以确保对系统性脆弱性的全面了解。针对公司的演练也可以从其设计中引入一些系统性元素受益，考虑到网络冲击在金融体系中的传播风险很高。参考资料阿比迪，N，L.冈巴科塔，C.科克，L.马迪奥，I.米格尔-弗洛雷斯，A.帕蒂达（2026年）：《数字风险治理：来自网行，七月。葡萄牙银行（2024）：“网络韧性测试：葡萄牙银行的工具与经验”，第4号框金融稳定报告，38这里有几个此类协调安排的例子。例如，在英国，当局响应框架（英格兰银行（2024c）），该框架将英格兰银行，包括审慎监管局，与金融行为监管局及其Majesty的财政部相连接。在欧盟，如前所述，有欧盟-SCICF。16网络银行压力测试 ——–（2023b2022年网络压力测试的主题发现，3月。——（2024b基于CBEST威胁情报的评估：CBEST参与者实施指南。