培育数字化运营韧性,夯实数字金融发展
上海立信会计金融学院 吴婷 万晴瑶
数字化转型是实体经济把握新一轮科技革命和产业变革新机遇的战略选择,也是我国经济实现高质量发展的重要支撑。党的二十大报告继续强调,“建设现代化产业体系,坚持把发展经济的着力点放在实体经济上,推进新型工业化,加快建设制造强国、质量强国、航天强国、交通强国、网络强国、数字中国”。近年来,我国数字化转型和数字经济飞速发展,为经济发展持续蓄能,成为驱动高质量发展的新引擎。《全球数字经济白皮书(2022)》显示,我国数字经济规模已实现7.1万亿美元,规模连续多年位居世界第二。
伴随着全社会的数字化转型持续深入,金融业服务实体经济发展也面临着更高的要求,产业数字金融获得蓬勃发展。《关于银行业保险业数字化转型的指导意见》提出要大力推进业务经营管理数字化转型,积极发展产业数字金融,全面深入推进数字化场景运营体系建设。通过运用数字化技术将企业的经济交易行为映射为可信的数据资源,利用相关算法实现更广范围的企业信用评估,进一步促进金融产品和服务的下沉与普惠。围绕数据要素激活和数据资产化展开的产业数字金融运营与交付严重依赖于网络信息系统的正常运作,因此,培育数字运营韧性是数字金融高质量发展的关键。
运营韧性是指组织作为一个整体,对运营中断事件进行预防和响应,以及迅速恢复的能力。数字化运营韧性意味着金融机构从技术角度建立、确保和审查其运营完整性的能力。在网络空间命运共同体背景下,建议从金融系统、数字化产业链和社会生态三个层面培育数字化运营韧性。
金融系统层面
一是提高金融市场基础设施的网络韧性。金融市场基础设施作为金融系统网络的枢纽节点,是金融市场正常运行的根本前提。自金融业数字化转型以来,重视并提高金融市场基础设施的网络韧性是一项重要议题。2016年6月,支付和市场基础设施委员会(CPMI)和国际证券委员会组织(IOSCO)联合发布金融市场基础设施网络弹性指南。我国的金融系统基础设施包括金融资产登记托管系统、清算结算系统(包括开展集中清算业务的中央对手方)、交易设施、交易报告库、重要支付系统、基础征信系统等六类设施及其运营机构。保障并提高上述金融市场基础设施的网络韧性是数字金融蓬勃发展的重要基础。
二是系统和全面地审查影响关键业务交付的运营脆弱性。建议动态评估漏洞的实质性影响,保持风险应对的前瞻性与灵活性。影响数字化运营的因素复杂且随着时间推移逐步演变,为了增强风险识别的前瞻性,有必要基于时间范围视角进行风险识别。例如,可考虑从时间维度增强风险识别的前瞻性预测,区分当前重大或未来2-3年内可能成为实质性的中期风险,以及3-5年后成为实质性的新兴风险因素。
三是定期进行数字化运营韧性计划测试。金融机构应建立数字化运营韧性管理计划并定期进行数字化运营韧性测试,以发现计划的不足和差距,以及对现有计划的持续优化。通过情景模拟,假设发生了运营中断事件,金融机构将如何有效及时响应、控制损失和迅速恢复。在设定具体风险情景时,可以考虑组织内部、整个金融系统以及整个社会可能发生的风险事件。情景测试计划应充分考虑现实的威胁舆情信息以及公司以前的经验教训,并随着时间演变进行动态调整。
数字化产业链层面
一是强化对外部第三方风险的防范与预警。金融业的数字化转型意味着金融机构与外部第三方的外包服务不断增加,来自第三方供应商的风险也不容忽视。例如,2020年12月,有黑客攻击者通过网络安全服务商SolarWinds公司入侵到一些大型金融机构的网络系统。2021年1月,新西兰储备银行报告称,该银行用于共享和存储某些敏感信息的第三方文件共享服务被非法访问。事实上,外部技术服务商的安全性对金融机构的数字化运营影响正在不断凸显。IBM的《数据泄露成本报告2022》显示,45%的漏洞发生在云服务中,且28%的关键基础设施组织经历过破坏性或勒索软件攻击,其中17%的网络安全事件是因商业合作伙伴被破坏而导致的入侵。因此,金融机构在制定数字运营韧性战略时,应该要求合作伙伴具有一定的运营韧性管理能力,并对其进行持续的监督与管理。
二是识别和确定系统重要性技术服务商,防范系统性的数字运营中断。建议从技术替代性和市场集中度两个维度评估系统性重要性技术服务商。技术替代性包括某项关键技术的复杂性或先进性导致的供给稀缺,或者因高额的转换成本而导致的技术替代性弱。市场集中度则体现为金融市场基础设施依赖的关键技术服务商,或者依赖该技术服务商的系统重要性金融机构数量较多。
社会生态层面
一是建立网络安全事件的匿名汇报机制。完善强制性的网络安全事件汇报机制。明确设定“重大网络安全事件”的标准,上报标准应当至少包含以下3个方面的“重大性”指标——核心服务中断所影响的用户数量、事件持续的时间长度以及受事件影响的地理分布范围大小。绝大多数情形下,鉴于网络安全事件对组织声誉存在潜在负面影响,组织不愿意主动对外披露其网络攻击事件。考虑到这些顾虑,建议建立一个网络攻击事件的匿名汇报平台,让全社会多行业的机构毫无顾虑地共享网络安全舆情信息。
二是不断完善数字化应用的安全技术标准。截止目前,全国信息安全标准化技术委员会已经制定了一系列的信息安全技术标准,基本涵盖了关键信息基础设施网络安全控制、应用软件安全、个人信息安全、可信计算体系结构、移动通信职能终端操作系统安全技术要求、软件供应链安全要求等重要领域。未来,随着数字化应用技术革新及其应用场景的丰富,还需要继续深入完善相关的安全技术标准,为企业组织的数字化运营韧性管理奠定基础。
三是建立多部门协同的网络韧性管理计划。金融系统的正常运营需依赖于关键信息基础设施(如网关、数据中心、云计算等)及其关键社会基础设施(如电力能源等),因此,多部门协同确保整体运营安全是必然选择。因此,全社会多部门合作建立一个全面的测试计划,以定期和频繁地检验网络韧性框架的有效性。
