체계적 사이버 위험 (26-02-27)/Steven D. Baker外.뉴욕FRB

<요 약>

본 논문은 미국 금융 시스템의 사이버 취약성에서 발생하는 시스템적 위험을 추적하기 위한 정량적 프레임워크를 제안한다.

수천 개의 금융 기관과 기술 기업을 아우르는 금융, 경제, 사이버 및 네트워크 데이터를 종합하여, 금융 시스템 수준의 사이버 취약성(SCV:  financial-system-level cyber vulnerability )을 추적하는 지수를 개발한다.

지정학적 위험, 랜섬웨어 및 악성코드 사건, 계절적 요인이 적대적( Adversarial )요소 추정이 현저하게 유도된다.

추정되는 기술적·재정적 요소들은 분포에서 두꺼운 꼬리를 보이는데 단면적으로 SCV는 소수의 대형 기업에 귀속된다.

마이크로소프트, 구글, 시스코, 애플 등 대형 기술 기업들이 SCV의 주요 기여자로 부각된다.

이들 제공업체는 누적 취약점 수가 가장 많으며, 이는 고객 기업에 대한 공통 노출로 인한 재무적 안정성 문제를 시사한다.

서비스 제공자의 SCV는 금융기관과 동일하게 달라져 금융 안정성 위험을 증폭시킬 수 있을 것이다.

이 프레임워크는 광범위한 주체를 사이버 취약성에 대한 종합 평가에 포함시키는 접근법을 제시할 것이다.

 

주제어:금융시스템구조,인덱스,사이버위험,체계적위험,금융안정성

 

 

Abstract

We propose a quantitative framework to track systemic risk arising from cyber vulnerabilities of the U.S. financial system. Synthesizing financial, economic, cyber, and network data that covers thousands of financial institutions and technological firms, we develop an index that tracks financial-system-level cyber vulnerability (SCV) for the financial system. Geopolitical risk, ransomware and malware incidents, and seasonal factors significantly drive the estimated adversarial component. Estimated technological and financial components exhibit fat tails in the distribution. In the cross-section, SCV is attributable to a small set of the largest firms. Large technology firms, including Microsoft, Google, Cisco, and Apple, emerge as key contributors to SCV. These providers also represent the largest cumulative count of vulnerabilities, pointing to financial stability considerations arising from the common exposure to client firms. SCV for service providers co-varies with that of financial institutions, which could amplify financial stability risks. The framework puts forth an approach to include a broad set of entities into an aggregate assessment of cyber vulnerability.

 

Key words: financial system architecture, index, cyber risk, systemic risk, financial stability

 

 

 

SR NO. 1186

sr1186.pdf

2.19MB