《系统性网络风险及其影响量化分析》摘要及导读
因为对网络安全和风险定量分析都很关心,上个月花了些时间将兰德公司Jonathan W. Welburn和Aaron M. Strong合写的 《Systemic Cyber Risk and Aggregate Impacts》 ( 中文名:《系统性网络风险及其影响量化分析》,已首发于本公众号 )翻译过来供大家参考,但这篇论文内容较长(原文近20页,译文约2万字),同时包含不少计算公式,估计会影响到不少朋友的阅读体验,下面择其要点(不含公式计算部分)以方便阅读参考:
- 系统性网络风险 网络空间是一个通过网络联接(依据供应链网络和网络空间中的计算机网络)连接起来的高度相互依赖的组织系统 ,该论文关心的是 Systemic Cyber Risk(系统性网络风险) ,即不只是网络事件对企业自身的财务影响,而是该事件随供应链向上下游传播所造成的巨大影响(和尚未为人了解的级联故障)。
- 论文介绍及主要贡献 该论文将系统性网络风险描述为网络事件后 级联(cascading)故障 、 共因(common cause)故障 或 独立(independent)故障 的结果,其中级联故障是由特定公司发生网络事件后扰断跨网络连接传播造成的,共因故障是由对许多公司共同漏洞的利用造成的,独立故障是由同时发生的许多公司的单个和孤立的网络事件造成的,这3类故障如下图所示。
图1 系统性网络风险的类型 然后,作者 构造了一个级联故障的定量模型,将标准的部门级投入产出分析扩展到网络领域(未整体完成),以估算与给定网络事件相关的潜在经济损失 。这种用投入产出分析来估算公司级事件总损失的方法适用于从环境到健康的各种风险分析应用,对风险分析和计算经济模型有贡献。 2. 以往的网络风险研究成果 在探讨特定类型事件的影响时,劳合社和AIR估算了 网络攻击对一家主要云提供商的潜在财务影响 ,该网络攻击造成的停机扰乱了用户服务。利用行业风险数据和“假如……”(what-if)情景评估,他们使用模拟方法来估算可能的财务损失。他们 估计,持续3至6天停机(outage)的总损失在50亿到150亿美元之间 。 使用网络风险价值(Value at Risk,VaR)方法, 德勤的一项研究估算,荷兰经济每年预计损失100亿欧元,或GDP的1.5%。劳合社估计,网络攻击每年给企业造成4000亿美元的损失 。 根据Advisen数据集中的网络事件样本数据,Aldasoro等人指出, 网络事件在金融行业的发生率很高 。Aldasoro等人还指出, 该行业的低损失表明了监管的成功以及对网络安全实践增加的投资 。 使用结构模型,Dreyer等人使用部门级投入产出分析来估算网络事件后损失在后向链或上游供应链链接之间的传播,以估算事件造成的直接损失和系统性损失。他们发现,结果对输入参数的敏感度很高,损失可能从每年数千亿到数万亿。他们还发现, 网络事件相关的直接损失与系统性损失(包括上游和下游)相比可能相形见绌 。 3. 韧性能力 公司在网络攻击期间保持运营和之后恢复的能力各不相同,这种能力因此被称为韧性。 4. 网络事件分析(假定情形下) 下图显示了为期1天的网络攻击对Visa、Cisco、JP Mogan Chase、AT&T和Ford的潜在影响。每个场景的直接损失、上游损失和下游损失显示为堆叠图。在底部, 网络事件对公司的直接成本显示为一个实心的绿色区域 ;在中间, 供应商的上游总损失用蓝色横线表示 。在顶部, 下游总成本用灰色圆点表示 。
图2 1天网络攻击的潜在影响 如图中的蓝色虚线所示, 事件对上游的影响可能超过对每个公司产生的直接成本 。对于Visa而言,1天中断产生的3300万美元的直接成本可能会导致7700万美元的上游损失。对其它公司的攻击结果类似:Cisco、JP Mogan Chase、AT&T和Ford的上游损失可能分别达到2.09亿美元、1.45亿美元、7亿美元和7.06亿美元。 然而如图所示, 潜在的下游影响远远超过了事件的直接和上游损失 。下游损失反映了这样一个事实,即网络攻击的影响会从每家公司向下传播到其客户,并产生重要影响。在假定情景中,AT&T是最大的公司,其下游影响最大,除了直接和上游影响外,还可能造成200亿美元的损失。值得注意的是,虽然Visa是设想中最小的公司,但它有可能因下游的级联故障产生第二大的总影响,达到130亿美元。此外,与规模相似的AT&T形成鲜明对比的是,福特的潜在下游影响要低得多,为64亿美元。Cisco和JP Mogan Chase分别有近60亿美元和的40亿美元的潜在下游影响。 对这4家公司中每一家遭受1天网络攻击的损失进行估算,揭示了系统性网络风险的惊人潜在影响 。 每家公司直接产生的潜在损失都很大,但可以控制。然而,对于Visa、Cisco、JP Mogan Chase和AT&T等重度相互关联的公司来说,级联故障可能会导致其它公司、组织和个人遭受相当大的损失。 就AT&T而言,我们的方法估计,为期1天的攻击的影响可能达到近200亿美元,这一价值本身相当于2017年美国国内生产总值的0.1%。然而,直接损失和系统性损失的差异因公司类型、行业及其相互关联程度而异。Ford是一家生产最终产品而非中间产品的公司,其相互关联程度较低,导致下游影响与其成本的比例较小。因此,攻击Ford的总潜在成本为74亿美元,大约是攻击规模相似的AT&T的的潜在成本的三分之一。 此外,我们注意到 业务运营的韧性可能会减轻网络攻击驱动的中断的潜在影响 。 5. 2017年NotPetya网络攻击扰乱Maersk Case马士基运营事件 马士基从攻击开始花了10天时间才完全重建其信息系统,估计花了2个月时间才完全恢复。马士基估计,由于该事件,其总收入损失2.5到3亿美元之间。 假设实际损失的相应韧性值在 M i = [0.3, 0.35]的范围内,可以估计实际马士基案例的总损失,如下表所示, 上游损失在6.63亿美元到7.73亿美元之间,而下游损失在160亿美元到190亿美元之间 。考虑到马士基的中心地位和巨大的下游影响,结果估计,造成3亿美元直接收入损失的事件,其潜在总损夫可能达到200亿美元。 表1 2017年NotPetya网络攻击对马士基及依赖公司的估计总影响 直接 上游 下游 合计 M i = 0.3 $254,34 $663 $16,348 $17,625 M i = 0.35 $296.73 $773 $19,073 $20,143 6. 对网络保险和网络政策的影响 在对AT&T中断1天的分析中,总潜在影响估计达到近200亿美元。2015年俄罗斯对乌克兰电网的网络攻击,潜在影响可能超过论文所考虑的情景。其结果是, 系统性网络风险有可能超过私营部门的解决方案 。 增强韧性可能是对抗系统性网络风险的最大因素之一。 6. 其它 该论文提出了一个表示系统性网络风险的理论框架。在这个框架中,系统性风险是由级联和共因故障以及大量独立的孤立网络事件造成的。作者使用投入产出建模来估算公司级冲击的总影响,并估算上游和下游影响。结果表明,上下游连接的乘数效应大大超过了与网络事件相关的潜在直接损失。 该论文没有量化共因故障 ,但很明显,网络空间对共享软件、硬件、供应商和数字网络的相互依赖性有很大贡献。就WannaCry和NotPetya而言,这种相互依赖性使事件迅速蔓延,导致高昴的全球损失。网络空间及其隐蔽的网络连接和不断变化的威胁性质的增加,构成了高风险和高不确定性的挑战。 鉴于我们对潜在网络事件损失的分析和估算,对包括网络风险管理和保险在内的私营部门解决方案的依赖可能不足以应对日益严重的风险 。 借鉴金融监管,OFR建议使用网络压力测试,联邦金融机构检查委员会(FFIEC)在其网络成熟度模型中纳入使用压力测试,这种类比是有道理的;正如金融危机开始后,金融行业认为公司太或强相互关联性而不能倒,很明显,对强相互关联的公司的网络攻击可能会导致无法容忍的损失。然而,实际上实施压力测试需要在该论文的基础上进一步改进,更多地关注公司间网络和单个公司的韧性。 【补充介绍:Jonathan W. Welburn关于供应链压力测试的博文】 在跟踪供应链压力测试及其定量分析的过程中,我发现了兰德公司Jonathan W. Welburn在2021年发表的博客文章《压力测试:加强供应链的工具》(Stress Test:The Right Tool for Strengthening Supply Chains)—之后才看到他和Aaron M. Strong合写的《系统性网络风险及其影响量化分析》(Systemic Cyber Risk and Aggregate Impacts)。
下面摘录一下Jonathan W. Welburn在该博客文章中的主要观点: 大流行短缺、苏伊士运营长达一周的堵塞、勒索软件的破坏等使 全球供应链变得脆弱。风险很可能跨越供应链,使公司更容易受到共享和级联威胁的影响 。 如果想让供应链更具韧性,是时间进行压力测试了。 金融行业比大多数行业更早应对了系统性挑战,在2008年之前,个别银行已经使用了压力测试。而 2008年全球金融危机揭示了压力测试对希望识别银行资产负债表风险的监管机构的价值 。其想法是模拟银行在经济快速恶化或“冲击”情景下的表现,揭示可能导致银行破产的潜在风险领域。 供应链压力测试将需要新的分析基础设施和庞大的数据集 。收集数据将是一个挑战,但不是不可逾越的挑战。 没有人能阻止工业扰断的浪潮。压力测试也无法预测下一次重大冲击,但它可以揭示下一个台积电或SolarWinds(即供应链中的关键节点)可能隐藏在哪里,以便企业供应链和风险管理人员做好准备,并决定接下来该采取哪些措施。
本公众号(ID: bcmplus)专注于业务连续性和运营韧性知识的传播和普及,关注业务连续性、应急和危机管理的朋友可关注本公众号。
由于公众号注册时腾讯已调整政策,未能开通留言功能,希望交流和讨论业务连续性和韧性相关问题,或获取相关资料的朋友,可长按以下二维码加入知识星球留言和讨论(另,公众号每月只能发4次文章,会有一些内容直接在知识星球分享而不在公众号发布)。
原文发表于公众号”业务连续性+” | 原文链接