Conferencia de vanguardia sobre riesgos cibernéticos para la estabilidad financiera –

Tabla de Contenido
El Banco de la Reserva Federal de Nueva York anunció el 1 de noviembre. En asociación con la Escuela de Asuntos Públicos e Internacionales de la Universidad de Columbia (SIPA) para la segunda conferencia anual sobre el estado del campo sobre los riesgos cibernéticos para la estabilidad financiera, la conferencia se llevó a cabo en medio de las inminentes noticias sobre la pandemia de COVID-19 que lanzó un ataque cibernético. sobre un importante proveedor de software y seguridad cibernética que destacó las vulnerabilidades de riesgo cibernético.
Los riesgos cibernéticos pueden ser sistémicos
El decano de SIPA Merit E. Janow abrió la conferencia con una charla abierta con Arthur Lindo, Director Adjunto de Regulación y Supervisión, Junta de la Reserva Federal, y Jason Witty, Jefe de Ciberseguridad y Controles de Tecnología, CISO, JPMorgan Chase, pronunció el discurso de apertura sobre el segundo día de la conferencia.
En ambos días, los panelistas discutieron la investigación actual sobre el riesgo del sistema cibernético; esfuerzos continuos de los sectores público y privado para combatir el riesgo cibernético; y los posibles próximos pasos que los sectores financiero y de ciberseguridad pueden tomar para fortalecer los marcos de estabilidad financiera frente a las amenazas cibernéticas en evolución. Esta publicación de blog analiza algunas de estas conversaciones. Consulte la agenda completa de la conferencia para ver grabaciones seleccionadas y publicaciones de investigación.
Que aprendemos
En un panel de discusión titulado «¿Qué estamos aprendiendo?», La moderadora Anna Kovner, de la Fed de Nueva York, invitó a los participantes a discutir su investigación en curso sobre el riesgo cibernético sistémico y varios enfoques analíticos para evaluar el impacto de las amenazas cibernéticas en el sistema financiero y en general. espectro para demostrar economía.
Leonardo Gambacorta, Banco de Pagos Internacionales, compartió información sobre los factores y los costos del riesgo cibernético. Un estudio entre industrias mostró que una mayor frecuencia de incidentes cibernéticos en el sector financiero en comparación con otras industrias no se asoció con una mayor pérdida bruta. La conectividad interinstitucional tendió a aumentar los costos asociados con los ciberataques, y la tecnología en la nube se destacó como un factor cada vez mayor del riesgo cibernético. Cuando se ve en todos los países, lo cibernético representa una pequeña fracción de las pérdidas operativas de una empresa, pero el rango de valor en riesgo cibernético (la peor pérdida esperada en un horizonte de tiempo dado con un nivel de confianza dado) puede ser grande. Gambacorta experimentó un fuerte aumento de los ataques cibernéticos tras el aumento del trabajo a distancia durante la pandemia COVID-19, con los trabajadores del sector financiero particularmente objetivo.
Michael Lee, de la Fed de Nueva York, analizó las características sistémicas del riesgo cibernético a través del trabajo sobre escenarios de ataques cibernéticos en el sistema de pago mayorista. El estudio encontró que la concentración de la actividad financiera y la velocidad de la actividad de pago son factores que contribuyen al impacto de un ciberataque en todo el sistema. Una interrupción en las transacciones de pago en uno de los cinco bancos líderes podría tener un impacto significativo en las condiciones de liquidez de otras instituciones y tener efectos adicionales en la economía en general. Lee advirtió que la intención y la información que tenía un atacante podrían aumentar el impacto de un ciberataque, al igual que las vulnerabilidades tecnológicas y los proveedores de servicios compartidos entre las instituciones financieras.
Jonathan Welburn, RAND Corporation, habló sobre su trabajo en redes a nivel empresarial en todos los sectores. Resumió un enfoque para modelar las pérdidas totales que resultan de la falla de una empresa aguas abajo. Se han encontrado empresas de importancia sistémica en muchos sectores, lo que sugiere que el riesgo sistémico está relativamente extendido en toda la economía. Dejó clara la importancia de la creciente dependencia digital y señaló que los proveedores de servicios digitales estaban fuertemente representados entre las empresas de importancia sistémica.
El análisis de riesgo cibernético se está incorporando cada vez más en el análisis de calificaciones gubernamentales y crediticias en Moody’s, señaló Leroy Terrelonge III, ya que el análisis cibernético aborda múltiples metodologías y evaluaciones de factores, como la fortaleza económica. Un desafío importante para comprender los riesgos que surgen de los diferentes tipos de incidentes cibernéticos es la falta de información sobre la preparación. Moody’s ha creado sus propias medidas de ciberseguridad utilizando respuestas anónimas y agregadas de emisores de encuestas globales.
Para conciliar el intercambio de información con la confidencialidad, Terrelonge enfatizó el importante papel de las preguntas específicas y la divulgación voluntaria y flexible de información. Lee vio la comprensión de las vulnerabilidades comunes como un componente importante en la gestión del riesgo cibernético sistémico. Gambacorta enfatizó la necesidad de que los sectores público y privado continúen trabajando juntos y fortalezcan la resiliencia operativa a través de ejercicios de simulación, un tema que se exploró más a fondo en el segundo día de la conferencia.
qué hacemos?
Patricia Mosser, SIPA, moderó un panel de discusión titulado “¿Qué estamos haciendo?
COVID-19 ha acelerado rápidamente la transformación digital y el mayor uso de servicios financieros digitales. Yeow Seng Tan, Autoridad Monetaria de Singapur, enfatizó que Singapur tuvo seis veces más transacciones de pago electrónico a mediados de 2020 que en el mismo período del año pasado. Tan enfatizó que los reguladores deben adaptarse para hacer frente a la rápida adopción de tecnologías digitales y al aumento de los riesgos cibernéticos. También revisó varios planes de transformación de la seguridad cibernética, incluidos proyectos para mapear las conexiones cibernéticas de las instituciones financieras de Singapur para abordar el riesgo de terceros, crear marcos para comprender los desafíos cibernéticos para el riesgo operativo y financiero, y un marco analítico con un enfoque para desarrollar en el sector financiero. .
Con respecto a la importancia del ejercicio de escenarios, Greg Rattray, SIPA, destacó su experiencia reciente liderando el Grupo de Trabajo Cibernético de Nueva York de SIPA y trabajando con expertos de muchos sectores industriales para mejorar la colaboración operativa entre el gobierno de EE. UU. Y el sector privado de Identify. Afirmó que era un desafío para los institutos y expertos examinar los escenarios plausibles en los que los riesgos cibernéticos conducen a pérdidas de gran alcance. Los ataques a los grandes bancos y proveedores de servicios globales pueden afectar seriamente las operaciones comerciales e incluso socavar la seguridad nacional. Rattray enfatizó que pensar en estos escenarios es importante, pero también muy difícil, ya que requiere cuantificar el impacto de eventos potencialmente catastróficos.
A pesar de la naturaleza global del sistema financiero y la posibilidad de que los shocks puedan extenderse a través de las fronteras, existe un esfuerzo global limitado para abordar el riesgo cibernético sistémico y la resiliencia. Arthur Nelson resumió una evaluación reciente de la Iniciativa de política cibernética de Carnegie Endowment sobre las iniciativas de colaboración global existentes, que encontró que estas iniciativas son reactivas y funcionan de manera independiente. Nelson describió las recomendaciones del informe sobre áreas potenciales para mejorar la conectividad, destacando que el sector financiero es una forma de generar confianza y facilitar la cooperación cibernética con otras naciones a través de incentivos globales compartidos.
Tanto Nelson como Tan destacaron las actividades en curso para mejorar la comunicación y la colaboración global, mientras que todos los panelistas destacaron la importancia de una mejor colaboración para la resiliencia del sector financiero. Con respecto a los posibles mecanismos de disuasión, Rattray advirtió que los ataques cibernéticos como los recientes ataques de SolarWinds indican la necesidad de contramedidas para interrumpir a los atacantes.
¿Que sigue?
En la discusión de cierre, moderada por Jason Healey, los panelistas discutieron cómo los riesgos cibernéticos y las políticas y soluciones propuestas pueden cambiar a la luz de las perspectivas para los próximos años.
El aumento de las tensiones geopolíticas y la competencia por las grandes potencias afectarán el futuro del riesgo cibernético. Barry Pavel, director del Centro Scowcroft de Estrategia y Seguridad en el Atlantic Council, enfatizó que los ciberataques jugarán un papel destacado en los conflictos en curso que Estados Unidos tiene con Rusia y China. Ataques como el hack de SolarWinds subrayan la importancia de los riesgos de terceros y de la cadena de suministro, y Pavel enfatizó que el creciente potencial de riesgo cibernético en todos los sectores debe convertirse en parte del cálculo del riesgo de inestabilidad financiera.
Haciéndose eco de las preocupaciones de los paneles anteriores, Jeremy Brotherton, Equipo Nacional de Respuesta a Incidentes de la Reserva Federal, enfatizó que la adopción intersectorial de servicios de terceros, incluida la computación en la nube, introduce puntos únicos de falla en todo el sistema. Un ataque exitoso a un proveedor de servicios digitales podría tener efectos de gran alcance.
Las alianzas públicas y privadas sólidas y las coaliciones internacionales de ideas afines son actividades necesarias para abordar amenazas futuras como el ransomware y los riesgos de la cadena de suministro. Alexandra Friedman, del Departamento del Tesoro de EE. UU. Para la Ciberseguridad y la Protección de la Infraestructura Crítica, vio que las actividades conjuntas entre las agencias gubernamentales de EE. UU., Los reguladores y los socios privados durante la pandemia ayudaron a crear y fortalecer los mecanismos de colaboración que se utilizarán en el futuro. Además, se están realizando esfuerzos para comprender la conectividad intersectorial, por ejemplo, en los sectores financiero y de tecnología de la información y las comunicaciones.
A la luz de los desafíos y riesgos futuros, como la incorporación de fintech a los sistemas financieros, Friedman encontró que el impacto y el riesgo potencial dependen de la conectividad de la red financiera y de las acciones que tomen las empresas para gestionar el riesgo. Brotherton enfatizó que las organizaciones deben tener los fundamentos de ciberseguridad en su lugar, como sistemas de respaldo, planes de continuidad y recuperación, y ejercicios comerciales y técnicos. La planificación de escenarios, así como los recursos y ejercicios intersectoriales y entre agencias, son otras áreas clave para desarrollar la resiliencia.
Jennifer Gennaro es Cyber Fellow en la Escuela de Asuntos Públicos e Internacionales de la Universidad de Columbia.
Jason Healey es un científico investigador senior en la Escuela de Asuntos Públicos e Internacionales de la Universidad de Columbia.
Anna Kovner es la jefa de política de estabilidad financiera del Grupo de Investigación y Estadísticas del Banco de la Reserva Federal de Nueva York.
Michael Lee es economista del Grupo de Investigación y Estadísticas del Banco.
Patricia Mosser es la directora del programa de Gestión de Políticas Económicas de la MPA en la Escuela de Asuntos Públicos e Internacionales de la Universidad de Columbia.
Para citar esta publicación:
Jennifer Gennaro, Jason Healey, Anna Kovner, Michael Lee y Patricia Mosser, Conferencia sobre el estado del campo sobre el riesgo cibernético para la estabilidad financiera, Banco de la Reserva Federal de Nueva York , https://libertystreeteconomics.newyorkfed.org/2021/02/state-of-the-field-conference-on-cyber-risk-to-financial-stability.html.
Lectura relacionada
Comprender los riesgos cibernéticos: lecciones de un taller reciente de la Fed
¿Han cambiado los perfiles de riesgo de las grandes tenencias de bancos estadounidenses?
Exención de responsabilidad
Las opiniones expresadas en esta publicación son las del autor y no reflejan necesariamente la posición del Banco de la Reserva Federal de Nueva York o del Sistema de la Reserva Federal. Todos los errores u omisiones son responsabilidad del autor.