海盜無國(guó)界:網絡攻擊在(zài)供應鏈上(shàng)的(de)傳播
“世界在(zài)發展。風險也(yě)在(zài)變化。我想說(shuō),我們現在(zài)最關注的(de)風險是(shì)網絡風險。我認爲(wéi / wèi),這(zhè)才是(shì)真正的(de)風險所在(zài),而(ér)不(bù)是(shì)像全球金融危機那樣。”
——美聯儲主席傑羅姆·鮑威爾,CBS電視台《60分鍾》采訪,2021.4.11
一(yī / yì /yí)、引言
網絡犯罪是(shì)企業當下最關注的(de)問題之(zhī)一(yī / yì /yí)。一(yī / yì /yí)些嚴重的(de)網絡攻擊會迅速傳播并破壞IT系統的(de)完整性,影響被攻擊企業的(de)生産運營,而(ér)且還會通過供應鏈關系進一(yī / yì /yí)步影響其客戶和(hé / huò)供應商的(de)生産能力。盡管網絡攻擊對生産部門具有如此巨大(dà)的(de)破壞力,但是(shì)卻少有文獻對其進行研究。
在(zài)該文中,作者研究了(le/liǎo)一(yī / yì /yí)種非常嚴重的(de)網絡攻擊,這(zhè)種攻擊超出(chū)了(le/liǎo)其最初目标,并擾亂了(le/liǎo)部分公司的(de)運營。具體來(lái)說(shuō),作者以(yǐ)2017年6月27日名爲(wéi / wèi)NotPetya的(de)網絡攻擊爲(wéi / wèi)例展開研究。NotPetya是(shì)迄今爲(wéi / wèi)止曆史上(shàng)最具破壞性的(de)網絡攻擊,其主要(yào / yāo)目标是(shì)烏克蘭。最初的(de)感染媒介是(shì)一(yī / yì /yí)種軟件,烏克蘭政府要(yào / yāo)求該國(guó)所有企業使用該軟件進行納稅申報。當該軟件被黑客入侵時(shí),它在(zài)企業間進行傳播,包括在(zài)烏克蘭設有子(zǐ)公司的(de)大(dà)型跨國(guó)企業。例如,國(guó)際航運公司馬士基的(de)所有業務都被迫停止,導緻其在(zài)全球各地(dì / de)的(de)港口發生了(le/liǎo)混亂。聯邦快遞的(de)一(yī / yì /yí)家子(zǐ)公司也(yě)受到(dào)影響,從而(ér)無法接收和(hé / huò)處理訂單。
通過研究,作者發現:(1)被攻擊的(de)公司遭受了(le/liǎo)運營中斷,并通過供應鏈對其全球客戶的(de)生産能力産生了(le/liǎo)顯著的(de)負面影響,導緻這(zhè)些客戶的(de)利潤明顯降低。(2)網絡攻擊對客戶的(de)影響主要(yào / yāo)集中于(yú)那些替代性供應商較少的(de)客戶中。(3)爲(wéi / wèi)了(le/liǎo)應對沖擊,維持投資和(hé / huò)就(jiù)業,受影響的(de)客戶增加了(le/liǎo)對外部融資的(de)依賴。(4)在(zài)受到(dào)沖擊後,供應鏈網絡會持續調整,受影響的(de)客戶會傾向于(yú)終止與被攻擊公司間的(de)業務,這(zhè)表明網絡攻擊造成的(de)暫時(shí)中斷,侵蝕了(le/liǎo)被攻擊企業作爲(wéi / wèi)可靠供應商的(de)聲譽,造成了(le/liǎo)長期影響。同時(shí),受影響的(de)客戶會選擇與其他(tā)供應商(例如,與被攻擊供應商同行業的(de)公司)建立新的(de)貿易關系,特别是(shì)那些網絡安全風險較小的(de)供應商。
該文的(de)貢獻主要(yào / yāo)體現在(zài)以(yǐ)下兩個(gè)方面:(1)爲(wéi / wèi)有關網絡犯罪經濟學的(de)文獻做出(chū)了(le/liǎo)貢獻。現有研究大(dà)多關注網絡風險對金融穩定的(de)影響,與這(zhè)些研究相反,該文主要(yào / yāo)關注了(le/liǎo)破壞性更強、規模更大(dà)的(de)網絡攻擊所導緻的(de)運營中斷,并通過供應鏈對整個(gè)生産部門經濟和(hé / huò)金融産生的(de)影響。(2)補充了(le/liǎo)有關嚴重沖擊後供應鏈傳播的(de)文獻,現有文獻主要(yào / yāo)關注自然災害和(hé / huò)信貸沖擊兩種沖擊,該文發現網絡攻擊引起的(de)嚴重但暫時(shí)性的(de)運營中斷可能導緻供應鏈網絡的(de)永久重新配置,豐富了(le/liǎo)内生生産網絡的(de)理論文獻。
NotPetya的(de)背景
02
Petya是(shì)2016年在(zài)網絡上(shàng)傳播的(de)一(yī / yì /yí)款勒索軟件。受害者在(zài)打開一(yī / yì /yí)個(gè)自稱是(shì)求職者簡曆的(de)PDF文件後遭受病毒感染,從而(ér)喪失數據訪問權限,在(zài)支付比特币後,方可訪問數據。2017年6月,一(yī / yì /yí)種新的(de)Petya病毒即NotPetya迅速傳播,使烏克蘭遭受沉重打擊。然而(ér),NotPetya的(de)真正目的(de)并不(bù)是(shì)勒索贖金,而(ér)是(shì)攻擊烏克蘭的(de)銀行、企業以(yǐ)及政府的(de)計算機網絡。NotPetya具有非常大(dà)的(de)危害性,能夠在(zài)沒有人(rén)工幹預的(de)情況下輕松地(dì / de)在(zài)網絡間傳播。它被植入于(yú)烏克蘭公司廣泛使用的(de)稅務申報軟件,使衆多烏克蘭公司遭受感染,甚至波及那些在(zài)烏克蘭設立子(zǐ)公司的(de)大(dà)型跨國(guó)企業。因此,從某種程度上(shàng)來(lái)看,NotPetya本身就(jiù)是(shì)一(yī / yì /yí)次供應鏈攻擊。
數據
首先,爲(wéi / wèi)了(le/liǎo)确定哪些公司受到(dào)NotPetya的(de)直接攻擊,作者對2017年、2018年提交給美國(guó)證券交易委員會的(de)網絡文件和(hé / huò)道(dào)瓊斯Factiva數據庫(一(yī / yì /yí)個(gè)國(guó)際報紙文章數據庫)進行了(le/liǎo)文本分析。通過檢索“Petya”、“NotPetya”和(hé / huò)“cyber”等關鍵詞,并進行人(rén)工比對确定了(le/liǎo)被NotPetya直接攻擊的(de)公司。同時(shí)排除了(le/liǎo)烏克蘭和(hé / huò)俄羅斯的(de)公司,以(yǐ)及無法與其他(tā)數據集匹配的(de)非上(shàng)市公司。經過處理,作者确定了(le/liǎo)8家被NotPetya直接打擊的(de)大(dà)型上(shàng)市公司(表1)。
其次,作者從FactSet Revere獲得了(le/liǎo)全球供應鏈關系數據。基于(yú)每家公司的(de)國(guó)際證券識别碼(ISIN),作者識别出(chū)了(le/liǎo)被直接攻擊公司的(de)233個(gè)客戶和(hé / huò)320個(gè)供應商。第三,作者從Orbis收集了(le/liǎo)上(shàng)述公司的(de)資産負債表和(hé / huò)損益表信息。最後,作者從美聯儲Y-14Q的(de)企業貸款時(shí)間表中獲得了(le/liǎo)銀行對企業信貸的(de)貸款級别信息。
識别策略
04
4.1企業層面的(de)分析
被NotPetya直接攻擊的(de)企業遭受了(le/liǎo)運營停滞,爲(wéi / wèi)了(le/liǎo)評估其對供應商和(hé / huò)客戶的(de)影響,作者使用DID模型,具體設定如下:
其中,i表示企業;t表示時(shí)間,研究窗口期爲(wéi / wèi)2014至2018;j表示和(hé / huò)公司i位于(yú)同一(yī / yì /yí)國(guó)家、1/4企業規模、2分位行業的(de)組别。Yijt爲(wéi / wèi)被解釋變量,包括息稅前利潤與總資産的(de)比率、長期債務與總資産的(de)比率、流動比率三個(gè)指标。Affecti爲(wéi / wèi)虛拟變量,如果與企業i(作爲(wéi / wèi)供應商和(hé / huò)客戶時(shí))建立供應鏈關系的(de)公司受到(dào)NotPetya的(de)直接攻擊,則賦值爲(wéi / wèi)1,反之(zhī)爲(wéi / wèi)0。Postt爲(wéi / wèi)虛拟變量,當其爲(wéi / wèi)2017年和(hé / huò)2018年時(shí)賦值爲(wéi / wèi)1。ξi爲(wéi / wèi)企業固定效應,ηjt爲(wéi / wèi)和(hé / huò)企業i位于(yú)同一(yī / yì /yí)國(guó)家、1/4企業規模、2分位行業的(de)固定效應。标準誤聚類在(zài)國(guó)家和(hé / huò)行業層面。
4.2貸款層面的(de)分析
爲(wéi / wèi)了(le/liǎo)檢驗NotPetya的(de)間接沖擊對客戶和(hé / huò)供應商銀行信貸的(de)影響,作者構建了(le/liǎo)如下模型:
其中,i表示企業;b表示銀行;t表示季度,窗口期爲(wéi / wèi)2014Q1至2018Q4;j表示和(hé / huò)公司i位于(yú)同一(yī / yì /yí)國(guó)家、1/4企業規模、2分位行業的(de)組别。Affecti和(hé / huò)Postt的(de)設定同模型(1)。γbt爲(wéi / wèi)銀行季度固定效應,用于(yú)控制銀行對信貸供給的(de)特定沖擊。Yibjt爲(wéi / wèi)被解釋變量,包括銀行對企業承諾信貸總額的(de)對數、承諾信貸額度被提取的(de)份額、利差、銀行對借款人(rén)的(de)主觀違約概率、不(bù)良貸款(虛拟變量)、承諾風險敞口的(de)到(dào)期日、抵押品金額。标準誤差在(zài)行業和(hé / huò)銀行層面。
實證結果
5.1網絡攻擊的(de)傳播
表3報告了(le/liǎo)受影響的(de)客戶(Panel A)和(hé / huò)受影響的(de)供應商(Panel B)的(de)估計結果。Panel A結果顯示,由網絡攻擊引起的(de)運營停滞通過供應鏈傳播至下遊客戶,導緻客戶的(de)盈利能力顯著降低。通過估計,作者指出(chū),受到(dào)網絡直接攻擊的(de)企業遭受了(le/liǎo)18億美元的(de)損失,而(ér)其下遊客戶則遭受了(le/liǎo)73億美元的(de)損失。Panel B結果顯示,上(shàng)述影響對供應商不(bù)顯著,這(zhè)與供應鏈傳播文獻的(de)結果一(yī / yì /yí)緻。
5.2供應鏈脆弱性
作者進一(yī / yì /yí)步考慮了(le/liǎo)哪些供應鏈特征會使客戶更容易受到(dào)網絡攻擊帶來(lái)的(de)間接影響。作者認爲(wéi / wèi)如果客戶無法輕易找到(dào)可替代的(de)供應商,那麽這(zhè)些客戶就(jiù)更容易遭受突然中斷的(de)影響。對此,表4的(de)結果也(yě)支持了(le/liǎo)上(shàng)述猜想,當客戶在(zài)同行業内有5個(gè)及以(yǐ)上(shàng)可供選擇的(de)供應商時(shí),那麽其将不(bù)會受到(dào)顯著影響。
5.3流動性風險管理
接下來(lái)作者考察了(le/liǎo)受影響的(de)客戶如何應對這(zhè)一(yī / yì /yí)沖擊。爲(wéi / wèi)了(le/liǎo)支付固定和(hé / huò)可變成本,受影響的(de)客戶可能會使用内部流動性或增加外部借款。對此,作者在(zài)表5中考察了(le/liǎo)客戶流動比率和(hé / huò)債務占比的(de)變化。結果和(hé / huò)預期一(yī / yì /yí)緻,爲(wéi / wèi)了(le/liǎo)應對沖擊,受影響的(de)客戶同時(shí)依賴内部流動性和(hé / huò)外部借款。
5.4銀行信貸
先前的(de)研究表明,受影響的(de)客戶增加了(le/liǎo)對外部融資的(de)依賴。作者進一(yī / yì /yí)步考察了(le/liǎo)銀行信貸這(zhè)一(yī / yì /yí)企業最靈活的(de)外部融資方式在(zài)其中的(de)作用。首先,作者考察了(le/liǎo)受影響的(de)客戶是(shì)否會增加從銀行的(de)貸款,無論是(shì)進行新的(de)貸款還是(shì)提取信用額度。其中,信用額度是(shì)一(yī / yì /yí)種短期工具,通常在(zài)到(dào)期時(shí)進行續約。由于(yú)受影響的(de)客戶遭受了(le/liǎo)負面沖擊,因此作者認爲(wéi / wèi)這(zhè)些企業的(de)信用額度在(zài)續約時(shí)可能面臨縮減或者較高的(de)利差。表7結果顯示(其中CL Renewalib爲(wéi / wèi)虛拟變量,當企業i在(zài)銀行b有信用額度且在(zài)受到(dào)沖擊後發生了(le/liǎo)續約則取值爲(wéi / wèi)1),受影響的(de)客戶大(dà)幅增加了(le/liǎo)他(tā)們的(de)信貸總額,其代價是(shì)銀行在(zài)續約時(shí)向其收取了(le/liǎo)更高的(de)利率。
5.5動态供應鏈響應
由于(yú)NotPetya攻擊使客戶可能面臨供應商停滞數周的(de)困境,因此作者進一(yī / yì /yí)步考察了(le/liǎo)供應鏈的(de)動态調整問題。首先,作者發現受影響的(de)客戶不(bù)會立即結束與直接受到(dào)攻擊的(de)供應商的(de)貿易關系。但是(shì),其可能在(zài)中期選擇終止與直接受到(dào)攻擊的(de)供應商的(de)關系。其次,受影響的(de)客戶在(zài)網絡攻擊後不(bù)久顯著增加了(le/liǎo)替代性供應商的(de)數量,特别是(shì)那些網絡安全系數較高的(de)替代性供應商的(de)數量。
結論
06
作者研究了(le/liǎo)曆史上(shàng)最具破壞性的(de)網絡攻擊對供應鏈的(de)影響。該文具有以(yǐ)下幾點政策啓示。首先,該文研究結果顯示了(le/liǎo)對網絡安全的(de)迫切需求,包括需要(yào / yāo)對網絡基礎設施進行更多的(de)劃分,以(yǐ)及需要(yào / yāo)對第三方供應商的(de)網絡安全進行更多的(de)審查。其次,企業需要(yào / yāo)改進其風險管理和(hé / huò)應急計劃,以(yǐ)便在(zài)任何供應商無法提供商品和(hé / huò)服務的(de)情況下繼續開展商業活動。第三,情報界應該對“NotPetya”這(zhè)種規模的(de)網絡攻擊建立可靠的(de)威懾,以(yǐ)确保攻擊不(bù)會超出(chū)預期範圍。
上(shàng)一(yī / yì /yí)篇:無
下一(yī / yì /yí)篇:關于(yú)ChatGPT與人(rén)機關系
