关注我们
带你读懂网络安全
企业财务主管需要认识到,网络安全松懈是有成本的。
前情回顾·企业风险评估与量化
安全内参4月17日消息,糟糕的网络安全会损害企业经营。研究人员在分析美国银行如何为债务定价时发现,如果企业的网络安全状况不达标,其贷款利率可能比安全措施完善的企业高出最多10个基点。
根据贷款规模不同,网络安全低于标准每年可能带来数十万美元的额外成本。
网络安全不合规,
贷款利率最高多出13个基点
鲁汶大学金融学教授、《贷款人是否为企业网络安全风险定价?》的合著者Hans Degryse表示:“以样本中的中位数企业为例,如果该企业通过增加网络安全投入,将网络风险降低一个标准差,那么在整个银团贷款周期内,其利息支出可减少约60万美元。”
俄亥俄州立大学会计学助理教授、另一项关于网络安全风险与贷款关系研究的作者Amy Sheneman指出,一些借款人可能并未意识到,银行早已将网络安全暴露纳入利率定价体系。
对于网络安全从业者而言,这一情况颇为遗憾。Sheneman写道:“如果首席财务官清楚糟糕的网络安全会被计入成本,他们可能更愿意加大对网络安全系统的投入。”基于多项分析,她发现,在贷款发放前网络安全风险较高的企业,其借贷成本平均高出约10个基点。
Degryse的研究则给出了4至13个基点的区间,具体取决于风险严重程度。研究还显示,高风险企业通常面临更严格的贷款条件。
整体来看,商业银行在网络安全风险定价和契约执行方面往往比非银行贷款机构更为严格,这很可能源于更高的监管要求以及更低的风险偏好。
网络安全已成为评估企业风险重要指标
这些研究较早揭示了网络安全已成为评估企业风险的重要前置指标之一。尽管如此,一些大型银行其实已经公开表示,网络风险会影响其放贷策略。例如,摩根大通承认企业客户可能带来网络风险,并表示会与客户“定期讨论”相关风险以及改进网络安全状况的措施。
桑坦德银行则表示,在贷款定价过程中会参考评级和券商报告。全球三大评级机构惠誉、穆迪和标准普尔也已将网络暴露纳入企业运营风险评估体系。
贷款机构对网络风险可能引发违约的担忧并非没有依据。根据Hiscox《2026年网络安全准备度报告》引用的数据,四分之一的美国小型企业表示,其生存能力曾因网络攻击受到威胁。考虑到幸存者偏差,网络攻击对小企业生存的实际影响可能更为严重。
网络风险评估公司Bridewell首席执行官Anthony Young表示,银行若能以更透明的方式对网络风险进行定价,或有助于提升整体经济的网络安全水平。他在接受外媒ISMG采访时指出:“将网络风险与融资成本直接挂钩,可能成为一种强有力的激励机制。现实中的网络安全事件往往比单纯的合规要求更能推动董事会层面的投资。如果金融机构对网络风险的定价更加明确,这一趋势可能进一步加速。”
他同时提醒,这一过程需要谨慎推进。如果企业不了解自身风险是如何被评估的,结果可能流于形式化合规,而无法真正提升弹性。
企业风险评估不同指标的权衡
当然,借款企业也希望确认贷款机构是否具备足够能力,从而对网络风险作出合理判断。
Young指出:“与财务指标不同,网络风险更难量化,且往往依赖不完整或企业自报的数据。”
银行面临的挑战在于,如何建立一致且客观的评估体系来衡量网络安全成熟度,否则就可能出现定价失真,或对这种高度动态且依赖具体情境的风险进行过度简化。
Baker Hill高级副总裁Mike Horrocks表示,目前大多数银行在这方面的表现仍不理想。在实际操作中,网络风险通常处于次要位置,其重要性低于抵押品、房地产以及现金流等核心指标。
此外,银行需要在多个维度同时控制风险,因此客户的网络风险有时会暂时被放在次要位置。
Sheneman指出,即便银行普遍建立了较为稳健的网络风险评估方法,在大型都市地区,贷款机构也未必能够对高风险企业收取更高溢价,因为可能会被竞争对手以更低价格抢走客户,而这些竞争者对风险的判断可能并不充分。
基于研究数据分析,她指出:“在竞争较弱的市场中,贷款机构更倾向于对网络安全风险进行定价;而在竞争激烈的市场中,贷款机构往往会承担更多风险。”
这种竞争格局可能促使小型都市地区的企业主动提升网络安全水平,而大型都市地区的企业所面临的改进激励相对较弱。
鉴于风险定价缺乏透明度,加之贷款机构的风险偏好差异,以及客户网络风险信息的不完整,市场很难在网络风险与贷款条款之间实现完全均衡。这意味着,即便在大型都市地区,小幅的网络风险溢价仍可能长期存在。
参考资料:bleepingcomputer.com
推荐阅读
