Cyber risk as a threat to financial stability

Abstract

Los sistemas de información desempeñan un papel esencial en el funcionamiento de las entidades financieras. Si bien estos sistemas sustentan los servicios de las entidades y facilitan sus estrategias, sus vulnerabilidades subyacentes podrían constituir una importante fuente de riesgo, el ciberriesgo. Este tipo de riesgo puede afectar a las capacidades de las entidades financieras e incluso poner en peligro su viabilidad. Además, como consecuencia del elevado grado de interconexión e interdependencia entre los elementos del sistema financiero, el ciberriesgo podría contagiarse entre entidades. Por consiguiente, la materialización del ciberriesgo en su forma más extrema podría suponer una amenaza para la estabilidad del sistema financiero. Para abordar esta cuestión, en este artículo se presentan, en primer lugar, los ciberincidentes y sus costes estimados, centrando la atención en el sistema financiero. A continuación, se caracteriza el ciberriesgo, así como las principales vulnerabilidades y amenazas para la ciberseguridad que afectan a las entidades financieras. Este análisis va seguido de una explicación del posible impacto sistémico del ciberriesgo sobre el sistema financiero, basada en el uso de modelos teóricos. También se presentan aspectos destacados del marco regulatorio actual en materia de ciberriesgo de aplicación a las entidades financieras que operan en España y, por último, se examinan las líneas de trabajo futuras recomendadas para mejorar la gestión del ciberriesgo en el sistema financiero.

Information systems play a critical role in the functioning of financial institutions. While supporting their services and enabling their strategies, underlying vulnerabilities could pose an important source of risk: cyber risk. This may impair financial institutions’ operational capabilities and even threaten their viability. Furthermore, the high level of interconnection and interdependence between the elements of the financial system allows for the contagion of cyber risk among them. Consequently, the materialization of cyber risk in its most extreme form could threaten the stability of the financial system. To address this topic, the article first introduces cyber incidents and their estimated costs, focusing on the financial system. Cyber risk is then considered, together with the main vulnerabilities and threats to cyber security affecting financial institutions. This is followed by a justification of the potential systemic effect of cyber risk on the financial system, supported by the use of theoretical models. Moreover, highlights of the current regulatory framework on cyber risk for financial institutions operating in Spain are also presented. Finally, recommended future lines of work for the improvement of the management of cyber risk in the financial system are discussed.