导 读
俄罗斯军事情报部门于2017年6月针对乌克兰发动了NotPetya攻击,该攻击是历史上破坏力最强的一次网络攻击事件。最初的感染媒介是乌克兰政府要求的该国所有供应商企业用于纳税申报的软件,当该软件被黑客入侵时,病毒在不同公司间传播,这些公司也包括了在乌克兰设立子公司的大型跨国企业,使得病毒在全球迅速蔓延。例如,全球物流巨头马士基(Maersk)遭到NotPetya网络攻击后,它的全部业务被迫中断,全球港口陆续出现集装箱积压问题;联邦快递的子公司在受到网络攻击后,无法接受和处理贸易订单;制药巨头默克公司(Merck)的生产、研究和销售项目暂停,无法向美国疾病控制和预防中心供应疫苗。其他几家大公司,如Mondelez、Reckitt Benckiser、Nuance和Beiersdorf的服务器也均出现故障,无法进行生产运营活动。
基于这一独特情境,纽约联邦储备银行的Matteo Crosignani、马萨诸塞大学的财务学助理教授Marco Macchiavelli和美国联邦储备委员会的André F. Silva采用全球供应链和贷款层面数据考察了NotPetya网络攻击事件对供应链上下游企业盈利能力、银行信贷和供应链脆弱性的影响。与以往仅关注网络攻击事件对企业自身影响的研究不同,本文对NotPetya网络攻击事件与供应链上下游企业财务会计行为之间的关系展开全面研究。
原文信息:Crosignani M, Macchiavelli M, Silva A F. Pirates without borders: The propagation of cyberattacks through firms’ supply chains[J]. Journal of Financial Economics, 2023, 147(2): 432-448.
Pirates without borders: The propagation of cyberattacks through firms’ supply chains
海盗无国界:网络攻击对供应链的影响研究
一、研究背景
网络攻击是指黑客组织利用分布式拒绝服务、恶意软件、网络钓鱼等手段,对系统和资源进行攻击,造成某些基础设施停止运转或者错误运转等。对企业而言,网络攻击会破坏企业信息科技系统的完整性,对企业生产运营造成破坏性影响,并通过供应链传导到客户和供应商企业。已有研究重点关注数字泄露这类网络攻击事件对金融稳定性(Aldasoro等,2022)、企业声誉和诉讼风险(Kamiya等,2021;Garg,2020;Akey等,2021;Amir等,2018)等的负面作用,普遍忽略了网络攻击事件对企业运营效率的影响。
本文从供应链视角出发,运用全球供应链关系和贷款数据,探讨大型NotPetya网络攻击事件对供应链上下游企业的影响。
二、研究发现与贡献
1. 研究发现
文章研究发现:(1)网络攻击只对下游客户的盈利能力产生显著负面影响,对上游供应商没有影响。同时,在遭受网络攻击后,客户企业的流动比率显著下降、长期贷款比率显著增加;(2)当客户企业可替代供应商较少时,网络攻击对客户企业的负面作用更显著;(3)在遭受网络冲击后,客户企业会终止与被攻击企业的业务关系,选择网络风险较低的企业建立业务关系。
2. 研究贡献
文章的研究贡献包括:(1)补充了网络犯罪经济学的文献研究。已有研究主要关注了网络风险对金融稳定的影响和数据泄露的市场反应,缺乏从企业运营管理角度去探索网络风险对供应链的影响;(2)拓展了网络风险经济后果的研究。当前研究主要集中在网络攻击对攻击对象自身的影响,未从供应链角度探究网络攻击对供应链上的其他成员(客户或供应商)的影响。本文发现,在遭受网络攻击后,客户企业会选择网络安全高的供应商;(3)丰富了负面冲击事件在供应链上传播的文献研究。现有研究重点关注自然灾害和信贷供给冲击,本文从网络攻击的角度发现其严重损害供应链网络稳定性。
三、研究思路与方法
1. 数据来源
本文的数据来源于以下三个途径:全球供应链数据来自FactSet Revere数据库;企业资产负债表和利润表等企业层面数据来自Orbis数据库;贷款层面数据来自美联储的企业贷款计划表(Federal Reserve’s Y-14Q H.1)。
2.变量定义和模型设计
(1)企业层面
为检验被NotPetya直接攻击的企业对供应商和客户的影响,本文以2014-2018年为样本期间,构建如下模型(1):
其中,i代表企业,t代表年份,j代表行业。Yijt是被解释变量,代表资产息税前利润率(EBIT/assets)、长期贷款比率(Long-term debt/assets)、流动比率(Liquidity ratio)。Affecti为企业i的供应商或客户是否遭受NotPetya攻击的虚拟变量,如果遭受攻击取值为1,否则取值为0。Postt为虚拟变量,本文将2017-2018年期间定义为1,其他年份定义为0。
(2)贷款层面
为检验NotPetya网络攻击对客户和供应商银行信贷的影响,本文以2014-2018年的银行-企业-季度数据为研究样本,构建如下模型(2):
其中,i代表企业,b代表银行,j代表行业,t代表季度。Yijt是被解释变量,代表承诺信贷总额的对数(Log(committed credti))、承诺信贷额度占总额度的比例(Log(committed CL))、提取承诺信贷额度比例(Share drawn credit)和利差(Interest rate spread)。Affecti和Postt的定义与模型(1)一致。
3.实证思路和结果
第一部分,研究NotPetya网络攻击对供应链的影响。表中的Panel A和Panel B分别报告了NotPetya攻击对客户企业和供应商企业盈利能力的影响。结果表明,NotPetya攻击对下游客户的盈利能力有显著的负面影响,对上游供应商的盈利能力没有影响。
第二部分,研究NotPetya网络攻击对供应链脆弱性的影响。因不同供应链特征对遭受网络攻击客户的盈利能力影响可能存在差异,本文按照客户的供应商数量是否大于5构造变量,并在模型(1)中引入它与Postt×Affecti变量的交乘项。结果表明,当客户在同行业内的供应商数量少于5个时,网络攻击对客户盈利能力的影响更显著。
第三部分,研究网络攻击对流动性风险管理的影响。文章以流动比率和长期贷款比率为被解释变量,结果发现,网络攻击之后,客户的流动比率显著下降,长期贷款比率显著增加,这也意味着遭受网络攻击的客户更依赖内部资金和外部借款。
第四部分,研究网络攻击对银行信贷的影响。首先,文章以承诺信贷总额的对数(Log(committed credti))、承诺信贷额度占总额度的比例(Log(committed CL))、提取承诺信贷额度比例(Share drawn credit)为被解释变量进行回归,发现遭受网络攻击的客户提取承诺信贷额度比例(Share drawn credit)增加。其次,本文按照客户是否续期信贷额度构造虚拟变量,并在模型(2)中引入它与Postt×Affecti变量的交乘项,发现客户在遭受网络攻击后,银行利差提高(Interest rate spread)。
四、原文摘要
This paper examines the supply chain effects of the most damaging cyberattack in history so far. The attack propagated from the directly hit firms to their customers, causing a four-fold amplification of the initial drop in profits. These losses were larger for affected customers with fewer alternative suppliers. Internal liquidity buffers and increased borrowing, mainly through bank credit lines, helped firms navigate the shock. Nonetheless, the cyberattack led to persistent adjustments to the supply chain network, with affected customers terminating trading relations with directly hit firms and forming new ones with alternative suppliers with a stronger cybersecurity posture.
作 者 简 介
Matteo Crosignani,任职于纽约联邦储备银行,研究兴趣为宏观政策、银行资本、央行存款准备金等。
Marco Macchiavelli,马萨诸塞大学财务学助理教授,研究兴趣为货币市场、金融稳定、网络安全等。
André F. Silva,任职于美国联邦储备委员会,研究兴趣为银行信贷、欧洲存款准备金等。