《華爾街日報》：市政債券市場的隱形風險——黑客攻擊

地方政府正投入巨資清理黑客攻擊後果並防範新威脅。這對購買其債券的投資者而言，既是風險也是機遇。

各行業遭受黑客攻擊的情況都在增加，但公共部門薄弱的防護使其成為網絡犯罪分子日益青睞的目標。從巴爾的摩到洛杉磯，網絡犯罪已導致學校、醫院和公用事業機構在支付贖金、恢復服務和加強安全方面疲於奔命。財政狀況惡化正威脅着信用評級。

網絡安全公司Emsisoft報告顯示，2021至2022年間遭受勒索軟件攻擊的K-12公立學校數量激增近一倍，達到每年近2000所。分析師指出，新冠疫情加速了教育領域技術應用的普及，加之醫療行業對IT基礎設施的依賴，使得學校和醫院成為特別脆弱的攻擊目標。

標普全球評級首席分析師李洋表示：“僅今年我們就目睹了比往年更多的此類攻擊，這已成為我們與發債機構幾乎所有討論中都會提及的擔憂。”

全美第二大教育系統洛杉磯聯合校區遭遇網絡攻擊後，包括學生機密數據泄露在內的諸多問題接踵而至。教育總監阿爾貝託·M·卡瓦略稱已組建網絡安全專家特別工作組，着手推進校區技術現代化。據發言人透露，該校區今年發行了數億美元債券，計劃斥資7200萬美元加固技術基礎設施。

迄今為止，網絡攻擊似乎對市政當局起到了警醒作用，促使他們加大安全投資以安撫債券持有人。麻省理工學院研究人員發現，在遭受勒索軟件攻擊後，市政當局的科技支出增加了50%，而債券收益率下降了0.03個百分點。

洛杉磯聯合學區重新聚焦網絡安全，吸引了包括Belle Haven Investments在內的投資者。Belle Haven研究總監Dora Lee表示，當財政官員加強網絡安全並增加抵禦攻擊的財務資源時，該公司將此視為借款人信用度的提升。

美國證券交易委員會今年早些時候通過新規，要求上市公司報告網絡攻擊事件。圖片來源：ANDREW KELLY/REUTERS"正如我們評估州或地方政府是否持續投資實體基礎設施一樣，我們也在關注其對IT軟件的持續投入。“Lee説道。

評級機構表示，目前尚無規範要求市政債券發行人披露其面對網絡攻擊的相對脆弱性。只有當問題清理工作損害地方政府財政時，才會觸發評級下調。

這使得投資者疲於應對。重大事件（如2019年導致巴爾的摩市政府計算機癱瘓的攻擊）會引發關注，而不太顯眼的攻擊往往得不到同等重視。

“隨着重大網絡攻擊事件登上頭條，市場正密切關注，但小型攻擊則不然，”資產管理公司Lord Abbett的合夥人兼免税固定收益總監丹尼爾·S·索倫德表示。

美國證券交易委員會今年早些時候投票通過了新規，要求上市公司報告網絡攻擊事件。從本月下旬開始，企業必須在年度報告中描述其識別重大網絡安全風險的流程。

尼克松·皮博迪律師事務所公共金融律師兼合夥人魯迪·S·薩羅稱，評級機構正在詢問發債地方政府已採取的保護措施——例如是否購買網絡安全保險、遭遇攻擊時的響應和恢復速度等。

“網絡安全已發展為一項風險因素，自2018年起，交易文件中開始出現相關盡職調查問題，兩年後越來越多評級機構開始關注，”薩羅表示。

分析師預計網絡攻擊將日趨複雜化和高頻化，但擔憂網絡安全風險管理資金仍不足。雖然市面上有網絡安全保險，但對小型政府機構而言保費可能過高。分析師認為，與私營企業競爭時，政府部門的信息技術崗位恐難留住人才。

債券研究機構Municipal Market Analytics董事總經理麗莎·沃什伯恩指出，政府機構“通常沒有充裕資金來投入尖端技術”。

寫信給布倫達·萊昂，郵箱：[email protected]

刊登於2023年12月8日印刷版，標題為《網絡風險的隱性成本衝擊市政債券投資者》。