《华尔街日报》：市政债券市场的隐形风险——黑客攻击

地方政府正投入巨资清理黑客攻击后果并防范新威胁。这对购买其债券的投资者而言，既是风险也是机遇。

各行业遭受黑客攻击的情况都在增加，但公共部门薄弱的防护使其成为网络犯罪分子日益青睐的目标。从巴尔的摩到洛杉矶，网络犯罪已导致学校、医院和公用事业机构在支付赎金、恢复服务和加强安全方面疲于奔命。财政状况恶化正威胁着信用评级。

网络安全公司Emsisoft报告显示，2021至2022年间遭受勒索软件攻击的K-12公立学校数量激增近一倍，达到每年近2000所。分析师指出，新冠疫情加速了教育领域技术应用的普及，加之医疗行业对IT基础设施的依赖，使得学校和医院成为特别脆弱的攻击目标。

标普全球评级首席分析师李洋表示：“仅今年我们就目睹了比往年更多的此类攻击，这已成为我们与发债机构几乎所有讨论中都会提及的担忧。”

全美第二大教育系统洛杉矶联合校区遭遇网络攻击后，包括学生机密数据泄露在内的诸多问题接踵而至。教育总监阿尔贝托·M·卡瓦略称已组建网络安全专家特别工作组，着手推进校区技术现代化。据发言人透露，该校区今年发行了数亿美元债券，计划斥资7200万美元加固技术基础设施。

迄今为止，网络攻击似乎对市政当局起到了警醒作用，促使他们加大安全投资以安抚债券持有人。麻省理工学院研究人员发现，在遭受勒索软件攻击后，市政当局的科技支出增加了50%，而债券收益率下降了0.03个百分点。

洛杉矶联合学区重新聚焦网络安全，吸引了包括Belle Haven Investments在内的投资者。Belle Haven研究总监Dora Lee表示，当财政官员加强网络安全并增加抵御攻击的财务资源时，该公司将此视为借款人信用度的提升。

美国证券交易委员会今年早些时候通过新规，要求上市公司报告网络攻击事件。图片来源：ANDREW KELLY/REUTERS"正如我们评估州或地方政府是否持续投资实体基础设施一样，我们也在关注其对IT软件的持续投入。“Lee说道。

评级机构表示，目前尚无规范要求市政债券发行人披露其面对网络攻击的相对脆弱性。只有当问题清理工作损害地方政府财政时，才会触发评级下调。

这使得投资者疲于应对。重大事件（如2019年导致巴尔的摩市政府计算机瘫痪的攻击）会引发关注，而不太显眼的攻击往往得不到同等重视。

“随着重大网络攻击事件登上头条，市场正密切关注，但小型攻击则不然，”资产管理公司Lord Abbett的合伙人兼免税固定收益总监丹尼尔·S·索伦德表示。

美国证券交易委员会今年早些时候投票通过了新规，要求上市公司报告网络攻击事件。从本月下旬开始，企业必须在年度报告中描述其识别重大网络安全风险的流程。

尼克松·皮博迪律师事务所公共金融律师兼合伙人鲁迪·S·萨罗称，评级机构正在询问发债地方政府已采取的保护措施——例如是否购买网络安全保险、遭遇攻击时的响应和恢复速度等。

“网络安全已发展为一项风险因素，自2018年起，交易文件中开始出现相关尽职调查问题，两年后越来越多评级机构开始关注，”萨罗表示。

分析师预计网络攻击将日趋复杂化和高频化，但担忧网络安全风险管理资金仍不足。虽然市面上有网络安全保险，但对小型政府机构而言保费可能过高。分析师认为，与私营企业竞争时，政府部门的信息技术岗位恐难留住人才。

债券研究机构Municipal Market Analytics董事总经理丽莎·沃什伯恩指出，政府机构“通常没有充裕资金来投入尖端技术”。

写信给布伦达·莱昂，邮箱：[email protected]

刊登于2023年12月8日印刷版，标题为《网络风险的隐性成本冲击市政债券投资者》。