第三方安全漏洞威胁欧洲大型银行

根据安全评级公司SecurityScorecard的研究，欧洲96%的大型金融服务机构曾因第三方组织的安全漏洞受到影响。这一数据较两年前同类型调查上升了25%。

该风险管理公司分析了欧洲资产管理规模前100的金融机构，发现过去一年中96%的机构至少遭遇一次第三方漏洞事件，而两年前这一比例为78%。研究还显示，97%的机构通过第四方（即合作伙伴的合作伙伴）遭遇漏洞，高于两年前的84%；仅7%遭受直接漏洞攻击，低于2023年的8%。

这些发现正值《数字运营弹性法案》（DORA）于今年1月生效后。DORA涵盖了网络弹性、可审计性以及金融机构与第三方软件和IT服务提供商之间的责任分担，尽管是欧盟法规，但其他地区也在推行类似网络弹性要求。

SecurityScorecard威胁洞察高级经理Corian Kennedy表示：“欧洲顶级金融机构第三方漏洞激增25%不仅是警告，更是行动号召。网络威胁已不再局限于边界，而是深植于供应链中。机构必须从被动防御转向主动策略以应对升级的挑战。”

数据并不令人意外。金融服务公司拥有复杂的技术供应商生态系统，网络犯罪分子因此将其作为目标。一位英国银行业IT安全专家（匿名）称：“我本以为100%的企业都会受到各类第三方故障影响，那4%未受影响的声称反而更让我惊讶。”

瑞士记录的第三方漏洞最多，平均每家公司约172起，其次是荷兰（148起）和英国（136起）。SecurityScorecard数据显示，仅10个威胁行为者群体就应对全球44%的网络事件负责。“这些事件凸显了互联数字环境中隐藏漏洞对成熟金融机构的严重影响。”

上月报告指出，尽管金融科技公司安全态势强劲，但为大型金融机构提供技术的它们仍面临第三方弱点风险。研究发现金融科技行业安全态势排名最高，但潜在第三方薄弱环节可能打开安全漏洞大门。41.8%影响顶级金融科技公司的漏洞源自第三方供应商，超过18%通过第四方（金融科技合作伙伴的合作伙伴）传入。

相关阅读

• 供应商遭网络攻击导致瑞银员工数据泄露
• 金融科技强劲安全态势因第三方薄弱环节受威胁
• 解读《数字运营弹性法案》（DORA）合规要求

来源：Computer Weekly 2025年6月10日报道