US breach reinforces need to plug third-party security weaknesses

金融行业再次得到一个警示：安全态势的强度取决于其最薄弱的一环。一家科技供应商遭黑客入侵，使美国多家银行暴露于风险之中。

本周，为美国银行提供贷款和抵押贷款服务的SitusAMC承认，其系统中的“特定信息”在一次网络攻击中遭到泄露。SitusAMC为美国银行和抵押贷款机构管理着数十亿份贷款文件，一次入侵就可能将风险扩散至整个金融行业。

SitusAMC在11月22日的一份声明中表示：“2025年11月12日，[我们]获悉一起事件，现已确定此事导致我们系统中的某些信息遭到泄露。与某些……客户与SitusAMC关系相关的企业数据（如会计记录和法律协议）已受到影响。”声明补充道：“我们部分客户的某些相关数据也可能受到影响。”

使用SitusAMC服务的美国银行包括摩根大通和花旗集团。

据报道，美国联邦调查局（FBI）已获知此次泄露事件。

在11月25日的更新中，SitusAMC表示：“[我们]一直在努力进行数据审查工作，当前审查阶段包括进行关键词搜索，以在我们已知受影响的某些文件路径中识别客户名称。”

广泛的供应商关联

金融服务生态系统正变得越来越复杂，大量公司向银行及其他金融机构提供技术平台（金融科技服务）。这些公司中任何一家的安全漏洞都可能导致金融组织的数据面临风险。

随着银行合作的金融科技伙伴数量不断增加，这已成为金融领域日益严峻的问题。

风险管理公司SecurityScorecard最近的研究发现，在最近测量的12个月期间，欧洲96%的大型金融服务组织曾受到第三方组织安全漏洞的影响。相比之下，两年前的上一份报告中这一比例为78%。

研究还揭示，97%的公司曾因第四方（即其合作伙伴的合作伙伴）而发生数据泄露，较之前调查的84%有所上升。

与此同时，直接遭受入侵的比例有所下降。根据SecurityScorecard的数据，在此期间，7%的公司遭受了直接入侵，低于之前的8%。

一位不愿透露姓名的英国银行业IT安全专家表示，他对这些数字并不感到意外。“我本以为100%的公司都会受到各种类型的第三方故障影响，”他们说，“那4%声称未受影响的公司反而更让我惊讶。”

尽管金融科技行业可能具备强大的安全态势，但仍可能通过第三方遭受攻击。

研究发现，欧洲几乎所有（96%）的大型金融服务组织都曾受到第三方组织安全漏洞的影响。

美国国家标准与技术研究院（NIST）的网络安全框架为组织加强第三方风险管理策略提供了一些有益建议。以下是实施方法。

SecurityScorecard的首席信息安全官Steve Cobb表示：“黑客入侵了金融科技提供商SitusAMC，从其系统中窃取了会计记录和法律协议。”他警告网络犯罪分子正在改变策略。“此次泄露事件说明攻击者正转向悄悄窃取敏感信息，而不是立即造成破坏，”Cobb说，“这种战术转变使得检测更加困难，并提高了依赖供应商管理数据的组织所面临的风险。”他补充道，银行及其供应商必须将合作伙伴风险管理提升至与内部安全相当的水平。“任何接触非公开数据的合作伙伴都是一个潜在的暴露点，”Cobb说，“组织需要持续了解其供应商生态系统的健康状况，并实时验证合作伙伴的控制措施是否有效。”

2025年1月，欧盟的《数字运营韧性法案》（DORA）开始实施。该法案涵盖了网络韧性、可审计性以及金融机构与第三方软件和IT服务提供商（当这些产品和服务用于支持业务运营时）之间的责任分担等多个方面。尽管这是一项影响在欧盟运营公司的欧洲法规，但其他地区也在建立网络韧性框架。