第三方安全漏洞威胁欧洲大型银行

研究发现，几乎所有 (96%) 欧洲最大的金融服务机构均已受到第三方组织的安全漏洞影响。根据报告作者 SecurityScorecard ，这一比例比两年前进行的相同调查时高出 25% 。

这家风险管理公司分析了欧洲按资产管理规模排名前 100 的金融公司，结果发现过去一年中有 (96%) 的公司至少经历过一次第三方漏洞；而在两年前的报告中，这一比例为 (78%) 。

调查同时显示，有 (97%) 的公司曾因第四方（其合作伙伴的合作伙伴）而出现漏洞，这一比例较两年前的 (84%) 明显上升。直接受到攻击的公司比例为 (7%) ，低于 2023 年报告中的 (8%) 。

这些调查结果是在今年 1 月 Digital Operational Resilience Act ( Dora ) 正式实施后得出的。

该法案涵盖了网络韧性、可审计性，以及金融机构与第三方软件和 IT 服务供应商在利用这些产品和服务支持业务运营时各自所承担责任的多个方面。尽管这是一项影响欧盟企业的欧洲法规，但其他地区也正在推动网络韧性建设。

SecurityScorecard 威胁洞察与归因高级经理 Corian Kennedy 表示：“欧洲顶级金融机构中第三方漏洞激增 (25%) ，不仅是个警告，更是一个行动号召。网络威胁已不再局限于外围防御，而是深深植根于供应链之中。各机构必须从被动防御转为主动防御策略，以应对日益严峻的挑战。”

这些数据并不令人意外。金融服务公司拥有一个由不同技术供应商组成的复杂生态系统，而网络犯罪分子正是针对这一点展开攻击。

一位不愿透露姓名的英国银行业 IT 安全专家表示，他对这些数据并不感到惊讶：“我原本预期所有公司 (100%) 都可能受到各类第三方失误的影响，反而那些声称未受任何影响的 (4%) 更让我感到意外。”

瑞士的第三方漏洞案例最多，每家公司平均约 (172) 起，其次是荷兰 (148) 起和英国 (136) 起。

根据 SecurityScorecard 的数据，全球网络事件中有 44% 归因于仅十个威胁行为团体。“这些事件突显了在互联数字环境中隐藏的漏洞，即使是最成熟的金融机构也可能受到严重冲击，”报告指出。

上个月，SecurityScorecard 报告称，为大型金融机构提供技术支持的金融科技（fintech）公司，尽管在安全防护方面表现出色，但仍受到第三方弱点的威胁。

报告显示，在所有研究行业中，金融科技领域的安全态势排名最高，但潜在的第三方薄弱环节可能为安全漏洞打开大门。调查还揭示，影响顶级金融科技公司的漏洞中有 (41.8%) 来源于第三方供应商，而超过 (18%) 的漏洞则通过第四方——即金融科技公司合作伙伴的合作伙伴——发生。