文章核心观点 - 纽约州金融服务部发布新指引 要求金融机构将第三方服务提供商风险管理作为网络安全计划的核心 标志着将第三方监督视为合规性检查的旧模式已终结 [1] - 指引的核心精神是网络责任不可外包 金融机构自身必须承担起洞察并确保其复杂数字供应链韧性的责任 即使对于第三、第四方提供商也是如此 [2] - 新指引反映了全球监管趋势的转变 即从定期合规检查转向对风险韧性的持续监控 [6] 第三方风险现状与影响 - 金融机构建立在跨越云、金融科技和AI服务的流动数字供应链之上 这些链条创造了动态、互联且不透明的依赖关系 [2] - 金融行业风险敞口尤其显著 2025年Verizon数据泄露调查报告发现 第三方泄露事件占比已达30% 较2024年的比例翻倍 [3] - 第三方泄露的影响范围远超直接受影响的供应商 2024年 美国97%的主要银行受到了第三方或第四方泄露事件的影响 尽管实际遭受攻击的供应商仅为少数 [4] 风险认知误区与集中风险 - 许多机构误以为将工作负载分散给多个供应商可以降低风险敞口 但现实是这种多样化更多是一种假象 因为许多供应商外包给同一组使用不同品牌名称的子服务提供商 [5] - 这种多样化的假象造成了集中风险 例如2025年NPM "Shai-Hulud"恶意软件活动 利用了金融软件供应商使用的数百个开源软件包之间的依赖关系 导致了没有单一机构能直接控制但几乎所有机构都感受到的连锁风险 [5] - 下一次系统性事件很可能并非始于全球银行的漏洞 而是源于数百家公司所依赖的共享服务提供商深处一个未被注意到的故障 [2]