【安全资讯】英国央行报告警示：金融机构基础网络安全防护仍存重大短板

概要：

在数字化金融时代，网络安全是保障经济稳定的基石。然而，英国央行（BoE）发布的2025年度网络安全审查报告却敲响了警钟。报告指出，尽管监管严格，英国的金融机构及其关键金融管理基础设施（FMI）在基础网络安全防护方面仍存在普遍且严重的缺陷，使其持续暴露在复杂的网络威胁之下。

主要内容：

根据英国央行、审慎监管局和金融行为监管局联合发布的CBEST评估报告，2025年对13家机构进行的渗透测试和评估揭示了多个反复出现的技术弱点。其中，配置不当、补丁管理不一致的系统，以及薄弱的访问控制和密码策略是普遍问题。此外，用于检测潜在入侵和漏洞的机制也存在不足，导致防御体系存在明显缺口。

报告特别强调了非技术性风险。员工安全意识薄弱、培训不足以及企业文化问题，使得社会工程学攻击成为重大威胁。攻击者利用钓鱼和鱼叉式钓鱼邮件，能够轻易绕过技术防护。评估发现，缺乏严格协议的帮助台也容易成为攻击者欺诈获取合法凭证的入口。NCSC指出，Scattered Spider等黑客组织擅长此类攻击。

CBEST评估模拟了国家支持的高级持续性威胁（APT）、第三方供应链妥协以及恶意内部人员等多种高严重性攻击场景。尽管金融机构在网络威胁情报管理方面显示出一定成熟度，但情报往往未能有效整合到业务运营中。与往年相比，许多核心弱点，如弱配置、过度宽松的访问控制等，仍未得到解决。

尽管挑战严峻，报告也指出了一些积极进展，例如多因素认证的推广情况有所改善。CBEST评估的目的在于为受监管实体指明最常见的安全缺口，这些缺口很可能导致成功的网络攻击并引发破坏性后果，敦促行业全面提升网络弹性。