暗网曝光:瑞银员工数据泄露揭示银行业第三方“阿喀琉斯之踵”
在瑞银集团(UBS Group AG)苏黎世总部的金碧辉煌走廊里,高管们正争相遏制网络安全专家口中“瑞士最敏感的金融数据泄露”事件所带来的影响。超过13万瑞银员工的个人信息——包括住址、办公室平面图,甚至首席执行官塞尔吉奥·埃尔莫蒂(Sergio Ermotti)的直拨电话号码——如今在暗网论坛上自由传播。这并非由于瑞银本身遭受了勒索软件攻击,而是其第三方采购供应商Chain IQ被攻破。
此次泄露事件于6月18日由瑞银确认,在全球金融市场引发震动,这家瑞士银行业巨头的股价下跌2.6%,市值蒸发约15亿美元。然而,除了即时股价反应之外,更令人不安的发现是:如今构成全球金融支柱的,是庞大且几乎不可见的互联服务提供商网络。
银行业巨头背后的“隐形之手”
作为此次攻击“震中”的Chain IQ,并非普通的供应商。这家采购服务公司于2013年从瑞银集团拆分出来,起初就拥有一个显著优势——瑞银集团将其价值约70亿瑞士法郎的全部采购业务免费移交给了它,且未进行竞标。
“我们看到的是银行业外包革命的阴暗面,”一位因调查仍在进行而要求匿名的资深网络安全分析师指出。“金融机构一直在大力外包非核心职能,却维持着固若金汤般的安全假象。”
发起此次攻击的勒索软件组织“World Leaks”(前身为“Hunters International”),采用了一种越来越普遍的策略——并非攻击戒备森严的主要机构,而是其更脆弱的供应链合作伙伴。据法证调查人员称,该组织利用了Chain IQ系统中未打补丁的软件漏洞,在不加密文件的情况下窃取敏感数据,纯粹专注于数据盗窃和勒索。
银行业务关系的秘密网络
此次泄露事件无意中揭示了瑞银领导层与Chain IQ之间错综复杂的关系网,引发了严重的治理问题。Chain IQ创始人兼总裁克劳迪奥·奇苏洛(Claudio Cisullo)与瑞银现任和前任高管保持着密切联系,其中包括首席执行官塞尔吉奥·埃尔莫蒂,奇苏洛称其为“朋友”。
这种“舒适安排”更甚:在采购业务移交给Chain IQ时担任瑞银二把手的乌尔里希·科尔纳(Ulrich Körner),将这项利润丰厚的业务免费交出。瓦尔特·施特尔辛格(Walter Stürzinger),曾是科尔纳的得力助手,也是瑞银长期风险经理,负责处理交易细节,后来转投Chain IQ担任副总裁。
这些关系已引起瑞士议会成员的关注,消息人士称,议会可能会就Chain IQ的所有权结构——“瑞士银行业保守得最好的秘密之一”——及其政治联系举行听证会。
日益增加的财务和监管压力
对投资者而言,此次泄露事件的财务影响超出了即时的市场反应。分析师估计,瑞银可能面临最高可达2024年集团收入4%(约14亿瑞士法郎)的GDPR罚款,这可能导致2025年每股收益减少4%。额外的修复成本和法律费用可能达到6亿瑞士法郎,网络安全运营支出每年可能增加2.5亿瑞士法郎。
“计算结果显示,2025年每股收益可能减少约5%,这意味着如果市盈率倍数保持不变,其估值将从8.6倍下调至9.0倍,”一家欧洲领先资产管理公司的投资策略师解释道。“对于一家在瑞信整合后能实现15%有形股本回报率的银行而言,这虽影响重大,但不足以改变其投资逻辑。”
瑞士金融监管机构FINMA近日报告称,2024年针对瑞士金融机构的网络攻击成功案例激增近50%,强调第三方和供应链漏洞是主要担忧。欧洲中央银行也同样警告,许多银行在应对来自外部供应商的网络风险方面做得不足。
“不只是瑞银的问题”:行业性漏洞
此次泄露事件不仅影响了瑞银,还影响了Chain IQ服务的其他19家公司,包括瑞士私人银行百达银行(Pictet)、毕马威(KPMG)和瑞穗银行(Mizuho)。尽管这些机构强调没有客户数据被泄露,但该事件突显了贯穿整个金融体系的系统性漏洞。
“这不仅仅是瑞银的问题——这是全行业的一记警钟,”一位专注于金融科技风险的行业顾问指出。“在过去12个月中,欧洲排名前100的银行中约有96%遭受了第三方数据泄露。问题不在于你的机构是否会受到影响,而在于何时以及严重程度如何。”
对于瑞银而言,此次泄露事件正值其持续推进对瑞信复杂整合的敏感时期。尽管遭遇当前挫折,