Twee van de vijf – 41,8% – van de cyber inbreuken op toonaangevende fintechbedrijven afkomstig is van externe leveranciers. Dat blijkt uit het recente sectorrapport 2025 van SecurityScorecard getiteld ‘Defending the Financial Supply Chain: Strengths and Vulnerabilities in Top Fintech Companies’. Gebaseerd op een uitgebreide analyse van de cybersecuritystatus van 250 van ’s werelds beste fintechbedrijven, benadrukt het rapport de groeiende kloof tussen sterke interne controles en externe risico’s in de toeleveringsketen.
Ryan Sherstobitoff, SVP van de STRIKE Threat Research and Intelligence Unit van SecurityScorecard, verklaart: “Fintechbedrijven zijn de drijvende kracht achter de wereldwijde financiële wereld, maar één blootgestelde leverancier kan kritieke infrastructuur platleggen. Inbreuken op externe partijen zijn geen uitzonderingen, maar onthullen structurele risico’s. In fintech betekent dit operationele uitval van betalingssystemen, digitale activaplatforms en de belangrijkste financiële infrastructuur.”
Belangrijkste bevindingen:
- Fintechbedrijven hadden de sterkste beveiligingshouding van alle geanalyseerde sectoren, met een mediaanscore van 90 en 55,6% kreeg een ‘A’.
- 18,4% van de fintechbedrijven had te maken met openbaar gemelde inbreuken. Bij 28,2% daarvan waren er meerdere incidenten.
- Aanvalsvectoren van externe partijen waren verantwoordelijk voor 41,8% van de inbreuken. Blootstellingen aan externe partijen waren goed voor nog eens 11,9%, meer dan het dubbele van het wereldwijde gemiddelde.
Technologieproducten en -diensten werden in verband gebracht met 63,9% van de inbreuken door derden, waarbij software voor bestandsoverdracht en cloudplatforms de meest voorkomende risico’s waren.
- Applicatiebeveiliging en DNS-status waren de meest voorkomende zwakke punten, waarbij 46,4% van de bedrijven het laagst scoorde op applicatiebeveiliging.
Aanbevelingen voor cyberbeveiliging voor fintech-bedrijven
Op basis van deze analyse doet het SecurityScorecard STRIKE-team de volgende aanbevelingen om de cyberbeveiliging in het hele fintech-ecosysteem te verbeteren:
- Versterk het toezicht op risico’s van derde en vierde partijen: Fintech-bedrijven moeten leveranciers rangschikken op basis van blootstelling en geschiedenis van inbreuken, niet alleen op basis van uitgaven of bedrijfswaarde. Door downstream afhankelijkheden bekend te maken en meldingsclausules voor incidenten in contracten op te nemen, kunnen risico’s van inbreuken door derden worden beperkt.
- Veilige gedeelde infrastructuur en technische hulpmiddelen: Software voor bestandsoverdracht, cloudopslagplatforms en communicatiemiddelen voor klanten waren de meest voorkomende vectoren voor inbreuken door derden. Fintechs moeten deze integraties regelmatig controleren en van partners eisen dat ze veilige implementatiepraktijken laten zien.
- Kritieke gaten in applicatiebeveiliging en DNS dichten: Bijna de helft van de fintechs scoorde het laagst op applicatiebeveiliging. Onveilige redirect-ketens, verkeerd geconfigureerde opslag en ontbrekende SPF-records kwamen vaak voor. Het verhelpen van deze fundamentele zwakke punten moet een prioriteit zijn, te beginnen met de klantgerichte bedrijfsmiddelen.
- Krachtige bescherming van referenties afdwingen: Het merendeel van de bedrijven werd getroffen door campagnes voor het vullen van referenties en aanvallen op typosquatting. Het afdwingen van MFA, het controleren op hergebruikte credentials en het verwijderen van gespoofde domeinen zijn essentieel om gebruikers te beschermen en platformonafhankelijke aanvallen te voorkomen.
- Behandel herhaalde inbreuken als een belangrijk risicosignaal: Bedrijven met meerdere inbreuken waren verantwoordelijk voor de meerderheid van alle incidenten. Leveranciers met een geschiedenis van eerdere inbreuken, vooral die waarvan bekend is dat ze aan derden zijn blootgesteld, moeten tijdens het in dienst treden en bij verlengingen extra kritisch worden gevolgd.
