New report highlights growing risks in banking supply chains amid increasing third-party reliance
NEW YORK--(BUSINESS WIRE)--SecurityScorecard today released an in-depth analysis revealing that 97% of the top 100 U.S. banks experienced a third-party data breach in the past year, exposing significant vulnerabilities in banking supply chains.
As banks increasingly rely on third-party vendors for core functions, their exposure to supply chain vulnerabilities grows. Using the largest proprietary risk and threat intelligence dataset, SecurityScorecard's experts analyzed how third-party breaches impact the banking sector. With these breaches posing serious risks, fully understanding external dependencies is essential for reducing exposure and maintaining resilience.
Ryan Sherstobitoff, Senior Vice President of Threat Research and Intelligence, said:
"Nearly all major U.S. banks faced third-party breaches, exposing serious weaknesses across our interconnected digital ecosystem. The recent CrowdStrike incident underscored this fragility, showing how issues with just one vendor — even without a breach — can create widespread exposure and risk. For banks, these third-party vulnerabilities mean one compromised vendor could destabilize the entire financial system."
Key findings
- 97% of the largest U.S. banks reported third-party breaches, even though only 6% of vendors were compromised, showing the extensive reach of these incidents.
- Nearly all (97%) of these banks also suffered fourth-party breaches, traced back to just 2% of vendors.
- Each of the top 10 U.S. banks faced a third-party breach, underscoring risk across the industry.
Cybersecurity recommendations for the financial industry
Based on this analysis, the SecurityScorecard STRIKE team also offers actionable insights for enhancing cybersecurity in the banking sector:
- Continuously monitor external attack surfaces: Implement automated scanning to detect IT infrastructure and cybersecurity risks across vendor and partner environments.
- Identify single points of failure: Map the critical business processes and technologies to identify any single points of failure. Create a watch list with these vendors.
- Automatically detect new vendors: Passively monitor vendors' IT deployments to identify and resolve hidden supply chain risks.
Methodology
SecurityScorecard researchers analyzed 100 top U.S. banks by market capitalization, assessing over 9,000 domains, including third- and fourth-party vendors.
SecurityScorecard gathers significant amounts of non-intrusive data on the cybersecurity performance of companies worldwide. Using this data, SecurityScorecard calculates an overall score, graded A through F, based on ten factors that are predictive of a security breach.
Additional resources
- To learn more about SecurityScorecard threat intelligence, visit our website.
About STRIKE
The STRIKE threat intelligence team combines unique threat intelligence, incident response experience, and supply chain cyber risk expertise. Backed by SecurityScorecard technology, STRIKE is a strategic advisor to CISOs worldwide, empowering the entire digital ecosystem to identify, measure, and resolve cyber risk.
About SecurityScorecard
Funded by world-class investors, including Evolution Equity Partners, Silver Lake Partners, Sequoia Capital, GV, Riverwood Capital, and others, SecurityScorecard is the global leader in cybersecurity ratings, response, and resilience, with more than 12 million companies continuously rated.
Founded in 2014 by security and risk experts Dr. Aleksandr Yampolskiy and Sam Kassoumeh, SecurityScorecard's patented security ratings technology is used by over 25,000 organizations for enterprise risk management, third-party risk management, board reporting, due diligence, cyber insurance underwriting, and regulatory oversight.
SecurityScorecard makes the world safer by transforming how companies understand, improve, and communicate cybersecurity risks to their boards, employees, and vendors. SecurityScorecard achieved the Federal Risk and Authorization Management Program (FedRAMP) Ready designation, highlighting the company's robust security standards to protect customer information, and is listed as a free cyber tool and service by the U.S. Cybersecurity & Infrastructure Security Agency (CISA). Every organization has the universal right to its trusted and transparent Instant SecurityScorecard rating. For more information, visit securityscorecard.com or connect with us on LinkedIn.
Contacts Media Contact
Allison Knight
10Fold for SecurityScorecard
securityscorecard@10fold.com
新しい報告書は、サードベンダーへの依存が高まる中で、銀行のサプライチェーンにおけるリスクの増大を強調しています。
ニューヨーク--(ビジネスワイヤ)--SecurityScorecardは、本日、過去1年間にアメリカのトップ100の銀行のうち97%がサードパーティのデータ侵害を経験したことを明らかにする詳細な分析を発表しました。これにより、銀行のサプライチェーンにおける重要な脆弱性が暴露されました。
銀行は、コア機能のためにサードベンダーにますます依存するようになっており、その結果、サプライチェーンの脆弱性に対する曝露が高まっています。SecurityScorecardの専門家は、最大の独自のリスクと脅威インテリジェンスデータセットを使用して、サードパーティの侵害が銀行業種に与える影響を分析しました。これらの侵害が深刻なリスクをもたらすため、外部依存関係を完全に理解することが、曝露を減らし、レジリエンスを維持するために不可欠です。
脅威研究とインテリジェンスのシニアバイスプレジデント、ライアン・シャーストビトフは次のように述べました。
「ほとんどすべての主要なアメリカの銀行がサードパーティの侵害に直面し、私たちの相互接続されたデジタルエコシステム全体で深刻な弱点が露呈しています。最近のクラウドストライクの事件は、この脆弱性を際立たせており、侵害がなくても一つのベンダーに問題があるだけで、広範な曝露とリスクを生む可能性があることを示しています。銀行にとって、これらのサードパーティの脆弱性は、一つの compromised ベンダーが金融システム全体を不安定にする可能性があることを意味します。」
主要な発見
- 最大のアメリカの銀行のうち97%がサードパーティの侵害を報告しましたが、侵害されたベンダーはわずか6%に過ぎず、これらの事件の広範な影響を示しています。
- これらの銀行のほぼすべて(97%)が、わずか2%のベンダーに起因する第四者の侵害も経験しました。
- アメリカの上位10の銀行はそれぞれサードベンダーの侵害に直面しており、全業種にわたるリスクを強調しています。
金融業種に対するサイバーセキュリティの推奨事項
この分析に基づき、SecurityScorecardのSTRIKEチームは銀行セクターにおけるサイバーセキュリティを強化するための実用的な洞察を提供します。
- 外部攻撃面を継続的に監視する: ベンダーやパートナーの環境全体にわたるITインフラ関連およびサイバーセキュリティリスクを検出するために、自動スキャンを実装します。
- 単一障害点を特定する: 重要なビジネスプロセスとテクノロジーをマッピングして、任意の単一障害点を特定します。これらのベンダーのウォッチリストを作成します。
- 新しいベンダーを自動的に検出する: ベンダーのIT展開を受動的に監視して、隠れたサプライチェーンリスクを特定し解決します。
方法論
SecurityScorecardの研究者は、市場資本化に基づいて100のアメリカのトップ銀行を分析し、サードパーティおよびフォースパーティのベンダーを含む9,000以上のドメインを評価しました。
SecurityScorecardは、全世界の企業のサイバーセキュリティパフォーマンスに関する非侵襲的なデータを大量に収集します。このデータを使用して、SecurityScorecardはセキュリティ侵害の予測因子に基づいて、AからFまでのグレードで全体スコアを算出します。
追加リソース
- SecurityScorecardの脅威インテリジェンスについて詳しくは、私たちのウェブサイトをご覧ください。
STRIKEについて
STRIKEの脅威インテリジェンスチームは、独自の脅威インテリジェンス、インシデント対応の経験、サプライチェーンのサイバーリスクの専門知識を組み合わせています。SecurityScorecardのテクノロジーに支えられたSTRIKEは、全世界のCISOに対する戦略的アドバイザーとして機能し、デジタルエコシステム全体にサイバーリスクを特定、測定、解決する力を与えています。
SecurityScorecardについて
Evolution Equity Partners、Silver Lake Partners、Sequoia Capital、GV、Riverwood Capitalなどの一流投資家から資金提供を受けているSecurityScorecardは、サイバーセキュリティ評価、対応、回復力においてグローバルなリーダーであり、1200万以上の企業が継続的に評価されています。
2014年にセキュリティとリスクの専門家であるアレクサンドル・ヤンポルスキー博士とサム・カッスーメによって設立されたSecurityScorecardの特許取得済みのセキュリティ評価テクノロジーは、enterpriseリスク管理、第三者リスク管理、取締役会報告、適正評価、サイバー保険の引受、および規制監視のために25,000以上の組織に利用されています。
SecurityScorecardは、企業がサイバーセキュリティリスクを理解し、改善し、取締役会、従業員、サードベンダーに伝える方法を変革することで、世界をより安全にします。SecurityScorecardは、顧客情報を保護するための強力なセキュリティ基準を強調し、連邦リスクおよび認可管理プログラム(FedRAMP)Readyの認定を達成しました。また、アメリカ合衆国サイバーセキュリティ・インフラセキュリティ庁(CISA)によって無料のサイバー工具およびサービスとしてリストされています。すべての組織には、信頼できる透明なInstant SecurityScorecard評価を受ける権利があります。詳細については、securityscorecard.comをご覧いただくか、LinkedInで私たちに接続してください。
連絡先
メディア連絡先
アリソン・ナイト
10Fold for SecurityScorecard
securityscorecard@10fold.com