De grondig veranderde werkomgeving die Covid-19 heeft ingeluid, creëerde nieuwe wegen voor cyberaanvallen. Terwijl asset managers in de beginfase van de pandemie terecht prioriteit gaven aan de instandhouding van hun dienstverlening, moeten beleggers nu nagaan of de infrastructuur die de bedrijfscontinuïteit mogelijk heeft gemaakt, ook in de toekomst voldoende robuust is.
Uit Operational Due Diligence (ODD) analyse blijkt dat asset managers – ook gevestigde namen – soms de meest elementaire beginselen ontberen, zoals multifactor-authenticatie, penetratie- tests (gesimuleerde aanvallen) en beperkingen op verwijderbare media.
Zelfs als de eigen cyber-defensie van een manager robuust is, kunnen kwetsbaarheden worden geïntroduceerd via bijvoorbeeld het gebruik van cloud diensten of via de talloze leveranciers die de interne processen ondersteunen. Dit groeiende netwerk van externe partijen voor een reeks van diensten in de mid- en back-office vormen een mogelijke achterdeur voor cybercriminelen. Managers dienen de risico’s van alle toeleveringsketens grondig te beoordelen, zowel tijdens de implementatie als op doorlopende basis. Een reeks van incidenten heeft de afgelopen periode voor opvallende krantenkoppen gezorgd.
Zo was er de aanval op het hedgefonds Levitas Capital middels een nep-uitnodiging voor een Zoom-gesprek. Cybercriminelen kregen toegang tot de computers en het email-systeem van het fonds, waarna meerdere frauduleuze betalingsinstructies werden geautoriseerd en geld is verdwenen. Compromittering van zakelijke e-mail is al tijden een van de meest voorkomende bronnen van cyber-risico en dat zal waarschijnlijk zo blijven. Een robuuste cyber-risico-training in combinatie met gedisciplineerde processen omtrent overboekingen kunnen helpen om fouten die door phishing worden gegenereerd, te beperken.
Het is geen verrassing dat cybercriminelen op zoek gaan naar de zwakste schakel om binnen te komen. Een van de kwetsbaarheden is de groei van het aantal netwerkapparaten dat verbinding maakt met bedrijfsnetwerken.
Denk aan printers, telefoons maar ook hardware voor videoconferencing. Als deze apparaten niet goed worden beveiligd, vormen ze een ingang voor cybercriminelen met alle gevolgen van dien. Waar het apparaten betreft die het eigendom zijn van het personeel en toch verbinding kunnen maken met het netwerk, zijn de risico’s zowaar nog groter. Cybercriminelen hebben het gemunt op organisaties van alle soorten en maten.
Extra kwetsbaar zijn asset managers die veel handmatige handelingen verrichten, zoals gebruikelijk in private markets. De kosten en complexiteit van het opzetten van een sterke cyber-verdediging kan met name voor kleine bedrijven een extra grote uitdaging zijn.
Volgens Accenture is het aantal cyberaanvallen in 2021 met meer dan 30 procent toegenomen, wat illustreert dat Covid-19 een vruchtbaar jachtterrein heeft gecreëerd. Asset managers zijn natuurlijk ook aantrekkelijke doelwitten omdat zij tijdens hun dagelijkse bedrijfsactiviteiten routinematig grote sommen geld overmaken.
Cyberrisico verdient overigens niet alleen aandacht van de IT-afdeling. Ook portfolio managers moeten inzicht hebben in de cyberkwetsbaarheden van hun beleggingen. De waardepropositie van een ogenschijnlijk aantrekkelijke belegging kan volledig worden uitgehold door de gevolgen van een datalek – wat kan leiden tot boetes, diefstal van intellectueel eigendom, verlamming van bedrijfsactiviteiten, reputatieschade en waardedaling van de assets.
Het is raadzaam dat beleggers hun asset managers aansporen om te streven naar best practices en dit ook van hen gaan eisen. In de wereld van vandaag is een robuuste cyberrisicopositie noch een formaliteit noch een overbodige luxe – het is een zaak van grote urgentie geworden.
Frans Verhaar is senior director client consulting bij investment consultancy bfinance.