Cyberbeveiliging
Risico’s voor waarde creatie in elke digitaliserende sector
Door Michaela Zhirova en Marjo Koivisto van Nordea Asset Management
Inleiding
Cyberaanvallen zijn de afgelopen vijf jaar bijna verdubbeld in aantal en hebben volgens het Wereld Economisch Forum een prijskaartje van naar schatting 90 biljoen US-dollar1. Het tempo en de mate waarin nieuwe technologieën in tal van sectoren worden geïntroduceerd, bieden cybercriminelen immers steeds meer kansen op cyberaanvallen. Naarmate er meer tests en proefprojecten voor 5G worden uitgevoerd, zal dit aantal alleen maar toenemen. Cyberaanvallen op zowel bedrijven als overheden veroorzaken onder andere schending van de privacy en vertrouwelijkheid, kostbare gegevensdiefstal, en brengen de integriteit en de toegang tot systemen en de vernietiging van gegevens in gevaar. En hoewel het aantal cyberaanvallen in een alarmerend tempo toeneemt en de aanvallen ook steeds geavanceerder worden, lijken bedrijven onvoldoende in het beheer van cyberrisico’s te investeren. Een van de twee belangrijke problemen die Chief Information Security Officers vaststellen, is namelijk dat er te weinig middelen beschikbaar zijn.
In dit artikel over verantwoord beleggen beschrijven we waarom wij cyberbeveiliging beschouwen als een steeds meer voorkomende ESG-risicofactor in alle sectoren, en speculeren we over de belangrijkste financiële gevolgen van cyberincidenten die wij voor bedrijven hebben vastgesteld. Voorts hebben wij de blootstelling van sectoren aan cyberdreigingen een score gegeven en geven wij ons standpunt over die sectoren die volgens ons een groot risico lopen. In het kader van ons engagement ten aanzien van ESG, hebben wij een standpunt ontwikkeld om best practices op te nemen bij de vaststelling en het beheer van cyberdreigingen, het bewustzijn van daarmee samenhangende factoren en de implementatie van maatregelen op het gebied van cyberbeveiliging. Wij pleiten voor het gebruik van een vragenlijst om een benchmark op te stellen voor de mate waarin bedrijven bestand zijn tegen cyberaanvallen en beschrijven onze verwachtingen ten aanzien van de best practices voor bedrijven om uit te drukken in welke mate zij op het gebied van cyberbeveiliging zijn voorbereid.
Belangrijke cyberaanvallen: welke lessen hebben wij geleerd van de financiële gevolgen voor het bedrijfsleven?
Omdat het lang kan duren om vast te stellen of er een cyberaanval heeft plaatsgevonden en om aanvallen te evalueren en te elimineren, wat tot operationele verliezen kan leiden, worden de kosten voor bedrijven geleidelijk aan steeds groter. Dat blijkt wel uit enkele van de grootste ransomware aanvallen ooit, zoals NotPetya. De NotPetya-ransomware aanval verspreidde zich in 2017 vanaf servers in Oekraïne naar grote internationale bedrijven, en veroorzaakte zo verliezen van in totaal meer dan 10 miljard US-dollar2 aan schade. De aanval trof computers over de hele wereld. De aanval infecteerde bedrijven in verschillende sectoren, van bedrijven uit de medische dienstverlening tot een groot logistiek bedrijf (A.P. Møller-Maersk), die zijn activiteiten meer dan tien dagen moest stilleggen3.
Marriott is een andere grootschalige onderneming die getroffen werd door een aanzienlijke ransomware aanval. Op 8 september 2018 meldde een intern beveiligingsprogramma een verdachte poging om toegang te krijgen tot het interne reserveringssysteem van Marriotts Starwood-keten. Er werd vervolgens een intern onderzoek gevoerd waaruit bleek dat het netwerk van Starwood, dat in 2016 door Marriott was overgenomen, al ergens in 2014 was gehackt. Volgens verklaringen waren de voormalige Starwood-hotels op het moment van de aanval nog niet naar het eigen reserveringssysteem van Marriott gemigreerd en werd nog steeds de van Starwood overgenomen IT-infrastructuur gebruikt. In haar onderzoek vond Marriott dat de aanvallers persoonsgegevens hadden versleuteld en getracht hadden om de betreffende gegevens (allicht met succes) uit de Starwood-systemen te verwijderen. Marriott slaagde erin om de gegevens te ontsleutelen en ontdekte dat ze informatie van wel 500 miljoen gasten bevatte, waaronder extreem gevoelige informatie zoals kredietkaarten en paspoortnummers.
De financiële gevolgen van het ransomware-incident voor Marriott waren ernstig. In juli 2019 kreeg het van het VK een boete van 126 miljoen US-dollar wegens schending van de Algemene Verordening Gegevensbescherming (AVG). Hun winst in het tweede kwartaal van 2019 daalde met 65% tot 232 miljard US-dollar of 69 cent per aandeel4. De hotelketen kreeg voor het incident ook een boete (niet in het kader van de AVG) van de Turkse gegevensbeschermingsautoriteit van 1,5 miljoen lira (~ 265.000 US-dollar), wat duidelijk aantoont hoe één lek kan leiden tot meerdere wereldwijde boetes. Tot slot kreeg het bedrijf in maart 2019 nog een boete van 28 miljoen US-dollar (die slechts een invloed van 3 miljoen US-dollar had op de winst van het bedrijf omdat Marriott verzekerd was tegen cyberaanvallen).
Het datalek bij Marriott kwam op 30 november 2018 aan het licht. In de maand na het nieuws kelderde de aandelenkoers van Marriott met 17%, al moet die daling wel gekaderd worden in een anderszins volatiele maand december en na goede prestaties in het jaar ervoor5.
“Omdat het lang kan duren om vast te stellen of er een cyberaanval heeft plaatsgevonden en om aanvallen te evalueren en te elimineren, wat tot operationele verliezen kan leiden, worden de kosten voor bedrijven geleidelijk aan steeds groter.”
Uit empirische analyses van de markt blijkt dat beleggers bedrijven met datalekken inderdaad afstraffen. Voor bedrijven zou dit een sterke motivatie moeten zijn om zich toe te leggen op betere voorzorgsmaatregelen op het gebied van cyberbeveiliging. Uit een recent onderzoek bij aan de NYSE genoteerde bedrijven die getroffen werden door een publiek gemelde schending van 1 miljoen of meer gegevensrecords, bleek dat de aandelenkoers circa twee weken na de bekendmaking van het nieuws een laagtepunt bereikte, met een gemiddelde daling van 7,27% en een rendementsachterstand bij de NASDAQ van -4,18%6. Uit datzelfde onderzoek bleek zelfs, hoewel het effect van het lek op de aandelenkoers na verloop van tijd afnam, de aandelenkoers van deze bedrijven toch achterbleef bij de markt (over een termijn van 1 of 2 jaar).
Cyberrisico voor waarde creatie: poging tot een schatting van de impact op kosten en opbrengsten
Omdat niemand weet wanneer afzonderlijke cyberaanvallen plaatsvinden, is het moeilijk om een prijs op cyberrisico te plakken. Bovendien werd in een onderzoek van Deloitte onlangs gesuggereerd dat verzekeraars cyberrisico’s niet graag verzekeren, vanwege de moeilijkheden om financiële modellen op te stellen voor een moving target, aangezien er regelmatig nieuwe soorten aanvallen ontstaan en nieuwe cybercriminelen van zich laten horen7. Toch hebben cyberaanvallen die veel ruchtbaarheid kregen ook geleid tot geavanceerdere verzekeringspolissen. Daarbij geven verzekeraars die cyberdekking aanbieden inderdaad aan dat de input voor op scenario’s gebaseerde modellen de laatste 3 tot 4 jaar bij de grootste aanbieders van cyberverzekeringsdekking steeds meer gelijkloopt8.
In een onderzoek bij G2000-bedrijven uit 2019, rapporteerde Accenture dat de wereldwijde gemiddelde kosten van een cyberaanval per bedrijf in 2017 overeenstemden met 11,7 miljoen US-dollar, maar dat de gemiddelde kosten, net als het aantal gegevenslekken, jaar-op-jaar met 1,3 miljoen US-dollar waren gestegen9. Voor kleine en middelgrote bedrijven, die over minder IT-middelen beschikken en waarvan de operationele activiteiten minder goed bestand zijn tegen cyberrisico’s, zouden die kosten nog hoger kunnen liggen. Toch is er maar weinig informatie over de kosten van cyberincidenten of over het unieke karakter van de kosten per incident, bijv. de tijd waarin het bedrijf geen activiteiten kan uitvoeren of de vereiste uitgaven aan cyberbeveiliging. Wij trachten in dit artikel dan ook geen schatting van de kosten te maken.
Wel hebben wij een overzicht gemaakt van de sectoren waar waarde creatie het meest is blootgesteld aan cyberincidenten. Wij richten ons op enkele van de meest kwetsbare sectoren en proberen in te schatten welk onderdeel van de activiteiten van een bedrijf het grootste risico loopt.
Om niet al te specifiek technisch te worden, houdt onze score rekening met risico’s op hoog niveau. Om tot een score voor een sector te komen, hebben wij scores toegekend aan de hand van de volgende drie groepen van indicatoren: schadepotentieel (aan eigendommen, personen, het milieu of verstoring van de activiteiten), type zwakte van het systeem (onvoldoende bewustzijn, expertise of communicatie) en blootstelling (gevoelig bedrijfsmodel, opslag van waardevolle of gevoelige gegevens). Voor de sectorscores in de eerste en derde groep indicatoren, analyseerden wij de bedrijfsmodellen van de betreffende sectoren om relevante impacts te identificeren. De tweede groep van indicatoren heeft betrekking op potentiële zwakke punten op het gebied van paraatheid en governance, ouderdom van de systemen, bewustzijn, expertise en communicatie.
Voor de score van deze groep beoordeelden wij circa 30 vakbladen, CISO-congrespapers en onderzoeken van consultants om tot een inzicht te komen in de meest voorkomende systemische problemen van een bepaalde sector. Een bedrijf is in extra mate blootgesteld, als het bedrijfsmodel gebaseerd is op gegevens, of wanneer de gegevens die gewoonlijk door bedrijven in de sector worden opgeslagen, bijzonder gevoelig of waardevol zijn. Eenvoudig gezegd gaven wij bedrijven een score afhankelijk van de vraag of zij cyberrisico’s goed beheren, of hun systemen up-to-date zijn, of zij toegang hebben tot de vereiste knowhow, en of de verschillende onderdelen van de organisatie voldoende met elkaar communiceren om een effectieve integratie van beveiligingsoplossingen mogelijk te maken.
De sectoren met de grootste blootstelling behoren ruwweg tot twee groepen: de industrie en de maakindustrie. Beide behalen voor hun blootstelling een middelhoge score, maar investeren onvoldoende in systemen en expertise, waardoor hun totale score lager uitvalt.
Systemen in de horeca en de vrijetijdsector zijn doorgaans veel te weinig geavanceerd om te voldoen aan de eisen voor de verwerking van gevoelige klantgegevens.
“Een van de belangrijkste problemen is volgens CISO’s dat bedrijven in het algemeen te weinig uitgeven aan paraatheid voor cyberincidenten.”
Achtergrond voor onze verwachtingen van bedrijven
Aangezien een perfecte bescherming tegen cyberaanvallen onmogelijk is, zouden bedrijven ernaar moeten streven om voldoende voorbereid te zijn, om op potentiële cyberincidenten te reageren.
Een van de belangrijkste stappen die zij zouden moeten nemen, is een duidelijk inzicht verwerven in welke onderdelen van het bedrijfsmodel (omzet) het meest zijn blootgesteld aan belangrijke cyberrisico’s. Zoals hierboven reeds vermeld, zou een incident ervoor kunnen zorgen dat de activiteiten van een bedrijf dagenlang stilliggen, met onmiddellijk gederfde inkomsten tot gevolg. Neem bijvoorbeeld de telecomsector, die doorgaans beter is voorbereid dan de risicogevallen die wij hierboven vermelden. Bij een groot telecommunicatiebedrijf zou circa 20-30% van de totale omzet kunnen bestaan uit diensten aan ondernemingen en omzet uit beheerde diensten die vallen onder SLA’s met bedrijfsklanten. In geval van een gegevensinbreuk, zouden klanten die SLA’s kunnen afdwingen, waardoor de dienstverlener aansprakelijk is. Een ander voorbeeld: digitale bedrijven met broncode als belangrijkste product, zouden hun product niet kunnen verkopen als de code gelekt zou zijn, met nog grotere omzetverliezen als gevolg.
Een ander belangrijk probleem is volgens CISO’s dat bedrijven in het algemeen te weinig uitgeven aan paraatheid voor cyberincidenten. Volgens een onderzoek van IBM10 zouden bedrijven idealiter 14% van hun IT-budget aan cyberbeveiliging moeten uitgeven. Als wij echter de sectorgemiddelden (bijv. 3,73% van de omzet voor IT-bedrijven) vergelijken met de omzet in 2018, dan blijkt duidelijk dat bedrijven te weinig uitgeven. Bedrijven hebben het er moeilijk mee om hun budget voor uitgaven aan cyberbeveiliging openbaar te maken, maar wij zijn van mening dat beleggers om deze informatie moeten vragen.
Wat wij van bedrijven verwachten inzake voorzorgsmaatregelen voor cyberbeveiliging
In het kader van ons onderzoek hebben wij een vragenlijst opgesteld over de paraatheid voor cyberbeveiliging voor bedrijven, waarin wij beleggen, om teneinde een beter inzicht te krijgen in onze blootstelling aan cyberrisico’s in die beleggingen. Onze vragenlijst telt 17 vragen, die gericht zijn op de identificatie, het beheer, de implementatie en de berekening van de blootstelling aan (belangrijke) cyberrisico’s.
Op basis van de antwoorden op onze vragenlijst uit verschillende sectoren hebben wij de best practices vastgesteld, in de vorm van vier belangrijke verwachtingen in verband met de paraatheid voor cyberbeveiliging:
- Identificatie van cyberrisico’s: Als een bedrijf zich niet bewust is van de belangrijkste cyberrisico’s voor haar activiteiten, is dat een rode vlag. Wij verwachten dat de risicobereidheid van een bedrijf is afgestemd op het bewustzijn van de belangrijkste cyberrisico’s van de activiteiten en wij verwachten dat er concreet een cyberactiva-strategie wordt opgesteld. Broncode moet bijvoorbeeld anders worden beschermd dan persoonsgegevens.
- Beheer: Ervoor zorgen dat een bedrijf bestand is tegen cyberincidenten, is een taak van de raad van bestuur. Beleidslijnen inzake privacy en gegevensbescherming moeten over een breed toepassingsgebied beschikken, ook betrekking hebben op derden en er moeten minimale vereisten worden gesteld aan een professionele samenwerking met die derden. Het liefst zien wij dat cybervaardigheden elk kwartaal door de raad van bestuur worden gecontroleerd.
- Context: Het is een best practice om zich bewust te zijn van de behoefte aan een sterker kader voor cyberbeveiliging. Voor de context en het kader is het een best practice om kennis te delen en met collega’s samen te werken aan prioriteiten.
- Implementatie: Bedrijven met best practices beschikken over solide processen om op incidenten te anticiperen en om eventuele schade te beperken. Ook verwachten wij dat bedrijven met de best practices cyberbeveiliging in de vroege fasen van productontwikkeling een integraal onderdeel hebben gemaakt op het niveau van het product, en hun cyberactiva en -kosten op effectieve wijze beheren.
Conclusies
De enorme zakelijke kansen die digitalisering met zich meebrengt, kunnen gepaard gaan met een prijskaartje van biljoenen dollars als bedrijven zich niet naar behoren op mogelijke cyberaanvallen voorbereiden. Voor ons zijn er enkele red flags in risicosectoren: het gebrek aan investeringen in systemen en expertise op het vlak van cyberbeveiliging, onvoldoende geavanceerde systemen om gevoelige klantgegevens volgens de wettelijke vereisten te kunnen verwerken en het volledig ontbreken van herstelplannen voor incidenten. In dit artikel verwezen wij naar marktgegevens waaruit blijkt dat beleggers duidelijk reageren op cyberincidenten en de manier waarop zij door bedrijven worden beheerd. Wij dachten na over waar de financiële gevolgen van cyberincidenten kunnen worden gezien. En tot slot beschreven wij als besluit van onze analyse onze verwachtingen ten aanzien van de best practices voor bedrijven om beter bestand te zijn tegen cyberrisico’s.
[1] Wereld Economisch Forum, The Cybersecurity Guide for Leaders in Today’s Digital World, 2019.
[2] Bron: The Untold Story of NotPetya, the Most Devastating Cyberattack in History, 2018 Wired Magazine.
[3] Maersk was hoegenaamd niet het enige bedrijf waarvan de IT-infrastructuur door NotPetya werd getroffen: de voedings- en frisdrankenproducent Mondelez, de farmaciereus Merck, het reclamebureau WPP, de fabrikant van verzorgings- en toiletartikelen Reckitt Benckiser, het Franse bouwbedrijf Saint-Gobain en TNT Express, de Europese dochteronderneming van FedEx, behoorden tot duizenden getroffen multinationals.
[4] Bron: Marriott Takes $126 Million Charge Related to Data Breach, 2019 Wall Street Journal.
[5] Volgens analisten was het aandeel van Marriott in 2018 misschien rijp voor correctie, na de torenhoge winst van 64% in 2017. Door een samenloop van omstandigheden en in het bijzonder het nieuws over het datalek, nam de druk in de tweede helft van 2018 echter toe.
[6] Bischoff, Paul, Comparitech: How Data Breaches Affect Stock Market Share Prices, 28 Nov 2019
[7] Bron: Deloitte, 2018
[8] Naar schatting is de markt voor cyberverzekering goed voor enkele miljarden dollars. Fitch schat dat het totale premie-inkomen voor cyberverzekeringen in 2018 met 8% is gestegen tot 2 miljard US-dollar. Bron: Fitch Ratings 2019, “Cyber Insurance Growth Slows, Market Remains Untested”, 14 mei 2019.
[9] Ponemon Institute LLC and Accenture, The Cost of Cybercrime, 2019.
[10] The Wall Street Journal, IT spending: From value preservation to value creation, 12 maart 2018.
Nordea Asset Management is the functional name of the asset management business conducted by the legal entities Nordea Investment Funds. S.A. and Nordea Investment Management AB (“the Legal Entities”) and their branches, subsidiaries and representative offices. This document is intended to provide the reader with information on Nordea’s specific capabilities. This document (or any views or opinions expressed in this document) does not amount to an investment advice nor does it constitute a recommendation to invest in any financial product, investment structure or instrument, to enter into or unwind any transaction or to participate in any particular trading strategy. This document is not an offer to buy or sell, or a solicitation of an offer to buy or sell any security or instruments or to participate to any such trading strategy. Any such offering may be made only by an Offering Memorandum, or any similar contractual arrangement. Consequently, the information contained herein will be superseded in its entirety by such Offering Memorandum or contractual arrangement in its final form. Any investment decision should therefore only be based on the final legal documentation, without limitation and if applicable, Offering Memorandum, contractual arrangement, any relevant prospectus and the latest key investor information document (where applicable) relating to the investment. The appropriateness of an investment or strategy will depend on an investor’s full circumstances and objectives. Nordea Investment Management AB recommends that investors independently evaluate particular investments and strategies as well as encourages investors to seek the advice of independent financial advisors when deemed relevant by the investor. Any products, securities, instruments or strategies discussed in this document may not be suitable for all investors. This document contains information which has been taken from a number of sources. While the information herein is considered to be correct, no representation or warranty can be given on the ultimate accuracy or completeness of such information and investors may use further sources to form a well-informed investment decision. Prospective investors or counterparties should discuss with their professional tax, legal, accounting and other adviser(s) with regards to the potential effect of any investment that they may enter into, including the possible risks and benefits of such investment. Prospective investors or counterparties should also fully understand the potential investment and ascertain that they have made an independent assessment of the appropriateness of such potential investment, based solely on their own intentions and ambitions. Investments in derivative and foreign exchange related transactions may be subject to significant fluctuations which may affect the value of an investment. Investments in Emerging Markets involve a higher element of risk. The value of the investment can greatly fluctuate and cannot be ensured. Investments in equity and debt instruments issued by banks could bear the risk of being subject to the bail-in mechanism (meaning that equity and debt instruments could be written down in order to ensure that most unsecured creditors of an institution bear appropriate losses) as foreseen in EU Directive 2014/59/EU. Nordea Asset Management has decided to bear the cost for research, i.e. such cost is covered by existing fee arrangements (Management-/Administration-Fee). Published and created by the Legal Entities adherent to Nordea Asset Management. The Legal Entities are licensed and supervised by the Financial Supervisory Authority in Sweden and Luxembourg respectively. The Legal Entities’ branches, subsidiaries and representative offices are licensed as well as regulated by their local financial supervisory authority in their respective country of domiciliation. Source (unless otherwise stated): Nordea Investment Funds S.A. Unless otherwise stated, all views expressed are those of the Legal Entities adherent to Nordea Asset Management and any of the Legal Entities’ branches, subsidiaries and representative offices. This document may not be reproduced or circulated without prior permission. Reference to companies or other investments mentioned within this document should not be construed as a recommendation to the investor to buy or sell the same but is included for the purpose of illustration. The level of tax benefits and liabilities will depend on individual circumstances and may be subject to change in the future. © The Legal Entities adherent to Nordea Asset Management and any of the Legal Entities’ branches, subsidiaries and/or representative offices.