Michaela Zhirova and Marjo Koivisto
Inleiding
Cyberaanvallen zijn de afgelopen vijf jaar bijna verdubbeld in aantal en hebben volgens het Wereld Economisch Forum een prijskaartje van naar schatting 90 biljoen US-dollar.(1) Het tempo en de mate waarin nieuwe technologieën in tal van sectoren worden geïntroduceerd, bieden cybercriminelen immers steeds meer kansen op cyberaanvallen. Naarmate er meer tests en proefprojecten voor 5G worden uitgevoerd, zal dit aantal alleen maar toenemen. Cyberaanvallen op zowel bedrijven als overheden zijn bijvoorbeeld, maar niet uitsluitend, schending van de privacy en vertrouwelijkheid, dure gegevensdiefstal, het in gevaar brengen van de integriteit en de toegang tot systemen en de vernietiging van gegevens. En hoewel het aantal cyberaanvallen in een alarmerend tempo toeneemt en de aanvallen ook steeds geavanceerder worden, lijken bedrijven onvoldoende in het beheer van cyberrisico’s te investeren. Een van de twee belangrijke problemen die Chief Information Security Officers vaststellen, is namelijk dat er te weinig middelen beschikbaar zijn.
In dit witboek over Verantwoord beleggen beschrijven we waarom wij cyberbeveiliging beschouwen als een steeds meer voorkomende ESG-risicofactor in alle sectoren, en speculeren we over de belangrijkste financiële gevolgen van cyberincidenten die wij voor bedrijven hebben vastgesteld. Voorts hebben we de blootstelling van sectoren aan cyberdreigingen een score gegeven, en geven we ons standpunt over die sectoren die volgens ons een groot risico lopen. In het kader van ons engagement ten aanzien van ESG, hebben we een standpunt ontwikkeld om beste praktijken op te nemen bij de vaststelling en het beheer van cyberdreigingen, het bewustzijn van daarmee samenhangende factoren en de implementatie van maatregelen op het gebied van cyberbeveiliging. We pleiten voor het gebruik van een vragenlijst om een benchmark op te stellen voor de mate waarin bedrijven bestand zijn tegen cyberaanvallen, en beschrijven onze verwachtingen ten aanzien van beste praktijken voor bedrijven om uit te drukken in welke mate ze op het gebied van cyberbeveiliging zijn voorbereid.
Digitale cyberbeveiliging en netwerkbescherming.
Belangrijke cyberaanvallen: welke lessen hebben we geleerd over de financiële gevolgen voor de bedrijfswereld?
Omdat het lang kan duren om vast te stellen of er een cyberaanval heeft plaatsgevonden en om aanvallen te evalueren en te elimineren, wat tot operationele verliezen kan leiden, worden de kosten voor bedrijven geleidelijk aan steeds groter. Dat blijkt wel uit enkele van de grootste ransomwareaanvallen ooit, zoals NotPetya. De NotPetya-ransomwareaanval verspreidde zich in 2017 van servers in Oekraïne naar grote wereldwijde bedrijven, en veroorzaakte zo verliezen van in totaal meer dan 10 miljard US-dollar(2) aan schade voor bedrijven. De aanval trof computers in de hele wereld. De aanval infecteerde bedrijven in verschillende sectoren, van bedrijven uit de medische dienstverlening tot een groot logistiek bedrijf (A.P. Møller-Maersk), dat zijn activiteiten meer dan tien dagen moest stilleggen.(3)
Marriott is een andere grootschalige onderneming die getroffen is door een aanzienlijke ransomwareaanval. Op 8 september 2018 meldde een intern beveiligingsprogramma een verdachte poging om toegang te krijgen tot het interne reserveringssysteem van Marriotts Starwood-keten. Er werd vervolgens een intern onderzoek gevoerd waaruit bleek dat het netwerk van Starwood, dat in 2016 door Marriott was overgenomen, al ergens in 2014 was gehackt. Volgens verklaringen waren de voormalige Starwood-hotels op het moment van de aanval nog niet naar het eigen reserveringssysteem van Marriott gemigreerd en werd nog steeds de van Starwood overgenomen IT-infrastructuur gebruikt. In zijn onderzoek vond Marriott informatie dat de aanvallers persoonsgegevens hadden versleuteld en getracht hadden om de betreffende gegevens (allicht met succes) uit de Starwood-systemen te verwijderen. Marriott slaagde erin om de gegevens te ontsleutelen en ontdekte dat ze informatie van wel 500 miljoen gasten bevatte, waaronder extreem gevoelige informatie zoals kredietkaarten en paspoortnummers.
De financiële gevolgen van het ransomware-incident voor Marriott waren ernstig. In juli 2019 kreeg het van het VK een boete van 126 miljoen US-dollar wegens schending van de Algemene Verordening Gegevensbescherming (AVG). Hun winst in het tweede kwartaal van 2019 daalde met 65% tot 232 miljard US-dollar of 69 cent per aandeel.(4) De hotelketen kreeg voor het incident ook een boete (niet in het kader van de AVG) van de Turkse gegevensbeschermingsautoriteit van 1,5 miljoen lira (~ 265.000 US-dollar), wat duidelijk aantoont hoe één lek kan leiden tot meerdere wereldwijde boetes. Tot slot kreeg het bedrijf in maart 2019 nog een boete van 28 miljoen US-dollar (die slechts een invloed van 3 miljoen US-dollar had op de winst van het bedrijf omdat Marriott verzekerd was tegen cyberaanvallen).
Het datalek bij Marriott kwam op 30 november 2018 aan het licht. In de maand na het nieuws kelderde de aandelenkoers van Marriott met 17%, al moet die daling wel gekaderd worden in een anderszins volatiele maand december en na goede prestaties het jaar voordien.(5)
‘ Omdat het lang kan duren om vast te stellen of er een cyberaanval heeft plaatsgevonden en om aanvallen te evalueren en te elimineren, wat tot operationele verliezen kan leiden, worden de kosten voor bedrijven geleidelijk aan steeds groter. ‘
Uit empirische analyses van de markt blijkt dat beleggers bedrijven met datalekken inderdaad afstraffen. Voor bedrijven zou dit een sterke motivatie moeten zijn om zich toe te leggen op betere voorzorgsmaatregelen op het gebied van cyberbeveiliging. Uit een recent onderzoek bij aan de NYSE genoteerde bedrijven die getroffen werden door een publiek gemelde schending van 1 miljoen of meer gegevensrecords, bleek dat de aandelenkoers circa twee weken na de bekendmaking van het nieuws een laagtepunt bereikte, met een gemiddelde daling van 7,27% en een rendementsachterstand bij de NASDAQ van -4,18%.(6) Uit datzelfde onderzoek bleek dat zelfs hoewel het effect van het lek op de aandelenkoers na verloop van tijd afnam, de aandelenkoers van deze bedrijven toch achterbleef bij de markt (over een termijn van 1 of 2 jaar).
Cyberrisico voor waardecreatie: poging tot een schatting van de impact op kosten en opbrengsten
Omdat niemand weet wanneer afzonderlijke cyberaanvallen plaatsvinden, is het moeilijk om een prijs op het cyberrisico te plakken. Bovendien werd in een onderzoek van Deloitte onlangs gesuggereerd dat verzekeraars cyberrisico’s niet graag verzekeren vanwege de moeilijkheden om financiële modellen op te stellen voor een bewegend doelwit, aangezien er regelmatig nieuwe soorten aanvallen ontstaan en nieuwe cybercriminelen van zich laten horen.(7) Toch hebben cyberaanvallen die veel ruchtbaarheid kregen ook geleid tot geavanceerdere verzekeringspolissen, en verzekeraars die cyberdekking aanbieden, geven inderdaad aan dat de inputs voor op scenario’s gebaseerde modellen de laatste 3 tot 4 jaar bij de grootste aanbieders van cyberverzekeringsdekking steeds meer gelijklopen.(8)
In een onderzoek bij G2000-bedrijven uit 2019, rapporteerde Accenture dat de wereldwijde gemiddelde kosten van een cyberaanval per bedrijf in 2017 overeenstemden met 11,7 miljoen US-dollar, maar dat de gemiddelde kosten, net als het aantal gegevenslekken, jaar-op-jaar met 1,3 miljoen US-dollar waren gestegen.(9) Voor kleine en middelgrote bedrijven, die over minder IT-middelen beschikken en waarvan de operationele activiteiten minder goed bestand zijn tegen cyberrisico’s, zouden die kosten nog hoger kunnen liggen. Toch bestaat er maar weinig informatie over de kosten van cyberincidenten, of over het unieke karakter van de kosten per incident, bijv. de tijd waarin het bedrijf geen activiteiten kan uitvoeren of de vereiste uitgaven aan cyberbeveiliging. We trachten in dit witboek dan ook geen schatting van de kosten te maken.
Wel hebben we een overzicht gemaakt van de sectoren waar de waardecreatie het meest is blootgesteld aan cyberincidenten. We richten ons op enkele van de meest kwetsbare sectoren en proberen in te schatten welk onderdeel van de activiteiten van een bedrijf het grootste risico loopt.
Om niet al te specifiek technisch te worden, houdt onze score rekening met risico’s op hoog niveau. Om tot een score voor een sector te komen, hebben we scores toegekend volgens drie groepen van indicatoren: schadepotentieel (aan eigendommen, personen, het milieu of verstoring van de activiteiten), type zwakte van het systeem (onvoldoende bewustzijn, expertise of communicatie) en blootstelling (gevoelig bedrijfsmodel, opslag van waardevolle of gevoelige gegevens). Voor de sectorscores in de eerste en derde groep indicatoren, analyseerden we de bedrijfsmodellen van de betreffende sectoren om relevante impacts te identificeren. Een tweede groep van indicatoren heeft betrekking op potentiële zwakke punten in praktijken: paraatheid en governance, ouderdom van de systemen, bewustzijn, expertise en communicatie.
Voor de score van deze groep beoordeelden we circa 30 vakbladen, CISO-congrespapers en onderzoeken van consultants om tot een inzicht te komen in de meest voorkomende systemische problemen van een bepaalde sector. Een bedrijf is in extra mate blootgesteld als het bedrijfsmodel gebaseerd is op gegevens, of wanneer de gegevens die gewoonlijk door bedrijven in de sector wordt opgeslagen, bijzonder gevoelig of waardevol zijn. Eenvoudig gezegd, gaven we bedrijven een score afhankelijk van de vraag of ze cyberrisico’s goed beheren, of hun systemen up-to-date zijn, of ze toegang hebben tot de vereiste knowhow, en of de verschillende onderdelen van de organisatie voldoende met elkaar communiceren om een effectieve integratie van beveiligingsoplossingen mogelijk te maken.
De sectoren met de grootste blootstelling behoren ruwweg tot twee groepen: de industrie en de maakindustrie. Beide behalen voor hun blootstelling een middelhoge score, maar investeren onvoldoende in systemen en expertise, waardoor hun totale score lager uitvalt.
Systemen in de horeca en de vrijetijdsector zijn doorgaans veel te weinig geavanceerd om te voldoen aan de eisen voor de verwerking van gevoelige klantgegevens.
‘ Een van de belangrijkste problemen is volgens CISO’s dat bedrijven in het algemeen te weinig uitgeven aan paraatheid voor cyberincidenten. ‘
Achtergrond voor onze verwachtingen voor bedrijven
Aangezien een perfecte bescherming tegen cyberaanvallen onmogelijk is, zouden bedrijven ernaar moeten streven om voldoende voorbereid te zijn om op potentiële cyberincidenten te reageren.
Een van de belangrijkste stappen die ze zouden moeten nemen, is een duidelijk inzicht verwerven in welke onderdelen van het bedrijfsmodel (omzet) het meest zijn blootgesteld aan belangrijke cyberrisico’s. Zoals hierboven reeds vermeld, zou een incident ervoor kunnen zorgen dat de activiteiten van een bedrijf dagenlang stilliggen, met onmiddellijk gederfde inkomsten tot gevolg. Neem bijvoorbeeld de telecomsector, die doorgaans beter is voorbereid dan de risicogevallen die we hierboven vermelden. Bij een groot telecommunicatiebedrijf zou circa 20-30% van de totale omzet kunnen bestaan uit diensten aan ondernemingen en omzet uit beheerde diensten die vallen onder SLA’s met bedrijfsklanten. In geval van een gegevensinbreuk, zouden klanten die SLA’s kunnen afdwingen, waardoor de dienstverlener aansprakelijk is. Een ander voorbeeld: digitale bedrijven met broncode als belangrijkste product, zouden hun product niet kunnen verkopen als de code gelekt zou zijn, met nog grotere omzetverliezen tot gevolg.
Een van de andere belangrijkste problemen is volgens CISO’s dat bedrijven in het algemeen te weinig uitgeven aan paraatheid voor cyberincidenten. Volgens een onderzoek van IBM10 zouden bedrijven idealiter 14% van hun IT-budget aan cyberbeveiliging moeten uitgeven. Als we echter de sectorgemiddelden (bijv. 3,73% van de omzet voor IT-bedrijven) vergelijken met de omzet in 2018, dan blijkt duidelijk dat bedrijven te weinig uitgeven. Bedrijven hebben het er moeilijk mee om hun budget voor uitgaven aan cyberbeveiliging openbaar te maken, maar wij zijn van oordeel dat beleggers om informatie moeten vragen.
Binaire gegevens over wolkenkrabbers
Wat we van bedrijven verwachten inzake voorzorgsmaatregelen voor cyberbeveiliging
In het kader van ons onderzoek hebben we een vragenlijst opgesteld over de paraatheid voor cyberbeveiliging voor bedrijven waarin we beleggen, om teneinde een beter inzicht te krijgen in onze blootstelling aan cyberrisico’s in die beleggingen. Onze vragenlijst telt 17 vragen, die gericht zijn op de identificatie, het beheer, de implementatie en de berekening van de blootstelling aan (belangrijke) cyberrisico’s.
Op basis van de antwoorden op onze vragenlijst uit verschillende sectoren hebben we beste praktijken vastgesteld, in de vorm van vier belangrijke verwachtingen in verband met de paraatheid voor cyberbeveiliging:
- Identificatie van cyberrisico’s: Als een bedrijf zich niet bewust is van de belangrijkste cyberrisico’s voor zijn activiteiten, is dat een rode vlag. We verwachten dat de risicobereidheid van een bedrijf is afgestemd op het bewustzijn van de belangrijkste cyberrisico’s van de activiteiten, en we verwachten dat er concreet een cyberactivastrategie wordt opgesteld. Een actief zoals broncode moet bijvoorbeeld anders worden beschermd dan persoonsgegevens.
- Beheer: Ervoor zorgen dat een bedrijf bestand is tegen cyberincidenten, is een taak van de raad van bestuur. Beleidslijnen inzake privacy en gegevensbescherming moeten over een breed toepassingsgebied beschikken, ook betrekking hebben op derden, en er moeten minimale vereisten worden gesteld aan een professionele samenwerking met die derden. Het liefst zien wij dat cybervaardigheden elk kwartaal door de raad van bestuur worden gecontroleerd.
- Context: Het is een beste praktijk om zich bewust te zijn van de behoefte aan een sterker kader voor cyberbeveiliging. Voor de context en het kader is het een beste praktijk om kennis te delen en met collega’s samen te werken aan prioriteiten.
- Implementatie: Bedrijven met beste praktijken beschikken over solide processen om op incidenten te anticiperen en om eventuele schade te beperken. Ook verwachten we dat bedrijven met de beste praktijken cyberbeveiliging in de vroege fasen van de productontwikkeling een integraal onderdeel hebben gemaakt op het niveau van het product, en hun cyberactiva en -kosten op effectieve wijze beheren.
Conclusies
De enorme zakelijke kansen die digitalisering met zich meebrengt, kunnen gepaard gaan met een prijskaartje van verschillende biljoenen dollars als bedrijven zich niet naar behoren op mogelijke cyberaanvallen voorbereiden. Voor ons zijn enkele rode vlaggen in risicosectoren: het gebrek aan investeringen in systemen en expertise op het vlak van cyberbeveiliging, onvoldoende geavanceerde systemen om gevoelige klantgegevens volgens de wettelijke vereisten te kunnen verwerken, en het volledig ontbreken van herstelplannen voor incidenten. In dit witboek verwezen we naar marktgegevens waaruit blijkt dat beleggers duidelijk reageren op cyberincidenten en de manier waarop ze door bedrijven worden beheerd. We dachten na over waar de financiële gevolgen van cyberincidenten zouden kunnen worden gezien. En tot slot beschreven we als besluit van onze analyse onze verwachtingen ten aanzien van beste praktijken voor bedrijven om beter bestand te zijn tegen cyberrisico’s.to our analysis.- World Economic Forum, The Cybersecurity Guide for Leaders in Today’s Digital World, 2019.
- Source: The Untold Story of NotPetya, the Most Devastating Cyberattack in History, 2018 Wired Magazine.
- Maersk was hardly the only company experiencing an IT meltdown at the hands of NotPetya: food and beverage manufacturer Mondelez, pharmaceutical giant Merck, advertising agency WPP, health and hygiene products maker Reckitt Benckiser, French construction company Saint-Gobain and FedEx’s European subsidiary TNT Express were among thousands of multinationals impacted.
- Source: Marriott Takes $126 Million Charge Related to Data Breach, 2019 Wall Street Journal.
- According to analysts, Marriott’s stock was perhaps due for some correction in 2018, having rocketed 64% higher in 2017. However, pressure became more pronounced in the second half of 2018 due to a confluence of factors, and then specifically the cyber breach news.
- Bischoff, Paul, Comparitech: How Data Breaches Affect Stock Market Share Prices, 28 Nov 2019.
- Source: Deloitte, 2018
- The cyber insurance market is estimated to be in the low billions of dollars. Fitch estimates that in 2018, cyber insurance total written premiums grew 8% to USD2 billion. Source: Fitch Ratings 2019,“Cyber Insurance Growth Slows, Market Remains Untested,” May 14, 2019.
- Ponemon Institute LLC and Accenture, The Cost of Cybercrime, 2019.