Eerder deze maand is een tiener uit Oosterhout opgepakt omdat hij verdacht van de DDoS-aanvallen op de Nederlandse banken van de afgelopen tijd. In een interview met de Volkskrant gaf deze puber als motivatie dat het hem grappig leek om de grootste Nederlandse banken online plat te leggen.
Deze bedrijven moeten zich maar beter beveiligen tegen zo’n eenvoudige en slechts kleinschalige aanval, vond hij. Zulke incidenten komen steeds vaker voor en beperken zich helaas niet alleen tot puberstreken. In het derde kwartaal van 2017 was er al een handvol beursgenoteerde bedrijven die een winstwaarschuwing moesten afgeven.
Later bleek dat deze Wannacry ransomeware-aanval terug te traceren was naar Oekraïne. Onder andere farmaceut Merck & Co, Mediabedrijf WPP en transporteur MAERSK, waren genoodzaakt om fabrieken tijdelijk te sluiten, IT systemen grootschalig te rebooten en de halve Rotterdamse haven dicht te gooien.
Door die onderbrekingen konden deze bedrijven niet aan hun winstverwachtingen voldoen, hetgeen hen op de beurs niet in dank werd af genomen. Welkom in het digitale tijdperk.
Niet alleen bedrijven
Wellicht denkt u dat alleen de ouderwetse banken en fabrieken het slachtoffer kunnen worden van hackers en dat meer digitale en technologie georiënteerde bedrijven hiervan gevrijwaard zijn. Dan moet ik u helaas teleurstellen.
Ondanks de wellicht betere cyberbeveiliging is het nog steeds mogelijk om voor een paar dollar op het dark web een set gestolen data te kopen waarmee je een dag online kunt shoppen op andermans creditcard of online wallet.
Twee trends die alleen maar onveiliger maken
Dat bedrijven en overheden inmiddels geschrokken zijn moge duidelijk zijn. Ze moeten wel, want de situatie wordt de komende jaren nog veel gevaarlijker dan voorheen door een tweetal trends.
De eerste trend is cloud computing, oftewel de overgang van lokale data en berekeningen naar data en berekeningen in één van de datacenters van Amazon, Microsoft en Alibaba. Het veiligheidsprobleem van cloud computing zit hem niet in de cloud zelf, maar in de vele contactmomenten tussen de cloud en de verschillende lokale terminals.
Dit probleem wordt nog verergerd door hybrid cloud computing waar slechts sommige bedrijfsonderdelen in de cloud worden gedraaid, terwijl andere data en applicaties juist lokaal blijven.
Source: lifewire.com, bloomberg.com
Babymonitor gehackt en hardkleppen op hol
De tweede trend die de cyberonveiligheid zal verergeren de komende jaren is de opkomst van het industriële internet ook wel Internet of Things genoemd. Indien alle machines in de fabrieken, auto’s op straat en magnetrons in huis worden aangesloten op het internet zijn er echt science fiction achtige scenario’s mogelijk zodra hackers hiermee aan de haal gaan.
Immers iedere zelfrijdende auto verandert na het hacken in een potentiële ontvoeringsrobot, en iedere magnetron in een op afstand bestuurbare bom. Wie denkt dat het wellicht niet zo’n vaart zal lopen, moet ik helaas terugstellen. Er zijn al vele voorbeelden te vinden. Zo blijkt de beveiliging van babymonitors en babyfoons eenvoudig te kraken en hebben al heel wat ouders vreemd opgekeken toen ze hun slapende baby tegenkwamen op het net.
Daarnaast heeft de eerste DDoS aanval, met de naam Mirai, al plaatsgevonden. Deze heeft gebruik gemaakt van de rekencapaciteit van het IoT netwerk Botnet, waar een aantal internationale fabrieken op zijn aangesloten. Ook hebben de Amerikaanse gezondheidszorgautoriteiten (FDA) alle patiënten afgelopen jaar gewaarschuwd dat een bepaalde type hartkleppen met het standaardwachtwoord welcome123 niet genoeg beveiligd is tegen hackers.
Naast lekken en gaten in de software is er recent ook bekend gemaakt dat er beveiligingsfouten zijn gevonden in bijna alle microprocessoren van Intel en andere chipproducenten. Deze beveiligingslekken hebben de namen Meltdown en Spectre meegekregen en kunnen minder makkelijk door beveiligingssoftware worden opgelost. Het zal naar mijn mening nog wel even duren voor we minder in plaats van meer over hacking en cybercriminaliteit zullen horen.
Beleggen in een wereld vol cyberonveiligheid
Zoals bij bijna alle onderwerpen zitten er ook twee beleggingskanten aan het onderwerp cyberonveiligheid, een risico- en een rendementskant. De risicokant lijkt duidelijk: als belegger is het bijna essentieel om te weten hoe goed beveiligd de bedrijven zijn waarin je belegt.
Hier is op dit moment heel weinig over bekend en er wordt op dit moment ook heel weinig over gerapporteerd. Uiteraard zit hier ook een groot dilemma voor bedrijven, want als je precies uit de boeken doet hoe je jezelf beschermt tegen hackers maak jezelf ook weer onveiliger: het cybergespuis kan ook jaarverslagen lezen.
Er lopen verschillende initiatieven, zo ook van mijn werkgever Robeco, om via een beoordelingssysteem de mate van cyberveiligheid van beursgenoteerde bedrijven in kaart te brengen. Met behulp van zo’n systeem kunnen beleggingsrisico’s beter worden afgewogen, want het is duidelijk dat hacking naast reputatieschade ook tot serieuze omzet- en winstderving kan leiden.
Ook voor de ondernemingen zelf is zo’n beoordelingssysteem haast essentieel, want bij fusies en overnames is naast het cultuurverschil ook het IT-verschil een belangrijke reden voor mislukte integratie. Het simpelweg aan elkaar knopen van verschillende IT-systemen is met het verhoogde cyberrisico nu niet meer verantwoord.
Rendement hacken
De rendementskant in een wereld vol cyberonveiligheid zit uiteraard bij de beveiligers van de IT-systemen, de cybersecuritybedrijven of eventueel de cybersecurityverzekeraars. In de loop van de jaren zijn de cybersecuritybedrijven in een soort permanente wapenwedloop beland met de hackers.
Firewalls, virusscans, malware detectie en sandboxes moeten bijna continue worden aangepast aan de laatste golf van cyberaanvallen. Dit zorgt ervoor dat het bedrijfsleven bijna verplicht is om in abonnementsvorm, SaaS in software jargon, altijd de nieuwste versie van deze diensten af te nemen.
Als je een internationaal mandje van deze beursgenoteerde cybersecuritybedrijven door de tijd heen bekijkt, zie dat ze het op zowel de lange als korte termijn beter hebben gedaan dan de wereldindex. Niet zo vreemd, als je bedenkt dat het IT budget in het Amerikaanse bedrijfsleven voor cybersecurity de afgelopen jaren jaarlijks met 10-15% is gestegen. Met 10-15% omzetgroei en beetje margeverbetering kun je al snel het 15% jaarlijks rendement over de afgelopen vijf jaar verklaren.
Ook in dit jaar zal deze sterke omzetgroei doorgaan, al is het maar omdat halverwege het jaar in Europa een nieuwe wet van kracht wordt met de naam GDPR. Deze General Data Protection Regulation verplicht bedrijven om hun klantendata zeer goed te beschermen.
Mocht die data alsnog worden gestolen, dan kan het bedrijf worden bestraft met een boete die kan oplopen tot 4% van de wereldwijde omzet van dit bedrijf. Een grotere worst voor hackers kan ik me haast niet voorstellen.
Source: Robeco research, Telecommunication Industry Association
Belangrijk onderdeel
Zowel bij Rolinco als Robeco Global Industrial Innovation zien wij cybersecurity als een belangrijk onderdeel van onze beleggingsstrategie. Niet alleen vanwege de hoger dan gemiddelde groei in omzet en winst maar ook als een interne hedge tegen al onze andere belangen.
Die zijn vooral gericht op de verdere digitalisering van consumenten, producenten en financiële dienstverleners. Alhoewel de digitaliseringsgolf van onze maatschappij en economie zeer sterk en onomkeerbaar lijkt, kan cyberonveiligheid deze trend wel degelijk vertragen.