De wereldeconomie in beelden

Cyberrisico: hoe beleggers zich kunnen voorbereiden op het onvoorspelbare

Cybercriminaliteit blijft hoge kosten veroorzaken voor bedrijven, maar om het risico goed te kunnen beoordelen is het niet genoeg alleen naar de cijfers te kijken.

17/08/2018

Als gevolg van de opmars van mobiele apparaten en het toenemende gebruik van onlinediensten is de hoeveelheid digitale data de laatste jaren exponentieel gestegen. De razendsnelle groei van de hoeveelheid data die wordt opgeslagen door bedrijven, die vaak weinig ervaring met databeheer en -beveiliging hebben, trekt cybercriminelen aan die instrumenten en technieken inzetten die steeds meer geavanceerd zijn. Inmiddels kost cybercriminaliteit het wereldwijde bedrijfsleven al ruim 60% meer dan vijf jaar geleden, en in de VS is de schade met meer dan 80% gestegen (zie figuur 1). Geen enkele onderneming kan de bedreiging negeren en toezichthoudende instanties zoals het Britse Information Commissioner’s Office (ICO) zijn de handhavingsmaatregelen aan het aanscherpen. Deze maatregelen raken slechts het topje van de ijsberg.

Figuur 1: Stijgende cyberkosten

 

Bron: ico.org.uk, Accenture & Ponemon Institute’s 2017 Cost of Cyber Crime Study, Cisco Global Cloud Index

Wat wordt bedoeld met cyberrisico?

Cyberrisico is een brede term. De meeste mensen denken hierbij aan het risico op verlies of schade als gevolg van datalekken of aanvallen op informatiesystemen. Die schade kan allerlei vormen aannemen, waaronder directe financiële schade, reputatieschade of verstoring van de bedrijfsvoering. Enkele spraakmakende incidenten (WannaCry, Petya, Equifax enz.) in het recente verleden hebben het bewustzijn rond dit probleem helpen verhogen, waardoor het nu ook bij de toezichthouders op de agenda staat. Gegevensbescherming wordt vaak in een adem met cyberrisico genoemd, en staat centraal in de Algemene Verordening Gegevensbescherming (AVG) van de EU die in mei 2018 in werking is getreden en die de facto een wereldwijde norm is geworden. In de verordening wordt uitgelegd en toegelicht wat bedoeld is met gevoelige gegevens en wie de gebruiksrechten heeft, en wordt de verantwoordelijkheid voor de beveiliging van klantengegevens bij bedrijven gelegd, met hoge boetes1 als ze niet aan de eisen voldoen.

Wat hebben beleggers hiermee te maken?

Cyberincidenten zijn een steeds belangrijkere bron van bedrijfsrisico, vooral voor bedrijven met kostbare immateriële activa zoals merken, klantenrelaties of technologie. De negatieve impact die een datalek op een merk kan hebben, werkt rechtstreeks door op de concurrentiepositie, toekomstige inkomsten en toekomstige kasstromen van het bedrijfDatalekken leggen vaak slechte bestuurspraktijken en een zwak management bloot. Mensen vervangen of maatregelen aanpassen is snel gebeurd, maar om het vertrouwen van de markt en de klanten te terug winnen, is veel meer tijd nodig.

Een dialoogbenadering

Schroders is van mening dat het voor beleggers allereerst zaak is te onderzoeken hoe goed een bedrijf is voorbereid op cyberincidenten. Dit onderzoek moet diep genoeg gaan om vertrouwen te geven dat er, wanneer (niet als) zich een incident voordoet, processen en middelen zijn om de schadelijke gevolgen voor de bedrijfsvoering en het vermogen om waarde te scheppen zo veel mogelijk te beperken.

Om dat inzicht te krijgen, is een formalistische evaluatie van de beleidslijnen niet voldoende. Alleen een rechtstreekse dialoog met bedrijven biedt de mogelijkheid om zich een goed beeld te vormen. In die dialoog moeten de volgende aspecten centraal staan:

  • Bestuur: heeft de bedrijfsleiding voldoende deskundigheid op het gebied van cyberrisico?
  • Expertise: heeft het bedrijf de kennis en ervaring in huis om het cyberrisico te beheersen? Doet het een beroep op gespecialiseerde expertise van buiten de organisatie?
  • Technologie: past de onderneming in technisch opzicht de beste praktijken toe?

In de wetenschap dat cyberrisico voor veel ondernemingsmodellen relevant is, is Schroders in gesprek gegaan met de Chief Information Security Officers (CISO) of de functionarissen voor gegevensbescherming (FG’s) van tien bedrijven waarin het belegt, afkomstig uit sectoren zoals financiële dienstverlening, technologie en telecommunicatie.

Belangrijkste bevindingen: expertise en bestuursverantwoordelijkheid

Dankzij deze rechtstreekse, diepgravende gesprekken werd duidelijk waar de belangrijkste informatie zit en wat de sterke en zwakke punten van elk bedrijf zijn. De belangrijkste aspecten zijn:

  • Expertise: het is van cruciaal belang dat het bedrijf een goed geoutilleerd, gespecialiseerd cyber security team heeft, geleid door een CISO/FG die bij voorkeur rechtstreeks aan de CEO of het bestuur rapporteert. Dit team moet ook regelmatig gespecialiseerde experts van buiten het bedrijf inschakelen om op de hoogte te blijven van nieuwe bedreigingen en beveiligingstools. Intern zou het team de directe verantwoordelijkheid moeten hebben voor specifieke technologische taken zoals penetratietesten, het dichten van beveiligingslekken enz.
  • Verantwoordelijkheid op bestuursniveau: in de raad van bestuur moet specifieke deskundigheid aanwezig zijn om te beoordelen of het bedrijf de juiste operationele middelen en managementinstrumenten heeft om cyberrisico te beperken.

De analyse van het expertiseniveau en de bestuursverantwoordelijkheid in een bedrijf biedt de analisten en compartimentsbeheerders van Schroders een basis om hun vragen aan de managementteams te formuleren en de antwoorden te vergelijken met die van andere bedrijven in die sector.

Daarnaast hebben deze dialogen geleid tot een andere kijk op enkele gebieden die doorgaans als belangrijk worden aangemerkt, maar in de meeste bedrijven weinig aandacht krijgen. Denk hierbij aan de tekortkomingen van de focus op ISO27001 (een IT-norm die best-in-class bedrijven intern implementeren), cyberverzekeringen (de bestaande producten bieden beperkte dekking) en maatregelen inzake cyber-databeveiliging (belangrijk om aan de regelgeving te voldoen, maar minder adequaat voor de feitelijke beheersing van het cyberrisico).

 

Conclusie: gerichte dialoog

Cyberincidenten worden voor alle organisaties een steeds groter risico. Een belegger zoals Schroders moet een manier hebben om beter te kunnen beoordelen hoe goed bedrijven die in de beleggingsportefeuilles van zijn klanten zitten, zich wapenen tegen dit risico. Een gerichte dialoog met de desbetreffende bedrijven is de meest effectieve manier om inzicht te krijgen in de belangrijkste aspecten zoals risicobeheer en technische expertise op het hoogste niveau, zodat mogelijk ondeugdelijke praktijken worden opgespoord voordat ze echt schade aanrichten.

 

 

 

Belangrijke informatie

Uitsluitend voor professionele beleggers en adviseurs.

De meningen en standpunten in dit document zijn die van Craig Botham, Nicholas Fielden en James Barrineau en zij vertegenwoordigen niet noodzakelijk de meningen die worden uitgedrukt of weerspiegeld in andere berichten, strategieën of fondsen van Schroders.

Dit document is uitsluitend bedoeld ter informatie. Het materiaal is niet bedoeld als aanbod of uitnodiging om een financieel instrument of effect te kopen of te verkopen of een bepaalde beleggingsstrategie te volgen. De verstrekte informatie vormt geen beleggingsadvies, beleggingsaanbeveling of beleggingsonderzoek en is niet afgestemd op de specifieke omstandigheden van enige ontvanger. Het materiaal is niet bedoeld als financieel, juridisch of fiscaal advies en mag niet worden gebruikt als basis hiervoor. De vermelde informatie wordt geacht betrouwbaar te zijn, maar de juistheid of volledigheid wordt door Schroders niet gegarandeerd. Schroders is niet aansprakelijk voor onjuistheden in feiten of meningen. De opvattingen en informatie in dit document mogen niet worden gebruikt als basis voor individuele beleggingsbeslissingen en/of strategische beslissingen.

In het verleden behaalde resultaten zijn geen betrouwbare leidraad voor de toekomstige resultaten. De koersen van aandelen en de daaruit gegenereerde inkomsten kunnen zowel dalen als stijgen, en het is mogelijk dat beleggers het oorspronkelijk geïnvesteerde bedrag niet terugkrijgen.

Schroders is een data controller met betrekking tot uw persoonsgegevens. In ons Privacybeleid, dat u kunt raadplegen op www.schroders.com/en/privacy-policy, vindt u informatie over de wijze waarop Schroders uw persoonsgegevens kan verwerken. Als u geen toegang hebt tot deze website, is ons Privacybeleid op aanvraag verkrijgbaar.

Uitgegeven door Schroder Investment Management (Europe) S.A. Belgium Branch, Sint-Michielslaan 47, 1040 Brussel, België.

Ten behoeve van uw veiligheid kunnen telefoongesprekken worden opgenomen of beluisterd.

De prognoses in dit document zijn het resultaat van statistische modellering op basis van een aantal aannames. Prognoses zijn onderhevig aan een hoge mate van onzekerheid ten aanzien van toekomstige economische omstandigheden en marktfactoren die de feitelijke toekomstige resultaten kunnen beïnvloeden. De prognoses worden verstrekt ter informatie volgens de stand van zaken op dit moment. De gehanteerde aannames kunnen aanzienlijk veranderen als gevolg van veranderingen in de onderliggende aannames, die onder meer het gevolg kunnen zijn van veranderingen in de economische omstandigheden en marktfactoren. Schroders is niet verplicht u op de hoogte te stellen van aanpassingen of veranderingen in deze informatie wanneer aannames, economische omstandigheden, marktfactoren, modellen of andere zaken veranderen.