Ontvang nu dagelijks onze kooptips!

word abonnee
IEX 25 jaar desktop iconMarkt Monitor

Cyberonveiligheid steeds groter beursprobleem

Cyberonveiligheid steeds groter beursprobleem

Eerder deze maand is een tiener uit Oosterhout opgepakt omdat hij verdacht van de DDoS-aanvallen op de Nederlandse banken van de afgelopen tijd. In een interview met de Volkskrant gaf deze puber als motivatie dat het hem grappig leek om de grootste Nederlandse banken online plat te leggen.

Deze bedrijven moeten zich maar beter beveiligen tegen zo’n eenvoudige en slechts kleinschalige aanval, vond hij. Zulke incidenten komen steeds vaker voor en beperken zich helaas niet alleen tot puberstreken. In het derde kwartaal van 2017 was er al een handvol beursgenoteerde bedrijven die een winstwaarschuwing moesten afgeven.

Later bleek dat deze Wannacry ransomeware-aanval terug te traceren was naar Oekraïne. Onder andere farmaceut Merck & Co, Mediabedrijf WPP en transporteur MAERSK, waren genoodzaakt om fabrieken tijdelijk te sluiten, IT systemen grootschalig te rebooten en de halve Rotterdamse haven dicht te gooien.

Door die onderbrekingen konden deze bedrijven niet aan hun winstverwachtingen voldoen, hetgeen hen op de beurs niet in dank werd af genomen. Welkom in het digitale tijdperk.

Niet alleen bedrijven

Wellicht denkt u dat alleen de ouderwetse banken en fabrieken het slachtoffer kunnen worden van hackers en dat meer digitale en technologie georiënteerde bedrijven hiervan gevrijwaard zijn. Dan moet ik u helaas teleurstellen.

Ondanks de wellicht betere cyberbeveiliging is het nog steeds mogelijk om voor een paar dollar op het dark web een set gestolen data te kopen waarmee je een dag online kunt shoppen op andermans creditcard of online wallet.

Twee trends die alleen maar onveiliger maken

Dat bedrijven en overheden inmiddels geschrokken zijn moge duidelijk zijn. Ze moeten wel, want de situatie wordt de komende jaren nog veel gevaarlijker dan voorheen door een tweetal trends.

De eerste trend is cloud computing, oftewel de overgang van lokale data en berekeningen naar data en berekeningen in één van de datacenters van Amazon, Microsoft en Alibaba. Het veiligheidsprobleem van cloud computing zit hem niet in de cloud zelf, maar in de vele contactmomenten tussen de cloud en de verschillende lokale terminals.

Dit probleem wordt nog verergerd door hybrid cloud computing waar slechts sommige bedrijfsonderdelen in de cloud worden gedraaid, terwijl andere data en applicaties juist lokaal blijven.

Source: lifewire.com, bloomberg.com

Babymonitor gehackt en hardkleppen op hol

De tweede trend die de cyberonveiligheid zal verergeren de komende jaren is de opkomst van het industriële internet ook wel Internet of Things genoemd. Indien alle machines in de fabrieken, auto’s op straat en magnetrons in huis worden aangesloten op het internet zijn er echt science fiction achtige scenario’s mogelijk zodra hackers hiermee aan de haal gaan.

Immers iedere zelfrijdende auto verandert na het hacken in een potentiële ontvoeringsrobot, en iedere magnetron in een op afstand bestuurbare bom. Wie denkt dat het wellicht niet zo’n vaart zal lopen, moet ik helaas terugstellen. Er zijn al vele voorbeelden te vinden. Zo blijkt de beveiliging van babymonitors en babyfoons eenvoudig te kraken en hebben al heel wat ouders vreemd opgekeken toen ze hun slapende baby tegenkwamen op het net.

Daarnaast heeft de eerste DDoS aanval, met de naam Mirai, al plaatsgevonden. Deze heeft gebruik gemaakt van de rekencapaciteit van het IoT netwerk Botnet, waar een aantal internationale fabrieken op zijn aangesloten. Ook hebben de Amerikaanse gezondheidszorgautoriteiten (FDA) alle patiënten afgelopen jaar gewaarschuwd dat een bepaalde type hartkleppen met het standaardwachtwoord welcome123 niet genoeg beveiligd is tegen hackers.

Naast lekken en gaten in de software is er recent ook bekend gemaakt dat er beveiligingsfouten zijn gevonden in bijna alle microprocessoren van Intel en andere chipproducenten. Deze beveiligingslekken hebben de namen Meltdown en Spectre meegekregen en kunnen minder makkelijk door beveiligingssoftware worden opgelost. Het zal naar mijn mening nog wel even duren voor we minder in plaats van meer over hacking en cybercriminaliteit zullen horen.

Beleggen in een wereld vol cyberonveiligheid

Zoals bij bijna alle onderwerpen zitten er ook twee beleggingskanten aan het onderwerp cyberonveiligheid, een risico- en een rendementskant. De risicokant lijkt duidelijk: als belegger is het bijna essentieel om te weten hoe goed beveiligd de bedrijven zijn waarin je belegt.

Hier is op dit moment heel weinig over bekend en er wordt op dit moment ook heel weinig over gerapporteerd. Uiteraard zit hier ook een groot dilemma voor bedrijven, want als je precies uit de boeken doet hoe je jezelf beschermt tegen hackers maak jezelf ook weer onveiliger: het cybergespuis kan ook jaarverslagen lezen.

Er lopen verschillende initiatieven, zo ook van mijn werkgever Robeco, om via een beoordelingssysteem de mate van cyberveiligheid van beursgenoteerde bedrijven in kaart te brengen. Met behulp van zo’n systeem kunnen beleggingsrisico’s beter worden afgewogen, want het is duidelijk dat hacking naast reputatieschade ook tot serieuze omzet- en winstderving kan leiden.

Ook voor de ondernemingen zelf is zo’n beoordelingssysteem haast essentieel, want bij fusies en overnames is naast het cultuurverschil ook het IT-verschil een belangrijke reden voor mislukte integratie. Het simpelweg aan elkaar knopen van verschillende IT-systemen is met het verhoogde cyberrisico nu niet meer verantwoord.

Rendement hacken

De rendementskant in een wereld vol cyberonveiligheid zit uiteraard bij de beveiligers van de IT-systemen, de cybersecuritybedrijven of eventueel de cybersecurityverzekeraars. In de loop van de jaren zijn de cybersecuritybedrijven in een soort permanente wapenwedloop beland met de hackers.

Firewalls, virusscans, malware detectie en sandboxes moeten bijna continue worden aangepast aan de laatste golf van cyberaanvallen. Dit zorgt ervoor dat het bedrijfsleven bijna verplicht is om in abonnementsvorm, SaaS in software jargon, altijd de nieuwste versie van deze diensten af te nemen.

Als je een internationaal mandje van deze beursgenoteerde cybersecuritybedrijven door de tijd heen bekijkt, zie dat ze het op zowel de lange als korte termijn beter hebben gedaan dan de wereldindex. Niet zo vreemd, als je bedenkt dat het IT budget in het Amerikaanse bedrijfsleven voor cybersecurity de afgelopen jaren jaarlijks met 10-15% is gestegen. Met 10-15% omzetgroei en beetje margeverbetering kun je al snel het 15% jaarlijks rendement over de afgelopen vijf jaar verklaren.

Ook in dit jaar zal deze sterke omzetgroei doorgaan, al is het maar omdat halverwege het jaar in Europa een nieuwe wet van kracht wordt met de naam GDPR. Deze General Data Protection Regulation verplicht bedrijven om hun klantendata zeer goed te beschermen.

Mocht die data alsnog worden gestolen, dan kan het bedrijf worden bestraft met een boete die kan oplopen tot 4% van de wereldwijde omzet van dit bedrijf. Een grotere worst voor hackers kan ik me haast niet voorstellen.

Source: Robeco research, Telecommunication Industry Association

Belangrijk onderdeel

Zowel bij Rolinco als Robeco Global Industrial Innovation zien wij cybersecurity als een belangrijk onderdeel van onze beleggingsstrategie. Niet alleen vanwege de hoger dan gemiddelde groei in omzet en winst maar ook als een interne hedge tegen al onze andere belangen.

Die zijn vooral gericht op de verdere digitalisering van consumenten, producenten en financiële dienstverleners. Alhoewel de digitaliseringsgolf van onze maatschappij en economie zeer sterk en onomkeerbaar lijkt, kan cyberonveiligheid deze trend wel degelijk vertragen.


Henk Grootveld is hoofd trendsbeleggen bij Robeco, fondsmanager van het groeifonds Rolinco en trendwatcher. Deze publicatie is niet bedoeld als (individueel) beleggingsadvies noch als een uitnodiging of een aanbod effecten of andere financiële instrumenten te kopen of te verkopen. Robeco kan op ieder moment de in deze column genoemde aandelen of andere instrumenten in portefeuille hebben.Meer over Henk.

Meld u aan voor de dagelijkse Beursupdate

Dagelijks een update van het laatste beursnieuws en beleggingskansen in uw mailbox!

 
Henk Grootveld

Auteur:

Henk Grootveld is hoofd trendsbeleggen bij Robeco, fondsmanager van het groeifonds Rolinco en trendwatcher. Naast aandelenmarkten en economie heeft Grootveld een brede interesse in en schrijft hij over de impact van wetenschap en technologie op de geschiedenis. Hiervoor was hij onder andere hoofd Europese aandelen bij Robeco,...

Reacties

6 Posts
| Omlaag ↓
  1. [verwijderd] 16 februari 2018 13:24
    Naarmate de gegevens die worden opgeslagen op ICT systemen waardevoller worden neemt het belang van veiligheid inderdaad toe.
    Ik vind echter dat er veel geroepen wordt over toenemende onveiligheid en daarbij met voor de leek onbegrijpelijke doch dreigende termen worden gebruikt.
    Daar zit hem ook mijn punt: het zijn niet zozeer de IT systemen die onveilig zijn, maar de onkunde van gebruikers en soms ook incompetente ITers die het onveilig maken.

    Gezond verstand dicteert immers: inloggen op een hartklep via een openbaar netwerk zoals het internet is geen goed idee, dus dat hoor je dan ook niet mogelijk te maken. Hartkleppen horen niet verbonden te zijn met het internet, evenals energiecentrales of kritische infrastructuur of bedrijfskritische processen.
    Toch zijn er kennelijk lieden die zo'n onbeperkt vertrouwen hebben in hun onschendbaarheid of gewoon gemakzuchtig zijn dat ze dit toch doen. Dat vind ik nogal verwijtbaar.

    Onlangs was er een item op het NOS journaal over de beveiliging van email in de tweede kamer. Ik weet voldoende van email dat email inherent onveilig is, dat je de afzender van email kunt vervalsen, en daar kun je wel iets aan doen, maar je kunt beter alert zijn op deze gevoeligheid en niet kritiekloos acteren op iedere email die je in je inbox vindt.

    De expert in kwestie meldde echter met een ernstig gezicht op dat journaal dat je op deze wijze kerncentrales kunt saboteren... als het mogelijk is om via een vervalst emailtje een kerncentrale te saboteren dan heb ik ernstige bedenkingen bij het personeel van die centrales, en is er reden om heel bang te worden. ("Hallo Rutte@tweedekamer.nl hier. Ken je effe alle brandstofstaven nu in een keer laten zakken? ja man, is goed, ik zeg het toch... lache man!")

    Dit is een typisch voorbeeld van mensen die om het hardst roepen dat het onveilig is maar mij niet kunnen of willen uitleggen hoe ik dat dan moet voorkomen. Veel van deze discussie in mijn inziens dan ook bangmakerij.

    Het werkelijke gevaar is ondeskundig gebruik van IT en dat levert een groot risico op. Overal maar op klikken, spelletjes, porno, lekke Wordpress plugins, software uit twijfelachtige bron dat zijn de werkelijke ingredienten van botnets en andere exploits.

    Het is niet minder ernstig maar in plaats van op beveiligers te vertrouwen die zelf vaak ook twijfelachtige methoden hanteren is een goed opgeleide gebruiker van je systemen veel belangrijker, en tevens het handhaven van een gezond wantrouwen jegens alle netwerkverbindingen binnen je IT omgeving. Niet alles hoeft aan dat internet te hangen, en niet alle software hoef je kritiekloos te installeren of te upgraden.. daar zijn genoeg ongelukken gebeurd.

    Tot slot is het interessant om te lezen over Stuxnet, de worm waarmee de Amerikanen vermeend een Iraanse opwerkingsfabriek hebben gesaboteerd. Het is een knap staaltje hacken maar berustte uitsluitend op de zwakheid van iemand die zijn usb stickje zowel prive als op zijn werk in een pc stak.
  2. [verwijderd] 17 maart 2018 15:11
    staat er in de tekst iets met bourbon of texas? ik was namelijk van plan om een texaanse bourbon te kopen. en deze kwam via mijn google zoekopdracht in de eerste pagina te staan.

    ik regel deze dingetjes later nog wel even. ahum. ahum. maar eerste moet ik goed eten en drinken.

    vandaag ben ik een statesman. morgen een kingsman. overmorgen een stateman. u begrijpt mij.

    als er geen scotch single malt voor handen is, dan is jack daniels altijd een goede opvulling van je tijd. u begrijpt mij.

    www.youtube.com/watch?v=Hp1YDHagAGc check dit uiterst vermakelijk clipje even.
  3. [verwijderd] 17 maart 2018 15:54
    Alles wat met het internet verbonden is, is nooit 100% beveiligbaar. Derhalve zie ik het als een grote bedreiging indien men zaken van cruciaal belang hieraan koppelt.

    Binnen afzienbare tijd zal de kwantumcomputer haar intrede doen. Sommige denken dat dit nog sience fiction is, maar ontwikkelingen op dit gebied gaan veel sneller dat bij de binaire computer.

    Wanneer de q-computer eenmaal volwaardig is, hebben de hedendaagse wachtwoorden en encryptie geen enkele betekenis meer.
    Nu wordt er al geruime tijd geexpirimenteerd met het transporteren van verstrengelde sub-atomaire deeltjes. dit ging wel, maar was moeilijk over grotere afstanden. Blijkt nu echter ook dat fotonen zich laten verstrengelen en ik denk eerlijk gezegd dat dit de oplossing zal worden voor een veilig internet.

    Overigens einde bitcoin, want je kan ze kraken en als dat geen betekenis heeft kan iedereen ze onbeperkt maken(inflatie).

6 Posts
|Omhoog ↑

Meedoen aan de discussie?

Word nu gratis lid of log in met je emailadres en wachtwoord.