100 dagen tussen inbraak en detectie
De impact van cybercrime kan ingrijpend zijn. Dat bewijst een grote zaak als die van Maersk in 2017. Geschatte schade: 300 miljoen dollar. Bestuurders worden zich steeds meer bewust van de risico’s, constateert Christian Prickaerts, Director Managed Detection & Response (“een cyber beveiligings- en bewakingsdienst”) bij Fox-IT. Dat bewustzijn wordt nog eens versterkt door toenemende eisen op compliance-gebied. Denk aan de recente invoer van GDPR/AVG. “Bestuurders kunnen het simpelweg niet meer negeren”, aldus Prickaerts. “Compliance-vereisten worden stringenter. De meeste bestuurders vinden het nog wel lastig in te schatten hoe groot de risico’s voor hun bedrijf zijn en hoe ze hun cybersecurity-strategie gaan vormgeven. Hun wens is er op een structurele manier mee om te gaan. De ad hoc aanpak uit het verleden voldoet niet meer.”
Ook in de M&A-wereld komt cybersecurity op de agenda, merkt collega Romano Herrie, die na een succesvolle carrière als M&A-bankier bij onder anderen ING en NIBC nu Fox-IT is komen versterken als cyber-adviseur voor de fusie en overnamemarkt. “Private equity fondsen en andere M&A-partijen worden zich steeds bewuster van de mogelijke impact en willen hier op een zo prudent mogelijke manier mee omgaan. Het onderwerp wordt ook door limited partners opgepikt die beseffen dat de fondsen waarin ze investeren hiermee aan de slag moeten.”
Failliet verklaard
Dat cybercrime een groot risico kan vormen bij transacties, bewijzen onder meer de overnames van TIO Networks en Yahoo. In beide gevallen werden de overnemende partijen –Paypal en Verizon – in het postacquisitie-proces met onprettige verrassingen geconfronteerd. “Uit internationaal onderzoek blijkt dat er gemiddeld honderd dagen zitten tussen inbraak en detectie”, zegt Prickaerts. “Veel bedrijven kloppen dan ook vaak pas na een incident bij ons aan. Ze hebben eerder niet gemerkt dat er iets mis was. Ook bij acquisities gebeurt dit.”
‘Hoe bewust is men zich van de specifieke risico’s die deze onderneming loopt?’
PayPal kocht TIO Networks in juli 2017 voor 233 miljoen dollar. Slechts enkele maanden later ontdekte de betalingsdienst een lek dat toegang gaf tot de persoonlijke gegevens van 1,6 miljoen klanten. Bij Yahoo bleken gegevens gestolen van maar liefst 1 miljard gebruikers gedurende twee inbraken die in 2013 en 2014 plaatsvonden. Overnemende partij Verizon bedong uiteindelijk 350 miljoen dollar korting op de verkoopprijs van 4,83 miljard dollar met terugwerkende kracht. Een bekende zaak van Nederlandse bodem is DigiNotar dat in 2011 door VASCO Data Security werd geacquireerd. Niet veel later slaagde een hacker erin in te breken bij DigiNotar en zei de overheid het vertrouwen op in de certificaatautoriteit. Op 20 september 2011 werd het bedrijf failliet verklaard.
IT-onderwerp
Logisch dus dat overnemende partijen zich afvragen hoe het gesteld is met de IT-security van hun overnametarget voordat ze de deal closen. “Vaak is er in de pre-acquisitiefase geen tijd voor een uitgebreid onderzoek”, zegt Herrie. “Zeker in de sellers market waar we nu in zitten. Om toch een goede risicoanalyse te maken is het belangrijk een aantal kernvragen beantwoord te krijgen. Je wilt een goed beeld krijgen van de kwetsbaarheid van de onderneming. Is er al eerder een hack geweest of speelt er nu één en wat is de schade? Hoe is de security nu ingericht? Hoe bewust is men zich van de specifieke risico’s die deze onderneming loopt? Wordt er al gerapporteerd over de risico’s en het effect van de genomen maatregelen? Matcht de houding van het management met het risicoprofiel van hun bedrijf? Voor je als koper je handtekening zet, moet je al een heel goed beeld hebben van waar het bedrijf staat en wat er moet gebeuren. En natuurlijk wat de nodige maatregelen gaan kosten in de fase na de acquisitie.”
Met deze analyse kun je als koper een inschatting maken of het bedrijf slechts compliant is of secure. “In veel bedrijven wordt het toch nog vooral gezien als een IT-onderwerp”, aldus Herrie. “Het hoort natuurlijk in de boardroom thuis. Niet alleen voor de security, maar ook om je voor te bereiden op incidenten. Wanneer het mis gaat, moet je weten wie waar verantwoordelijk voor is en wat de response-plannen zijn.”
‘IT-security is een zaak van de boardroom, niet van IT’
“Vaak worden bedrijven die een incident hebben gehad opeens veel bewuster”, constateert Prickaerts. “Dan hebben bestuurders een duidelijke aanleiding om te zeggen: dit niet nog een keer.” KPN – waar in 2012 een 17-jarige jongen op de servers inbrak – is een goed voorbeeld. De hack heeft bij KPN geleid tot meer aandacht voor security. DigiNotar was ISO-gecertificeerd, maar dat bleek toch geen garantie dat ze veilig waren. Ze waren alleen compliant. “Bij bedrijven die alleen generieke oplossingen treffen, blijft het risico behoorlijk groot. Compliance is vaak een papieren werkelijkheid. Echte risico’s, zoals medewerkers die gevoelige bestanden zonder versleuteling versturen of gevaarlijke e-mailbijlagen openen, worden niet opgemerkt.”
Andere mindset
Voor investeerders en PE-partijen is de vraag vooral hoeveel risico ze bereid zijn te lopen. “Het verschilt per fonds hoe ze hierin zitten”, zegt Herrie. “De vergevorderde fondsen hebben in hun portfolio uniforme maatregelen getroffen. Dat stelt ze in staat beter grip te houden op de risico’s. Andere fondsen laten hun deelnemingen meer vrij hierin. Dat kan ook een keuze zijn. Wij kunnen een inschatting maken van de cyber maturity van een onderneming. Op basis daarvan stellen we een pakket passende maatregelen voor om het beveiligingsniveau af te stemmen op het risicoprofiel van het specifieke bedrijf.”
Een ideaal pakket maatregelen betreft niet alleen de techniek, maar ook gedrag en mindset, stellen de cyber-experts. “De cultuurfactor is niet te negeren”, aldus Prickaerts. “veel bedrijven worstelen nog met gedrag en mindset. Bestuurders vragen zich af hoe ze gesprekspartner kunnen worden op dit gebied en de grootste gevaren duidelijk kunnen maken aan hun mensen. En natuurlijk wat zij daaraan kunnen doen met z’n allen. Die bekwaamheid vergroten is een grote uitdaging.”
Begin op tijd
Om dit aan te pakken adviseren de security-experts om tijdig te beginnen. Ook voor PE-fondsen is dit een belangrijk element in het verkoopklaar maken van hun deelnemingen. Herrie: “Zodra je de beslissing neemt te verkopen, ook al is dit nog jaren weg, begint het proces. Het gaat tijd kosten, zeker om het gedrag te veranderen. Als je om 5 voor 12 maatregelen gaat nemen, zal dat weinig effect sorteren. Begin dus op tijd.”
100 procent garantie dat je niet gehackt wordt bestaat niet, maken beide experts duidelijk. “Maar je kunt er wel een hoop aan doen”, besluit Prickaerts. “Het voordeel van een vroege start is dat je de volwassenheid al flink hebt vergroot zodra het verkoopproces in zicht komt. Je kunt dan aantonen welke procesverbeteringen je hebt doorgevoerd en welk effect je daarmee hebt gerealiseerd door het totaal aantal incidenten terug te dringen. Je biedt potentiële kopers dan al een mooi instrument om steeds volwassener te worden in cyber security. Dit zal zeker waarde hebben in deze tijd van voortdurende cyberincidenten.”
