‘Verplichte rapportage had grote hack NXP kunnen voorkomen’
Grote bedrijven kunnen zichzelf én beleggers beter beschermen tegen grote hackaanvallen door hun preventiemaatregelen op dit gebied nadrukkelijk vast te leggen. Met zo’n verplichte verklaring omtrent risicobeheersing had de grote hack bij het Eindhovense chipbedrijf NXP misschien voorkomen kunnen worden, bepleit de Nederlandse beleggersvereniging VEB. Toch neemt VEB-directeur Gerben Everts de fabrikant niks kwalijk.
De krant NRC kwam vrijdag met het nieuws dat een Chinese hackersgroep ruim twee jaar ongemerkt toegang had tot het computernetwerk van NXP. Het aan de Amerikaanse beurs genoteerde bedrijf levert onder meer onderdelen voor Apple-toestellen en auto’s. Volgens NXP heeft de hack niet geleid tot materiële schade. Er zou volgens onderzoekers wel intellectueel eigendom zijn gestolen.
Everts gelooft de conclusie van de fabrikant dat er geen sprake is van materiële schade. ‘Maar de schade kan alsnog enorm zijn, bijvoorbeeld als Apple de samenwerking stopt omdat het niet meer veilig genoeg zou zijn. Of als er Chinese concurrenten komen met precies dezelfde technologie. De schade kan echter ook meevallen.’
Heel pijnlijk
Juist door de toenemende geopolitieke spanningen, onder meer vanuit China en Rusland, wil de VEB dat bedrijven verplicht worden om uiteen te zetten hoe risico’s op het gebied van cyberveiligheid en witwassen worden beheerst. De vereniging is hier nu met de grote ondernemingen over in overleg en hoopt de verklaring omtrent risicobeheersing (VOR) vanaf 1 januari verplicht te stellen.
Everts: ‘NXP zal preventiemaatregelen op het gebied van risicobeheersing hebben gehad, maar door de VOR verplicht te stellen kunnen die altijd worden aangescherpt. Dan moeten bedrijven het meer managen. Als je dat niet adequaat doet, ben je net als NXP vroeg of laat aan de beurt. NXP was al alerter dan gewone bedrijven. Dat maakt deze hack heel pijnlijk en geeft aan hoe ontzettend gemeen en vervelend de dreiging is vanuit Russische en Chinese overheden.’