Het langere termijn kostenplaatje van cybercrime

      Reacties uitgeschakeld voor Het langere termijn kostenplaatje van cybercrime

Toen in september 2017 het Amerikaanse Equifax bekend maakte gehackt te zijn was direct duidelijk dat de impact groter zou zijn dan van andere succesvolle cybercrime inbraken. Nu bijna twee jaar later is een verlaging van de credit rating het zoveelste bewijs dat die impact inderdaad groot is.

Meerdere maanden gehackt

Equifax controleert in meerdere landen onder andere de kredietwaardigheid van burgers en bedrijven. Een andere activiteit is het bijhouden van gegevens die voor verzekeringsmaatschappijen relevant zijn. Daardoor beschikt het over enorm omvangrijke en rijke databases. Toegang tot die databases zou goed afgeschermd moeten zijn, in 2017 bleek dat niet het geval te zijn. Over meerdere maanden konden hackers de systemen raadplegen en waardevolle data kopiëren.

Volgens de Wikipedia pagina zouden de datasets van 145,5 miljoen Amerikanen en 15,2 miljoen Britse burgers zijn blootgesteld. Van een fractie, nog steeds meerdere miljoenen zou de data ook echt zijn buitgemaakt. Het gaat daarbij om meer dan de NAW. De dossiers bevatten medische info, studie- en werkhistorie, woonplaatshistorie en nog veel meer. Met de gegevens kan een persoon en zijn directe omgeving minutieus in kaart worden gebracht en worden gevolgd. Dat de gehackte database nooit te koop is aangeboden is volgens de meeste kenners dan ook het bewijs dat de hack is uitgevoerd door, of in opdracht van, een niet bevriende mogendheid.

Eigen kredietwaardigheid

Equifax heeft na de data breach natuurlijk beterschap beloofd en alles uit de kast getrokken om het beschadigde imago op te poetsen. Veel geholpen heeft het nog niet. Er lopen nog steeds rechtszaken tegen het bedrijf omdat het de data niet goed beschermd, maar ook omdat er nadien nog kleinere incidenten zijn bekend geworden.

De ironie van dit alles is dat de kredietwaardigheid van Equifax in de schijnwerpers is komen te staan. Hoeveel is een bedrijf waard dat zoveel schade heeft opgelopen en veroorzaakt. Hoeveel moet dat bedrijf nog investeren om veilig te worden en wat is daarvan de impact op de ongoing business?

Moodys

Vorige week heeft Moodys die vragen beantwoord. Via CNBC is bekend geworden dat het de rating van Equifax heeft verlaagd naar Baa1 – de vooruitzichten zijn slecht en dat heeft alles te maken met de hack van 2017 “it is the first time that cyber has been a named factor in an outlook change.”

Om alle gaten te dichten moet Equifax volgens Moodys dit en komend jaar $400 miljoen additioneel uitgeven aan veiligheid en de jaren daarna is die kostenpost naar verwachten $250 miljoen. Dat legt een dusdanig groot beslag op de business dat Moodys daarvoor moet waarschuwen.

Gevolgen

Het gevolg van de rating moet daarbij niet worden onderschat. Banken en investeerders mogen veelal niet beleggen in ondernemingen met een slechte rating. Geld lenen aan een organisatie met een slechtere rating heeft meer risico, dus de geldverstrekker zal een hogere rente moeten berekenen.

Zaken doen wordt voor Equifax door die rating lastiger, vooral duurder. Dat komt dus boven op de rechtszaken die tijd, geld en energie kosten. Los daarvan is er nog het imago dat fundamenteel beschadigd is en dat elke keer weer een tik krijgt als iemand over het bedrijf schrijft.

Het zal nog lang duren eer Equifax in rustigere vaarwateren aankomt. Als het al zover komt, want het meest verontrustende aan de zaak is dat de gestolen data nog steeds op de markt gegooid kan worden en dan zijn echt alle rapen gaat. Het definitieve kostenplaatje van cybercrime kan dus waarschijnlijk nooit worden opgemaakt.