VEB: verplichte rapportage had grote hack NXP kunnen voorkomen

Grote bedrijven kunnen zichzelf én beleggers beter beschermen tegen grote hackaanvallen door hun preventiemaatregelen op dit gebied nadrukkelijk vast te leggen. Met zo'n verplichte verklaring omtrent risicobeheersing (VOR) had de grote hack bij het belangrijke Eindhovense chipbedrijf NXP misschien voorkomen kunnen worden, bepleit beleggersvereniging VEB. Toch neemt VEB-directeur Gerben Everts de Nederlandse fabrikant niks kwalijk.

NRC kwam vrijdag met het nieuws dat een Chinese hackersgroep ruim twee jaar ongemerkt toegang had tot het computernetwerk van NXP. Het aan de Amerikaanse beurs genoteerde bedrijf levert onder meer onderdelen voor Apple-toestellen en auto's. Volgens NXP heeft de hack niet geleid tot materiële schade. Er zou volgens onderzoekers wel intellectueel eigendom zijn gestolen.

Everts gelooft de conclusie van de fabrikant dat er geen sprake is van materiële schade. "De schade kan alsnog enorm zijn, bijvoorbeeld als Apple de samenwerking stopt omdat het niet meer veilig genoeg zou zijn. Of als er Chinese concurrenten komen met precies dezelfde technologie. Maar de schade kan ook meevallen."

Juist door de toenemende geopolitieke spanningen, onder meer vanuit China en Rusland, wil de VEB dat bedrijven verplicht worden om uiteen te zetten hoe risico's op het gebied van cyberveiligheid en witwassen worden beheerst. De vereniging is hier nu met de grote ondernemingen over in overleg en hoopt de VOR vanaf 1 januari verplicht te stellen.

Everts: "NXP zal preventiemaatregelen op het gebied van risicobeheersing hebben gehad, maar door de VOR verplicht te stellen kunnen die altijd worden aangescherpt. Dan moeten bedrijven het meer managen. Als je dat niet adequaat doet, ben je net als NXP vroeg of laat aan de beurt. NXP was al alerter dan gewone bedrijven. Dat maakt deze hack heel pijnlijk en geeft aan hoe ontzettend gemeen en vervelend de dreiging is vanuit Russische en Chinese overheden."

De VOR zou vergelijkbaar moeten worden met de huidige verplichting van de financiële verklaringen in de jaarverslagen van grote bedrijven. "Dan krijgt de buitenwacht daar geen grote verrassingen over", zegt Everts.