Beursfonds niet veilig voor digitale gijzeling

Deze rubriek belicht beursfondsen die in de belangstelling staan. Ditmaal: Garmin.

Bij menig sporter, automobilist en piloot ontstond eind juli lichte paniek. Hun sporthorloges, fietscomputers en navigatiekastjes van producent Garmin werkten weliswaar nog, maar de geregistreerde activiteiten, mobiele apps en navigatiediensten kampten met een hardnekkige storing die dagen aanhield. Wat bleek? Het volledige systeem van het wereldwijd populaire Garmin was gekaapt door een digitale aanval met ransomware, ook wel gijzelsoftware genoemd.

Deze methode, waarbij bestanden en servers via digitale versleuteling ontoegankelijk worden gemaakt tot het slachtoffer losgeld betaalt, is uitgegroeid tot een gewilde werkwijze voor criminelen. Dat zij geraffineerd te werk gaan, bleek wel in het geval van Garmin. Naast alle applicaties waren ook de website en zelfs de callcenters van het GPS-bedrijf dagenlang offline.

Garmin (omzet 3,8 miljard dollar) is een van ’s werelds grootste fabrikanten van gps-apparaten. De Amerikaanse multinational maakt naast sporthorloges ook toestellen voor auto’s, schepen, vliegtuigen en helikopters. Het bedrijf doorstaat de coronacrisis goed, vooral de divisie fitness. Die zette in april, mei en juni 17 procent meer om dan een jaar eerder.

Maar een maand erna wisten klanten in ruim honderd landen dus dagenlang niet wat er toch aan de hand was met hun apparatuur. Het beursgenoteerde miljardenbedrijf, dat eerst van een „storing” sprak, was onbereikbaar. Pas na enkele dagen kwam er de summiere verklaring dat het „slachtoffer was van een cyberaanval waarbij delen van onze systemen op 23 juli werden versleuteld”. Garmin had nog langer nodig voor herstel van zijn online dienstverlening. Over daders of losgeld zei het niets.

Dat laatste werd voer voor beveiligingsonderzoekers. Hun conclusie? De aanval is uitgevoerd met een op het specifieke bedrijf afgestemde variant van WastedLocker, concludeerde onder andere Kaspersky. Hoofdverdachte zou de aan Rusland gelinkte hackersgroep Evil Corp zijn, waarvan leden op de FBI-lijst van meest gezochte cybercriminelen staan.

„Dit soort groepen kijkt heel goed naar de omzet en winst van een bedrijf”, zegt directeur Frank Groenewegen van digitaal beveiligingsbedrijf Fox-IT. „Ransomware is voor hen het beste verdienmodel. Ze leggen zelf een organisatie plat of kopen toegang via andere criminelen en kunnen anoniem losgeld ontvangen in bijvoorbeeld bitcoin. Bij grote bedrijven eisen ze gerust miljoenen.”

Onduidelijk is of dat ook bij Garmin is gebeurd. Volgens techsite BleepingComputer was de oorspronkelijke eis van de hackers 10 miljoen dollar. Garmin zou via een tussenpartij uiteindelijk „meerdere miljoenen” betaald hebben, meldde de Britse nieuwszender Sky News. Mogelijk bevestigen de derdekwartaalcijfers die Garmin woensdag presenteert dat.

De zaak roept tegelijk een vraag op voor de belegger: heeft die recht op openheid van zaken? Voor beursbedrijven geldt hierbij geen verplichting, zegt Ralph Wessels, hoofd beleggingsstrategie bij ABN Amro. „Er zijn nog geen vastomlijnde regels voor. Vaak omdat het een juridische kwestie is. Maar als het om grote aantallen gaat, kan je het niet verbergen.” Beleggers kijken volgens hem vooral naar de kwetsbaarheid van een bedrijf, naast de directe schade. „Als een aanval effect heeft, is je IT-infrastructuur niet op orde. Dat is meer de link die beleggers leggen.”

Garmin staat bepaald niet alleen. Eind 2019 bleken circa 1.800 bedrijven mikpunt van ransomware. Begin dit jaar nog betaalde de Universiteit Maastricht bijna 2 ton om gegijzelde bestanden vrij te kopen. Groenewegen: „Veel bestuursleden die ik spreek, beseffen niet dat ze kwetsbaar zijn. Anderen denken dat ze nog tijd hebben om hun beveiliging op orde te brengen. Een aanval zoals die op Garmin schudt hen hopelijk wakker.”