Arne Sorenson ziet af van een deel van zijn bonus over 2018, zo maakte zijn werkgever Marriott International afgelopen week bekend. Heel vreemd is dat niet. De ceo moest in datzelfde jaar namelijk opbiechten dat zijn hotelketen de persoonlijke gegevens van 383 miljoen klanten te grabbel had gegooid. Een externe partij bleek jarenlang ongewenst en ongemoeid te hebben gegrasduind in de database met reserveringsgegevens van dochterbedrijf Starwood.
Marriott is verre van alleen. Antivirusbedrijf McAfee raamde de kostprijs van cyberaanvallen vorig jaar wereldwijd op $600 mrd.
Dat is natuurlijk nog iets anders dan de averij die beleggers oplopen. Om dat te achterhalen bestudeerde een groep academici verbonden aan het economisch instituut NBER vorig jaar 188 succesvolle cyberaanvallen. Daarbij werden tussen 2005 en 2014 persoonlijke financiële gegevens ontfutseld aan 144 beursgenoteerde Amerikaanse bedrijven.
Amper beursschade
Het datalek lijkt bij Marriott (marktkapitalisatie $45 mrd) nauwelijks schade te hebben opgeleverd. Het aandeel noteert zelfs 12% hoger
Alleen al in de eerste drie dagen nadat de diefstal aan het licht is gekomen, blijkt het aandeel gemiddeld met 1,1% te zakken. Er zijn natuurlijk uitschieters. Bij Equifax keken hackers in 2017 mee in de kredietgegevens van 143 miljoen klanten. Twee maanden nadat het kredietbureau de hacking had bekendgemaakt, noteerde het aandeel bijna een kwart lager.
Beleggers beseffen dat een ernstig datalek aandacht van het management zal opvreten. Daarnaast moeten getroffen bedrijven dikwijls meer schulden aangaan om de ‘reparatie’ te bekostigen, om nog te zwijgen van boetes en schadevergoedingen. Dit alles leidt tot een slechtere financiële gezondheid, en ratingverlagingen.
Bovendien keert het vertrouwen van klanten niet zomaar terug. De groei van de verkoopcijfers neemt in de eerste drie jaar na het incident duidelijk af, stellen de onderzoekers vast.
Marriott, dat een marktkapitalisatie heeft van $45 mrd, lijkt opmerkelijk genoeg amper beursschade te lijden. Het aandeel noteert zelfs 12% hoger. Een van de verklaringen is dat de hotelreus in het vierde kwartaal van vorig jaar $25 mln van de $28 mln die het spendeerde aan de datadiefstal terugkreeg van zijn cyberverzekeraar. Die laatste kan in totaal tot $350 mln uitkeren. Dat is wel nog steeds maar de helft van wat de hele affaire volgens zakenbank Morgan Stanley zal kosten.
Gedupeerde bedrijven blijven niet bij de pakken neerzitten na een cyberaanval, leert het eerder vermelde onderzoek nog. De standaardreactie van de raad van commissarissen is om de bonuscomponent in de totale verloning van de ceo terug te brengen, het risicozoekend gedrag van het management aan banden te leggen, en het risicobeheer te verbeteren.
Aan dat eerste draagt Sorenson nu dus een steentje bij. Hij zal er wel geen boterham minder door eten. Marriott schreef over 2018 nog altijd een nette $12,9 mln over op zijn bankrekening.
Bron: https://fd.nl/beurs/1296909/cyberdief-neemt-ook-beurswaarde-mee