這尤其重要,因為被收購的公司通常規(guī)模較小,可能缺乏必要的網(wǎng)絡安全資源來確保自身的保護。Cynet的一項調(diào)查此前表明,小型網(wǎng)絡安全團隊面臨的攻擊風險比大型企業(yè)更大。
“我認為并購過程相對來說是比較清楚的,財務建模和財務盡職調(diào)查顯然做得很好,”Deloitte澳大利亞風險咨詢合伙人Ian Blatchford告訴記者,“我認為對網(wǎng)絡盡職調(diào)查的關注還不夠。通常對網(wǎng)絡風險的審查非常粗略,涉及他們的系統(tǒng)運行情況和我們需要承擔的風險……但通常只是一個清單,并且在并購活動清單中排在很低的位置。”
然而,KPMG澳大利亞網(wǎng)絡安全負責人Gergana Winzer認為,過去幾年中,公司在并購交易中對網(wǎng)絡安全的重視程度有所增加。她認為,一些高調(diào)的安全漏洞事件幫助提高了人們對網(wǎng)絡安全重要性的認識。
Gartner報告稱,到2025年,60%的企業(yè)將在進行并購活動時將網(wǎng)絡安全風險作為主要決定因素。
“因此,即使是我們認為屬于中市場段的企業(yè)——那些沒有巨額預算用于網(wǎng)絡安全的組織——也開始意識到他們需要有到位的控制措施,需要有良好的網(wǎng)絡安全姿態(tài),不僅從技術角度來看,還要有良好的網(wǎng)絡安全成熟度,以便在市場上具有競爭力,甚至能夠生存下來。”Winzer告訴記者。
正如Winzer所說,在進行并購交易時不考慮網(wǎng)絡安全,就像開車沒有任何后視鏡一樣。她解釋說:“你很容易受到攻擊,成為網(wǎng)絡攻擊者的獵物,如果發(fā)生這種情況,所面臨的風險是業(yè)務運營,盡可能高效地運營公司,同時還要承受中斷和經(jīng)濟損失。”她補充說:“還可能對職業(yè)健康和安全產(chǎn)生非常具體的影響。例如,取決于企業(yè)和行業(yè)的類型,如果是醫(yī)療行業(yè),可能會對患者和需要重要支持的人產(chǎn)生影響。”
在并購過程中CISO應該關注哪些領域?
并購會給CISO帶來一些網(wǎng)絡安全風險。來自主要咨詢公司的專家分享了一些主要風險,CISO應了解并確保他們的CEO和董事會在開始過程之前掌握這些風險,這些包括確保技術和治理符合標準,檢查所有第三方協(xié)議和服務以確保它們符合必要的網(wǎng)絡安全要求,警惕網(wǎng)絡犯罪分子的機會主義行為,以及防范潛伏的攻擊者。
技術和治理可能不過關
根據(jù)CyberCX金融服務負責人Shameela Gonzalez的說法,一個明顯的風險是,當兩家公司試圖合并兩個不同的技術堆棧時。“了解合并和整合這些技術可能帶來的風險,并確保作為獨立實體時擁有的覆蓋范圍在合并了全新的技術堆棧后仍然保持,是非常重要的。”她指出,其中一家公司可能在網(wǎng)絡安全方面的姿態(tài)比另一家公司更好。
一個突出的例子發(fā)生在2018年末,當時萬豪酒店集團宣布其一個預訂系統(tǒng)遭到攻擊,而這距離其收購喜達屋已經(jīng)過去了兩年。經(jīng)過調(diào)查發(fā)現(xiàn),當萬豪收購喜達屋時,繼續(xù)使用了繼承的IT基礎設施,而這些基礎設施已被黑客攻破并感染了惡意軟件。結果,大約有3.39億條客人記錄,包括信用卡和護照信息,遭到了泄露。
Gonzalez還指出,從治理的角度來看,合并和收購公司可能面臨更大的網(wǎng)絡風險。“如何在技術之外維護治理和控制?網(wǎng)絡風險管理不僅僅是技術問題。成熟和受高度監(jiān)管的企業(yè)已經(jīng)在這方面有相當經(jīng)驗,但那些沒有經(jīng)歷同樣監(jiān)管審查的企業(yè)可能會犯一個錯誤,以為‘只要我買了幾個網(wǎng)絡工具,我就安全了’。”她說。
“但實際上,在并購過程中,你的治理可能比以往任何時候都更加關鍵,因為這是你風險管理流程的強度,是你人員能力和流程能力的強度,可以識別那些你可能不會立即注意到的灰色區(qū)域。”
審查第三方協(xié)議
在并購交易中,不僅需要考慮雙方公司的網(wǎng)絡安全狀況,還需要考慮第三方提供商。根據(jù)Blatchford的說法,在完成并購交易之前進行網(wǎng)絡盡職調(diào)查時需要提出的常見問題包括所有第三方供應商是誰,供應鏈中的剩余風險是什么。
SecurityScorecard的最新報告顯示,信任的第三方的利用仍然是一個普遍的安全問題。研究表明,98%的企業(yè)與曾經(jīng)遭受過攻擊的第三方有聯(lián)系。此外,第三方攻擊導致了29%的安全漏洞。
“你可以大致假設大型企業(yè)在網(wǎng)絡安全方面有資源和投資,因此在現(xiàn)今時代,網(wǎng)絡攻擊者并不容易攻擊他們,”Gonzalez說,“但脆弱的第三方是網(wǎng)絡攻擊者進入大型組織并造成同樣級別破壞的好途徑。”
警惕機會主義的網(wǎng)絡犯罪
此外,Gonzalez指出,當一家公司公開其收購或合并意圖時,這會向網(wǎng)絡攻擊者發(fā)出一個潛在的攻擊機會信號。她認為,如果企業(yè)意識到這一點,就有機會采取積極的網(wǎng)絡安全措施,而不是把網(wǎng)絡盡職調(diào)查作為完成收購的先決條件。
“如果攻擊者看到新聞公開發(fā)布,他們會怎么假設我們?大多數(shù)攻擊者會做的一個簡單假設是你的注意力不在工具上,你分心了,你的投資將集中在除網(wǎng)絡安全之外的所有事情上,”她說,“一旦你有了這個意識,你就可以真正準備自己,武裝自己,以防止這種心態(tài),真正設置適當?shù)钠琳?,防止網(wǎng)絡攻擊者利用這種機會。”
警惕潛伏的攻擊者
Gonzalez警告說,并購活動也是嚴重網(wǎng)絡攻擊的完美溫床,她指出她曾處理的一個案例中,一個網(wǎng)絡攻擊者“字面上在被收購公司前一天就滲透了進去”。
“許多威脅行為者正潛伏在企業(yè)內(nèi)部,他們秘密地隱藏在你的網(wǎng)絡中。他們在學習你的業(yè)務和運營,已經(jīng)積累了大量關于你的信息......我們最不希望看到的是,一個潛伏的威脅行為者在并購發(fā)生時坐在這些實體之一中,然后你只是擴大了他們的攻擊面。”她說。
當然,在當今時代,幾乎不可能有任何企業(yè)能始終將攻擊者拒之門外。Blatchford對公司的建議是確定他們愿意承擔的網(wǎng)絡風險級別。他說,這一決定的一部分將涉及考慮如果發(fā)生攻擊,修復的成本可能是多少,以及收購公司在收購后將面臨的合同義務。
“網(wǎng)絡風險像其他任何風險一樣需要引起注意,但如果處理不當,網(wǎng)絡風險會帶來一些相當嚴重的后果,”Blatchford說,“所以,如果我收購了某個東西并且發(fā)生了大規(guī)模的數(shù)據(jù)泄露,誰將對可能隨之而來的任何處罰和強制措施負責?更多的時候,當發(fā)現(xiàn)網(wǎng)絡漏洞時,可能已經(jīng)發(fā)生了幾個月。”
另一方面,對于被收購的公司來說,Blatchford指出,提高其網(wǎng)絡安全姿態(tài)是多么重要,并警告說,未能做到這一點可能會危及公司的銷售價值。一個最突出的例子是,在評估階段,由于Yahoo的安全漏洞,Verizon將其交易價格大幅削減了3.5億美元。
“網(wǎng)絡風險絕對是一個談判工具。最終,如果你是收購方,你在承擔某種風險,為了這種風險,必須有相應的溢價或成本。如果你必須進行提升,你將不得不花錢,而這可能沒有在購買價格中考慮進去。”Blatchford說。
企業(yè)網(wǎng)D1net(m.r5u5c.cn):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。