這尤其重要,因?yàn)楸皇召彽墓就ǔR?guī)模較小,可能缺乏必要的網(wǎng)絡(luò)安全資源來確保自身的保護(hù)。Cynet的一項(xiàng)調(diào)查此前表明,小型網(wǎng)絡(luò)安全團(tuán)隊(duì)面臨的攻擊風(fēng)險(xiǎn)比大型企業(yè)更大。
“我認(rèn)為并購過程相對(duì)來說是比較清楚的,財(cái)務(wù)建模和財(cái)務(wù)盡職調(diào)查顯然做得很好,”Deloitte澳大利亞風(fēng)險(xiǎn)咨詢合伙人Ian Blatchford告訴記者,“我認(rèn)為對(duì)網(wǎng)絡(luò)盡職調(diào)查的關(guān)注還不夠。通常對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的審查非常粗略,涉及他們的系統(tǒng)運(yùn)行情況和我們需要承擔(dān)的風(fēng)險(xiǎn)……但通常只是一個(gè)清單,并且在并購活動(dòng)清單中排在很低的位置。”
然而,KPMG澳大利亞網(wǎng)絡(luò)安全負(fù)責(zé)人Gergana Winzer認(rèn)為,過去幾年中,公司在并購交易中對(duì)網(wǎng)絡(luò)安全的重視程度有所增加。她認(rèn)為,一些高調(diào)的安全漏洞事件幫助提高了人們對(duì)網(wǎng)絡(luò)安全重要性的認(rèn)識(shí)。
Gartner報(bào)告稱,到2025年,60%的企業(yè)將在進(jìn)行并購活動(dòng)時(shí)將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)作為主要決定因素。
“因此,即使是我們認(rèn)為屬于中市場(chǎng)段的企業(yè)——那些沒有巨額預(yù)算用于網(wǎng)絡(luò)安全的組織——也開始意識(shí)到他們需要有到位的控制措施,需要有良好的網(wǎng)絡(luò)安全姿態(tài),不僅從技術(shù)角度來看,還要有良好的網(wǎng)絡(luò)安全成熟度,以便在市場(chǎng)上具有競爭力,甚至能夠生存下來。”Winzer告訴記者。
正如Winzer所說,在進(jìn)行并購交易時(shí)不考慮網(wǎng)絡(luò)安全,就像開車沒有任何后視鏡一樣。她解釋說:“你很容易受到攻擊,成為網(wǎng)絡(luò)攻擊者的獵物,如果發(fā)生這種情況,所面臨的風(fēng)險(xiǎn)是業(yè)務(wù)運(yùn)營,盡可能高效地運(yùn)營公司,同時(shí)還要承受中斷和經(jīng)濟(jì)損失。”她補(bǔ)充說:“還可能對(duì)職業(yè)健康和安全產(chǎn)生非常具體的影響。例如,取決于企業(yè)和行業(yè)的類型,如果是醫(yī)療行業(yè),可能會(huì)對(duì)患者和需要重要支持的人產(chǎn)生影響。”
在并購過程中CISO應(yīng)該關(guān)注哪些領(lǐng)域?
并購會(huì)給CISO帶來一些網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。來自主要咨詢公司的專家分享了一些主要風(fēng)險(xiǎn),CISO應(yīng)了解并確保他們的CEO和董事會(huì)在開始過程之前掌握這些風(fēng)險(xiǎn),這些包括確保技術(shù)和治理符合標(biāo)準(zhǔn),檢查所有第三方協(xié)議和服務(wù)以確保它們符合必要的網(wǎng)絡(luò)安全要求,警惕網(wǎng)絡(luò)犯罪分子的機(jī)會(huì)主義行為,以及防范潛伏的攻擊者。
技術(shù)和治理可能不過關(guān)
根據(jù)CyberCX金融服務(wù)負(fù)責(zé)人Shameela Gonzalez的說法,一個(gè)明顯的風(fēng)險(xiǎn)是,當(dāng)兩家公司試圖合并兩個(gè)不同的技術(shù)堆棧時(shí)。“了解合并和整合這些技術(shù)可能帶來的風(fēng)險(xiǎn),并確保作為獨(dú)立實(shí)體時(shí)擁有的覆蓋范圍在合并了全新的技術(shù)堆棧后仍然保持,是非常重要的。”她指出,其中一家公司可能在網(wǎng)絡(luò)安全方面的姿態(tài)比另一家公司更好。
一個(gè)突出的例子發(fā)生在2018年末,當(dāng)時(shí)萬豪酒店集團(tuán)宣布其一個(gè)預(yù)訂系統(tǒng)遭到攻擊,而這距離其收購喜達(dá)屋已經(jīng)過去了兩年。經(jīng)過調(diào)查發(fā)現(xiàn),當(dāng)萬豪收購喜達(dá)屋時(shí),繼續(xù)使用了繼承的IT基礎(chǔ)設(shè)施,而這些基礎(chǔ)設(shè)施已被黑客攻破并感染了惡意軟件。結(jié)果,大約有3.39億條客人記錄,包括信用卡和護(hù)照信息,遭到了泄露。
Gonzalez還指出,從治理的角度來看,合并和收購公司可能面臨更大的網(wǎng)絡(luò)風(fēng)險(xiǎn)。“如何在技術(shù)之外維護(hù)治理和控制?網(wǎng)絡(luò)風(fēng)險(xiǎn)管理不僅僅是技術(shù)問題。成熟和受高度監(jiān)管的企業(yè)已經(jīng)在這方面有相當(dāng)經(jīng)驗(yàn),但那些沒有經(jīng)歷同樣監(jiān)管審查的企業(yè)可能會(huì)犯一個(gè)錯(cuò)誤,以為‘只要我買了幾個(gè)網(wǎng)絡(luò)工具,我就安全了’。”她說。
“但實(shí)際上,在并購過程中,你的治理可能比以往任何時(shí)候都更加關(guān)鍵,因?yàn)檫@是你風(fēng)險(xiǎn)管理流程的強(qiáng)度,是你人員能力和流程能力的強(qiáng)度,可以識(shí)別那些你可能不會(huì)立即注意到的灰色區(qū)域。”
審查第三方協(xié)議
在并購交易中,不僅需要考慮雙方公司的網(wǎng)絡(luò)安全狀況,還需要考慮第三方提供商。根據(jù)Blatchford的說法,在完成并購交易之前進(jìn)行網(wǎng)絡(luò)盡職調(diào)查時(shí)需要提出的常見問題包括所有第三方供應(yīng)商是誰,供應(yīng)鏈中的剩余風(fēng)險(xiǎn)是什么。
SecurityScorecard的最新報(bào)告顯示,信任的第三方的利用仍然是一個(gè)普遍的安全問題。研究表明,98%的企業(yè)與曾經(jīng)遭受過攻擊的第三方有聯(lián)系。此外,第三方攻擊導(dǎo)致了29%的安全漏洞。
“你可以大致假設(shè)大型企業(yè)在網(wǎng)絡(luò)安全方面有資源和投資,因此在現(xiàn)今時(shí)代,網(wǎng)絡(luò)攻擊者并不容易攻擊他們,”Gonzalez說,“但脆弱的第三方是網(wǎng)絡(luò)攻擊者進(jìn)入大型組織并造成同樣級(jí)別破壞的好途徑。”
警惕機(jī)會(huì)主義的網(wǎng)絡(luò)犯罪
此外,Gonzalez指出,當(dāng)一家公司公開其收購或合并意圖時(shí),這會(huì)向網(wǎng)絡(luò)攻擊者發(fā)出一個(gè)潛在的攻擊機(jī)會(huì)信號(hào)。她認(rèn)為,如果企業(yè)意識(shí)到這一點(diǎn),就有機(jī)會(huì)采取積極的網(wǎng)絡(luò)安全措施,而不是把網(wǎng)絡(luò)盡職調(diào)查作為完成收購的先決條件。
“如果攻擊者看到新聞公開發(fā)布,他們會(huì)怎么假設(shè)我們?大多數(shù)攻擊者會(huì)做的一個(gè)簡單假設(shè)是你的注意力不在工具上,你分心了,你的投資將集中在除網(wǎng)絡(luò)安全之外的所有事情上,”她說,“一旦你有了這個(gè)意識(shí),你就可以真正準(zhǔn)備自己,武裝自己,以防止這種心態(tài),真正設(shè)置適當(dāng)?shù)钠琳希乐咕W(wǎng)絡(luò)攻擊者利用這種機(jī)會(huì)。”
警惕潛伏的攻擊者
Gonzalez警告說,并購活動(dòng)也是嚴(yán)重網(wǎng)絡(luò)攻擊的完美溫床,她指出她曾處理的一個(gè)案例中,一個(gè)網(wǎng)絡(luò)攻擊者“字面上在被收購公司前一天就滲透了進(jìn)去”。
“許多威脅行為者正潛伏在企業(yè)內(nèi)部,他們秘密地隱藏在你的網(wǎng)絡(luò)中。他們?cè)趯W(xué)習(xí)你的業(yè)務(wù)和運(yùn)營,已經(jīng)積累了大量關(guān)于你的信息......我們最不希望看到的是,一個(gè)潛伏的威脅行為者在并購發(fā)生時(shí)坐在這些實(shí)體之一中,然后你只是擴(kuò)大了他們的攻擊面。”她說。
當(dāng)然,在當(dāng)今時(shí)代,幾乎不可能有任何企業(yè)能始終將攻擊者拒之門外。Blatchford對(duì)公司的建議是確定他們?cè)敢獬袚?dān)的網(wǎng)絡(luò)風(fēng)險(xiǎn)級(jí)別。他說,這一決定的一部分將涉及考慮如果發(fā)生攻擊,修復(fù)的成本可能是多少,以及收購公司在收購后將面臨的合同義務(wù)。
“網(wǎng)絡(luò)風(fēng)險(xiǎn)像其他任何風(fēng)險(xiǎn)一樣需要引起注意,但如果處理不當(dāng),網(wǎng)絡(luò)風(fēng)險(xiǎn)會(huì)帶來一些相當(dāng)嚴(yán)重的后果,”Blatchford說,“所以,如果我收購了某個(gè)東西并且發(fā)生了大規(guī)模的數(shù)據(jù)泄露,誰將對(duì)可能隨之而來的任何處罰和強(qiáng)制措施負(fù)責(zé)?更多的時(shí)候,當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)漏洞時(shí),可能已經(jīng)發(fā)生了幾個(gè)月。”
另一方面,對(duì)于被收購的公司來說,Blatchford指出,提高其網(wǎng)絡(luò)安全姿態(tài)是多么重要,并警告說,未能做到這一點(diǎn)可能會(huì)危及公司的銷售價(jià)值。一個(gè)最突出的例子是,在評(píng)估階段,由于Yahoo的安全漏洞,Verizon將其交易價(jià)格大幅削減了3.5億美元。
“網(wǎng)絡(luò)風(fēng)險(xiǎn)絕對(duì)是一個(gè)談判工具。最終,如果你是收購方,你在承擔(dān)某種風(fēng)險(xiǎn),為了這種風(fēng)險(xiǎn),必須有相應(yīng)的溢價(jià)或成本。如果你必須進(jìn)行提升,你將不得不花錢,而這可能沒有在購買價(jià)格中考慮進(jìn)去。”Blatchford說。
企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)