当一家大公司宣布收购另一家公司时,人们通常认为这仅仅是一次财务交易,然而,并购过程远比财务交易复杂得多,它可以揭示所涉及的两家公司之间的各种问题。在匆忙完成交易的过程中,一个历来被忽视但对任何并购交易至关重要的领域是网络安全。
这尤其重要,因为被收购的公司通常规模较小,可能缺乏必要的网络安全资源来确保自身的保护。Cynet的一项调查此前表明,小型网络安全团队面临的攻击风险比大型企业更大。
“我认为并购过程相对来说是比较清楚的,财务建模和财务尽职调查显然做得很好,”Deloitte澳大利亚风险咨询合伙人Ian Blatchford告诉记者,“我认为对网络尽职调查的关注还不够。通常对网络风险的审查非常粗略,涉及他们的系统运行情况和我们需要承担的风险……但通常只是一个清单,并且在并购活动清单中排在很低的位置。”
然而,KPMG澳大利亚网络安全负责人Gergana Winzer认为,过去几年中,公司在并购交易中对网络安全的重视程度有所增加。她认为,一些高调的安全漏洞事件帮助提高了人们对网络安全重要性的认识。
Gartner报告称,到2025年,60%的企业将在进行并购活动时将网络安全风险作为主要决定因素。
“因此,即使是我们认为属于中市场段的企业——那些没有巨额预算用于网络安全的组织——也开始意识到他们需要有到位的控制措施,需要有良好的网络安全姿态,不仅从技术角度来看,还要有良好的网络安全成熟度,以便在市场上具有竞争力,甚至能够生存下来。”Winzer告诉记者。
正如Winzer所说,在进行并购交易时不考虑网络安全,就像开车没有任何后视镜一样。她解释说:“你很容易受到攻击,成为网络攻击者的猎物,如果发生这种情况,所面临的风险是业务运营,尽可能高效地运营公司,同时还要承受中断和经济损失。”她补充说:“还可能对职业健康和安全产生非常具体的影响。例如,取决于企业和行业的类型,如果是医疗行业,可能会对患者和需要重要支持的人产生影响。”
在并购过程中CISO应该关注哪些领域?
并购会给CISO带来一些网络安全风险。来自主要咨询公司的专家分享了一些主要风险,CISO应了解并确保他们的CEO和董事会在开始过程之前掌握这些风险,这些包括确保技术和治理符合标准,检查所有第三方协议和服务以确保它们符合必要的网络安全要求,警惕网络犯罪分子的机会主义行为,以及防范潜伏的攻击者。
技术和治理可能不过关
根据CyberCX金融服务负责人Shameela Gonzalez的说法,一个明显的风险是,当两家公司试图合并两个不同的技术堆栈时。“了解合并和整合这些技术可能带来的风险,并确保作为独立实体时拥有的覆盖范围在合并了全新的技术堆栈后仍然保持,是非常重要的。”她指出,其中一家公司可能在网络安全方面的姿态比另一家公司更好。
一个突出的例子发生在2018年末,当时万豪酒店集团宣布其一个预订系统遭到攻击,而这距离其收购喜达屋已经过去了两年。经过调查发现,当万豪收购喜达屋时,继续使用了继承的IT基础设施,而这些基础设施已被黑客攻破并感染了恶意软件。结果,大约有3.39亿条客人记录,包括信用卡和护照信息,遭到了泄露。
Gonzalez还指出,从治理的角度来看,合并和收购公司可能面临更大的网络风险。“如何在技术之外维护治理和控制?网络风险管理不仅仅是技术问题。成熟和受高度监管的企业已经在这方面有相当经验,但那些没有经历同样监管审查的企业可能会犯一个错误,以为‘只要我买了几个网络工具,我就安全了’。”她说。
“但实际上,在并购过程中,你的治理可能比以往任何时候都更加关键,因为这是你风险管理流程的强度,是你人员能力和流程能力的强度,可以识别那些你可能不会立即注意到的灰色区域。”
审查第三方协议
在并购交易中,不仅需要考虑双方公司的网络安全状况,还需要考虑第三方提供商。根据Blatchford的说法,在完成并购交易之前进行网络尽职调查时需要提出的常见问题包括所有第三方供应商是谁,供应链中的剩余风险是什么。
SecurityScorecard的最新报告显示,信任的第三方的利用仍然是一个普遍的安全问题。研究表明,98%的企业与曾经遭受过攻击的第三方有联系。此外,第三方攻击导致了29%的安全漏洞。
“你可以大致假设大型企业在网络安全方面有资源和投资,因此在现今时代,网络攻击者并不容易攻击他们,”Gonzalez说,“但脆弱的第三方是网络攻击者进入大型组织并造成同样级别破坏的好途径。”
警惕机会主义的网络犯罪
此外,Gonzalez指出,当一家公司公开其收购或合并意图时,这会向网络攻击者发出一个潜在的攻击机会信号。她认为,如果企业意识到这一点,就有机会采取积极的网络安全措施,而不是把网络尽职调查作为完成收购的先决条件。
“如果攻击者看到新闻公开发布,他们会怎么假设我们?大多数攻击者会做的一个简单假设是你的注意力不在工具上,你分心了,你的投资将集中在除网络安全之外的所有事情上,”她说,“一旦你有了这个意识,你就可以真正准备自己,武装自己,以防止这种心态,真正设置适当的屏障,防止网络攻击者利用这种机会。”
警惕潜伏的攻击者
Gonzalez警告说,并购活动也是严重网络攻击的完美温床,她指出她曾处理的一个案例中,一个网络攻击者“字面上在被收购公司前一天就渗透了进去”。
“许多威胁行为者正潜伏在企业内部,他们秘密地隐藏在你的网络中。他们在学习你的业务和运营,已经积累了大量关于你的信息......我们最不希望看到的是,一个潜伏的威胁行为者在并购发生时坐在这些实体之一中,然后你只是扩大了他们的攻击面。”她说。
当然,在当今时代,几乎不可能有任何企业能始终将攻击者拒之门外。Blatchford对公司的建议是确定他们愿意承担的网络风险级别。他说,这一决定的一部分将涉及考虑如果发生攻击,修复的成本可能是多少,以及收购公司在收购后将面临的合同义务。
“网络风险像其他任何风险一样需要引起注意,但如果处理不当,网络风险会带来一些相当严重的后果,”Blatchford说,“所以,如果我收购了某个东西并且发生了大规模的数据泄露,谁将对可能随之而来的任何处罚和强制措施负责?更多的时候,当发现网络漏洞时,可能已经发生了几个月。”
另一方面,对于被收购的公司来说,Blatchford指出,提高其网络安全姿态是多么重要,并警告说,未能做到这一点可能会危及公司的销售价值。一个最突出的例子是,在评估阶段,由于Yahoo的安全漏洞,Verizon将其交易价格大幅削减了3.5亿美元。
“网络风险绝对是一个谈判工具。最终,如果你是收购方,你在承担某种风险,为了这种风险,必须有相应的溢价或成本。如果你必须进行提升,你将不得不花钱,而这可能没有在购买价格中考虑进去。”Blatchford说。
