并購有可能給企業帶來重大的網絡安全風險。全球技術研究和咨詢機構ISG公司的合伙人兼網絡安全聯合主管Doug Saylors表示,實施企業并購的團隊通常規模有限,主要專注于財務和業務運營的問題,IT和網絡安全在并購過程的早期往往處于次要地位。Saylors說:“有關網絡連接、合理化IT和網絡安全平臺以及員工的假設,通常是在對每個企業的實際職能和工作知之甚少的情況下做出的。”
調研機構Gartner公司在發布的一份關于并購和盡職調查過程中的網絡安全調查報告稱,正在合并、被收購或進行任何其他并購活動的企業必須能夠評估可能影響未來實體業務戰略和風險的安全需求。報告指出:“這將導致對被收購的企業安全狀況的了解(在交易之前可能的范圍內),以確保沒有受到沖擊,并制定出如何安全可靠地解決整合問題的計劃。”
例如2017年,雅虎公司發生兩起大規模數據泄露事件,導致其30億用戶賬戶全部泄露,Verizon公司為此取消了3.5億美元收購雅虎公司運營的業務的交易。雅虎公司最初表示,數據泄露只影響了10億多個用戶賬戶。Verizon公司最終以44.8億美元收購了該公司。
以下是幫助企業在并購過程中管理網絡安全風險的五種策略,可以為收購方提供借鑒和幫助。
1、要求對計劃收購的目標公司進行安全評估
全球專業服務商Vaco Holdings公司的安全、合規和風險主管Vladimir Svidesskis表示,在開始收購交易之前,收購方需要對計劃收購的目標公司進行當前或近期的評估,無論是具體的審計、安全態勢評估還是業務評估,并考慮何時進行評估。
他說:“在理想情況下,收購方希望這份評估是在過去9個月內完成的,任何超過一年的信息都是無效的。收購方需要將這些信息與現行的政策和程序以及最新的戰略目標相平衡。他們的政策、程序和流程是否與此一致?評估是否支持一定程度的保證?這些政策和程序是否得到了遵守?”
Svidesskis表示,收購方還應獲得有關可疑和已確認的安全或合規事件、風險暴露、網絡攻擊、網絡相關保險活動等的任何信息。他說,“這應該包括法律上可能沒有要求披露的事情。例如,即使這是一個不向政府部門報告的內部事件,這仍然是需要提前了解的相關信息。”
2、確保被收購的目標公司在其軟件中設計了安全性
曾經收購Black Duck Software公司的Synopsys公司的審計業務總經理Philip Odence表示,在科技公司的交易中,技術是目標產品或其重要組成部分,網絡安全因此是一個特別關注的焦點。Odence專門從事并購交易的盡職調查。他表示,收購企業必須確定目標公司是否在其軟件中設計了安全性。如果不是這樣,收購方就要在采購之后實施更多的補救工作。
Odence說:“過多的安全性問題意味著遭受網絡攻擊的幾率會增加,收購方可能希望將部分資金托管起來,以應對這種可能發生的情況。如果軟件明顯不符合行業規范,那么進行估值談判也是很正常的。”
Odence表示,收購方并不期望收購過程完美,但如果需要解決的問題超出其預期,收購方可能會改變對交易的看法。盡職調查通常并不會扼殺收購交易,但它們可能會影響交易條款、時機或估值。他說,“最重要的是,知識就是力量,收購方需要充分利用盡職調查過程,盡可能多地了解目標公司的軟件安全預成交情況,這樣他們就可以保護自己免受風險影響。”
3、盡早讓網絡安全和IT團隊參與進來
Inversion6公司董事兼首席信息技術官Chris Clymer表示,在并購之前,網絡安全和IT團隊很少參與,因為目標是保持較小的圈子。他說,戰略性業務收購或合并目標的IT和安全狀況很差,這并不少見,修復這些問題可能要花費數百萬美元。因此,盡早讓網絡安全和IT團隊參與進來并找出關鍵的弱點是至關重要的。
Clymer說:“在監管寬松的行業(例如制造業),我見過被收購的公司缺乏基本的安全補丁和端點安全措施,更不用說更先進的控制措施,例如安全信息和事件管理。”
他表示,企業減輕網絡安全風險的最佳方法之一是讓IT或安全部門成為審查收購的團隊的一部分,以避免日后出現代價高昂的意外。Clymer說:“此外,IT團隊應該有一個結構化的流程,具體說明他們如何進行收購,其中包括進行早期評估,并且告知員工關于財務交易變化的問題應該聯系誰,以及在收購的第一天就更改所有關鍵系統的管理密碼。”
SANS研究所研究員、YL Ventures公司常駐首席信息安全官Frank Kim表示,企業在進行盡職調查時,通常沒有一個將安全性包括在內的流程。從一開始就將網絡安全團隊包括在這個過程中可以避免許多令人頭痛的問題。他說,“在最糟糕的情況下,安全團隊或首席信息官可能會很晚才加入,而收購或合并團隊會說,‘我們很快就會完成這次并購或收購。下周就要開始了,你們能在我們完成并購之前完成安全審查嗎?’”
然而,Kim表示,如果網絡安全團隊或首席信息安全官總是在談判桌上占有一席之地,而不是只在出現問題時才參與進來,那么他們就可以評估目標公司的安全性,并對潛在的網絡安全風險提出質疑。
4、了解數據環境的風險
Gartner公司分析師Sam Olyaei表示,如果被收購的目標公司從一開始就沒有進行盡職調查,那么他們可能不了解自己所處的數據環境類型。他說:“這些目標公司可能要處理個人信息和可識別信息,以及可能要處理有監管要求的醫療保健信息,例如HIPAA法規。他們可能要處理有監管要求的支付信息,例如PCI或者有地理監管要求的GDPR法規。所以,他們可能沒有真正從信息的角度或環境的角度很好地理解所得到的信息。”
不了解數據環境風險的問題在于,收購方不知道目標公司實施了哪些類型的安全控制,也不知道他們的環境是否完全安全,Olyaei表示,這同樣適用于正在合并的公司。他說,“這些公司必須嘗試至少對其正在處理的數據環境有一個很好的想法,并確定潛在的風險。對正在追求或打算合并的公司進行SWOT(優勢、劣勢、機會和威脅)分析,可以讓收購方很好地了解正在處理的信息和資產。”
5、對目標公司的員工進行技能分析
Planview公司的首席技術官兼首席信息官Joe McMorris表示,重要的是要記住,收購方除了收購目標公司的技術之外,也在收購這些公司的員工。Planview公司已經進行了多次收購,其中包括2021年1月至2022年6月的三次企業收購。McMorris說:“企業需要對即將入職的員工進行全面的技能分析,因為這樣可以招聘合格的新員工。在整合過程中,雙方可能會存在知識和技能差距,因為可能需要適應一些新技術,而收購方可能沒有相關領域的專業知識。”
McMorris表示,在任何整合過程中,對于招聘目標公司的員工必須做大量的工作,這是在日常經營業務的基礎上進行的,這可能會導致他們的倦怠、士氣低落和人員流動。他說:“在整合過程中,可以說是風險最高的時期,因為需要合并網絡和技術,那么會對流程做出改變。在這段時間里,如果企業流失了員工,或者他們的技能難以勝任現在的工作,那么真正的漏洞和風險就會浮出水面。技能分析(可以幫助確保企業)擁有在整合過程中運作的員工隊伍。”
購買前了解網絡安全內幕
Svidesskis表示,對于收購方來說,重要的是要有更廣闊的視野,制定一個基本并購協議,包括當前風險、潛在風險的所有方面,以及收購后的評估。最后應提交一份報告,其中包括最新的風險態勢和相關剩余風險,以及對風險偏好的評估。
他表示,換句話說,收購方就是要放眼全局,并系統地完成整個過程。Svidesskis說,“企業需要評估安全形勢、態勢和政策,需要保護收購方和被收購方的利益,收購方需要讓對方了解其標準和政策是什么,還需要讓他們做出回報,這樣就不會是惡意收購。在這一基礎上,需要采用介于兩者之間的最終結果,而且最重要的是,需要在整個過程中持續監控和審計。此外,還需要遵循幾個關鍵步驟,而且在這些步驟中面臨的問題都應該得到解決,以降低風險。”
