并购有可能给企业带来重大的网络安全风险。全球技术研究和咨询机构ISG公司的合伙人兼网络安全联合主管Doug Saylors表示,实施企业并购的团队通常规模有限,主要专注于财务和业务运营的问题,IT和网络安全在并购过程的早期往往处于次要地位。Saylors说:“有关网络连接、合理化IT和网络安全平台以及员工的假设,通常是在对每个企业的实际职能和工作知之甚少的情况下做出的。”
调研机构Gartner公司在发布的一份关于并购和尽职调查过程中的网络安全调查报告称,正在合并、被收购或进行任何其他并购活动的企业必须能够评估可能影响未来实体业务战略和风险的安全需求。报告指出:“这将导致对被收购的企业安全状况的了解(在交易之前可能的范围内),以确保没有受到冲击,并制定出如何安全可靠地解决整合问题的计划。”
例如2017年,雅虎公司发生两起大规模数据泄露事件,导致其30亿用户账户全部泄露,Verizon公司为此取消了3.5亿美元收购雅虎公司运营的业务的交易。雅虎公司最初表示,数据泄露只影响了10亿多个用户账户。Verizon公司最终以44.8亿美元收购了该公司。
以下是帮助企业在并购过程中管理网络安全风险的五种策略,可以为收购方提供借鉴和帮助。
1.要求对计划收购的目标公司进行安全评估
全球专业服务商Vaco Holdings公司的安全、合规和风险主管Vladimir Svidesskis表示,在开始收购交易之前,收购方需要对计划收购的目标公司进行当前或近期的评估,无论是具体的审计、安全态势评估还是业务评估,并考虑何时进行评估。
他说:“在理想情况下,收购方希望这份评估是在过去9个月内完成的,任何超过一年的信息都是无效的。收购方需要将这些信息与现行的政策和程序以及最新的战略目标相平衡。他们的政策、程序和流程是否与此一致?评估是否支持一定程度的保证?这些政策和程序是否得到了遵守?”
Svidesskis表示,收购方还应获得有关可疑和已确认的安全或合规事件、风险暴露、网络攻击、网络相关保险活动等的任何信息。他说,“这应该包括法律上可能没有要求披露的事情。例如,即使这是一个不向政府部门报告的内部事件,这仍然是需要提前了解的相关信息。”
2.确保被收购的目标公司在其软件中设计了安全性
曾经收购Black Duck Software公司的Synopsys公司的审计业务总经理Philip Odence表示,在科技公司的交易中,技术是目标产品或其重要组成部分,网络安全因此是一个特别关注的焦点。Odence专门从事并购交易的尽职调查。他表示,收购企业必须确定目标公司是否在其软件中设计了安全性。如果不是这样,收购方就要在采购之后实施更多的补救工作。
Odence说:“过多的安全性问题意味着遭受网络攻击的几率会增加,收购方可能希望将部分资金托管起来,以应对这种可能发生的情况。如果软件明显不符合行业规范,那么进行估值谈判也是很正常的。”
Odence表示,收购方并不期望收购过程完美,但如果需要解决的问题超出其预期,收购方可能会改变对交易的看法。尽职调查通常并不会扼杀收购交易,但它们可能会影响交易条款、时机或估值。他说,“最重要的是,知识就是力量,收购方需要充分利用尽职调查过程,尽可能多地了解目标公司的软件安全预成交情况,这样他们就可以保护自己免受风险影响。”
3.尽早让网络安全和IT团队参与进来
Inversion6公司董事兼首席信息技术官Chris Clymer表示,在并购之前,网络安全和IT团队很少参与,因为目标是保持较小的圈子。他说,战略性业务收购或合并目标的IT和安全状况很差,这并不少见,修复这些问题可能要花费数百万美元。因此,尽早让网络安全和IT团队参与进来并找出关键的弱点是至关重要的。
Clymer说:“在监管宽松的行业(例如制造业),我见过被收购的公司缺乏基本的安全补丁和端点安全措施,更不用说更先进的控制措施,例如安全信息和事件管理。”
他表示,企业减轻网络安全风险的最佳方法之一是让IT或安全部门成为审查收购的团队的一部分,以避免日后出现代价高昂的意外。Clymer说:“此外,IT团队应该有一个结构化的流程,具体说明他们如何进行收购,其中包括进行早期评估,并且告知员工关于财务交易变化的问题应该联系谁,以及在收购的第一天就更改所有关键系统的管理密码。”
SANS研究所研究员、YL Ventures公司常驻首席信息安全官Frank Kim表示,企业在进行尽职调查时,通常没有一个将安全性包括在内的流程。从一开始就将网络安全团队包括在这个过程中可以避免许多令人头痛的问题。他说,“在最糟糕的情况下,安全团队或首席信息官可能会很晚才加入,而收购或合并团队会说,‘我们很快就会完成这次并购或收购。下周就要开始了,你们能在我们完成并购之前完成安全审查吗?’”
然而,Kim表示,如果网络安全团队或首席信息安全官总是在谈判桌上占有一席之地,而不是只在出现问题时才参与进来,那么他们就可以评估目标公司的安全性,并对潜在的网络安全风险提出质疑。
4.了解数据环境的风险
Gartner公司分析师Sam Olyaei表示,如果被收购的目标公司从一开始就没有进行尽职调查,那么他们可能不了解自己所处的数据环境类型。他说:“这些目标公司可能要处理个人信息和可识别信息,以及可能要处理有监管要求的医疗保健信息,例如HIPAA法规。他们可能要处理有监管要求的支付信息,例如PCI或者有地理监管要求的GDPR法规。所以,他们可能没有真正从信息的角度或环境的角度很好地理解所得到的信息。”
不了解数据环境风险的问题在于,收购方不知道目标公司实施了哪些类型的安全控制,也不知道他们的环境是否完全安全,Olyaei表示,这同样适用于正在合并的公司。他说,“这些公司必须尝试至少对其正在处理的数据环境有一个很好的想法,并确定潜在的风险。对正在追求或打算合并的公司进行SWOT(优势、劣势、机会和威胁)分析,可以让收购方很好地了解正在处理的信息和资产。”
5.对目标公司的员工进行技能分析
Planview公司的首席技术官兼首席信息官Joe McMorris表示,重要的是要记住,收购方除了收购目标公司的技术之外,也在收购这些公司的员工。Planview公司已经进行了多次收购,其中包括2021年1月至2022年6月的三次企业收购。McMorris说:“企业需要对即将入职的员工进行全面的技能分析,因为这样可以招聘合格的新员工。在整合过程中,双方可能会存在知识和技能差距,因为可能需要适应一些新技术,而收购方可能没有相关领域的专业知识。”
McMorris表示,在任何整合过程中,对于招聘目标公司的员工必须做大量的工作,这是在日常经营业务的基础上进行的,这可能会导致他们的倦怠、士气低落和人员流动。他说:“在整合过程中,可以说是风险最高的时期,因为需要合并网络和技术,那么会对流程做出改变。在这段时间里,如果企业流失了员工,或者他们的技能难以胜任现在的工作,那么真正的漏洞和风险就会浮出水面。技能分析(可以帮助确保企业)拥有在整合过程中运作的员工队伍。”
购买前了解网络安全内幕
Svidesskis表示,对于收购方来说,重要的是要有更广阔的视野,制定一个基本并购协议,包括当前风险、潜在风险的所有方面,以及收购后的评估。最后应提交一份报告,其中包括最新的风险态势和相关剩余风险,以及对风险偏好的评估。
他表示,换句话说,收购方就是要放眼全局,并系统地完成整个过程。Svidesskis说,“企业需要评估安全形势、态势和政策,需要保护收购方和被收购方的利益,收购方需要让对方了解其标准和政策是什么,还需要让他们做出回报,这样就不会是恶意收购。在这一基础上,需要采用介于两者之间的最终结果,而且最重要的是,需要在整个过程中持续监控和审计。此外,还需要遵循几个关键步骤,而且在这些步骤中面临的问题都应该得到解决,以降低风险。”
RacentYY
Anna艳娜
虹科网络安全
安全侠
X0_0X
X0_0X
FreeBuf
RacentYY
ManageEngine卓豪
Coremail邮件安全
Anna艳娜
