Однажды частная инвестиционная компания Francisco Partners собиралась закрыть сделку по продаже портфельной компании стоимостью более 1 миллиарда долларов стратегическому инвестору в калифорнийскую фирму, но поступил внезапный телефонный звонок. Эксперты, изучавшие кибербезопасность портфельной компании, обнаружили очень длинный список уязвимостей, в следствие чего инвестор подумывал о выходе из сделки. По словам старшего операционного партнера Francisco Partners Эрана Горева данная ситуация стала шоком для всех в компании. К счастью для них, Francisco Partners в последнюю минуту привлекла команду экспертов по кибербезопасности, чтобы помочь устранить риски в портфельной компании, которую она пыталась продать, и в конечном итоге закрыла сделку.
Данная ситуация является одним из доказательств того, что кибербезопасность больше не относится к длинному списку деталей, которые необходимо проверять в процессе должной осмотрительности, а является ключевым показателем общего состояния и потенциала компании. Признаками, указывающими на изменения в сфере кибербезопасности являются усиленные требований SEC (Комиссия по ценным бумагам и биржам) по раскрытию информации о кибератаках и недавнее заявление рейтингового агентства Moody’s о том, что оно разрабатывает систему для лучшей оценки киберриска компании. Поэтому наличие кибербезопасности играет большую роль в оценке компаний, слияниях и поглощениях.
Также видно, что критические и зачастую напряженные недели и месяцы деловых сделок являются привлекательным временем для хакеров для нанесения удара. Однако многие компании до сих пор не понимают как киберриск связан с этапами бизнеса, а комплексная проверка для оценки таких рисков не установлена.
Вот некоторые действия, которые могут предпринять инвесторы, менеджеры и предприниматели для защиты своих интересов и компаний при приобретении компании, привлечении партнера или выходе на биржу.
Количественная оценка киберриска
Когда компании планируют инвестировать, приобретать или даже выходить на биржу, они оценивают общий бизнес-риск. Это также должно учитывать риски кибербезопасности и определять их в долларах, что повлияет на окончательную оценку.
Это требуется для того, чтобы эксперты по кибербезопасности, работающие рука об руку с командой руководителей, выясняли не только, какие цифровые уязвимости могут существовать, но и к каким активам они на самом деле могут привести хакеров, и что это потенциально может означать для бизнеса и его репутации.
Один из немногих примеров, когда данные находятся в открытом доступе: в 2017 году Verizon (крупнейший оператор сотовой связи в США) сократила свое предложение о покупке Yahoo (американская компания, владеющая одной из поисковых систем и предоставляющая ряд сервисов, объединённых интернет-порталом Yahoo!) на 350 миллионов долларов после того, как выяснилось, что компания пострадала от утечек данных, которые было бы дорого исправить. Совсем недавно в отчете IBM был сделан вывод о том, что утечка данных в Uber привела к 30-процентному снижению цены, которую Softbank заплатил за долю в компании, занимающейся райдшерингом. В то же время, если все сделано правильно, кибербезопасность может повысить потенциальную стоимость компании, поэтому это также следует учитывать.
Загляните за пределы потенциальных нарушений
Тщательный анализ того, как компания обеспечивает свою кибербезопасность может дать представление о ее общей дисциплине и культуре. Например, если специалисты компании проверяют безопасность потенциального партнера и выясняется, что они не исправили уязвимости, обнаруженные несколько месяцев назад, это может быть предупреждением о том, что они не двигаются быстро и эффективно и в других областях.
Когда организация готовится к какому-то важному этапу, она также должна помнить о том, что потенциальные инвесторы будут смотреть не только на то, насколько защищены его данные, но и на то, как выполняются его операции по кибербезопасности,
Не забывайте о своих поставщиках
С ростом числа кибератак на цепочки поставок все потенциальные лазейки к бывшим поставщикам, партнерам и клиентам, которые могут оставаться открытыми для хакеров, должны быть закрыты и защищены. Это еще один шаг, требующий тесного сотрудничества между киберэкспертами организации и бизнес-менеджерами, ведущими комплексную проверку.
Наймите внешних экспертов
Как только компания начинает думать о развитии, продаже или любом другом этапе, она должна начать работать со сторонними профессионалами для проведения аудита своей программы кибербезопасности. Даже если компания недавно провела оценку кибербезопасности, важно провести ее снова, потому что сейчас сложное время для компаний, и угрозы постоянно меняются.
Таким образом, кибербезопасность должна быть полностью интегрирована в оценку компании, независимо от того, что как она развивается.
Автор перевода: Екатерина Касливцева
