Минимизация кибер-рисков при поглощении и слиянии компаний
В условиях нестабильной экономической обстановки компании ищут новые способы смягчить колебания в бизнесе. Один из таких способов — это стремление к слияниям или поглощениям (Merger or Acquisition - M&A), которые могут разнообразить ассортимент продуктов и снизить уровень конкуренции. M&A также может помочь приобретающей компании привлечь больше технических специалистов и ускорить цифровую трансформацию.
Общие риски в сфере IT при M&A и пути их минимизации
В ситуации слияния и поглощения решения каждой организации в области кибербезопасности и основные IT-системы оказывают влияние друг на друга. Злоумышленники могут нацелиться на данные компании, которая приобретается или отчуждается, чтобы проникнуть в более крупную приобретающую компанию.
Например, достаточно эффективной является такая практика: злоумышленники запускают программы-вымогатели, чтобы специально выявить конфиденциальную информацию, которая могла бы помешать сделке, а затем используют эту информацию в качестве средства давления для вымогательства денег.
В одном случае, связанном с приобретением за $130 миллионов компании Graduation Alliance Inc., злоумышленники скомпрометировали электронные адреса юридической фирмы, участвовавшей в M&A, чтобы перенаправить и украсть платежи, предназначенные акционерам.
Даже завершенные, осуществленные ранее IT-интеграции могут таить в себе долгосрочные риски, такие как:
- Спящие уязвимости. Если положения по безопасности не идентичны на момент интеграции, одно из них может негативно сказаться на другом. Например, атакующие уже скомпрометировали систему бронирования гостиницы Starwood до того, как Marriott приобрел сеть отелей Starwood. Вторжение оставалось незамеченным в течение двух лет, оставив почти 500 миллионов записей клиентов под угрозой.
- Теневые IT. Сотрудникам или отделам может потребоваться время, чтобы привыкнуть к новым, интегрированным процессам и инструментам. Во время этого перехода некоторые сотрудники или отделы могут использовать несанкционированные приложения или не соблюдать новые IT-политики.
- Регуляторные последствия. Если хотя бы одна из компаний находится в другом регионе или отрасли с более строгими правилами по защите данных, необходимо принять дополнительные меры предосторожности для обеспечения соблюдения требований по обмену данными. Как, например, в Китае есть Закон о защите персональной информации (PIPL), который устанавливает определенные требования к уведомлению и согласию на передачу персональных данных в сценариях M&A; невыполнение требований может повлечь за собой штрафы, начиная с 1 миллиона юаней (примерно $149,000).
Итоговая статистика ранее проведенных исследований указывает, что от 70 до 90 процентов сделок, связанных с поглощением и слиянием компаний, в разной степени завершаются неудачно в плане сохранности чувствительной информации. Однако компании, которые адекватно подготовлены к новым киберугрозам и успешно осуществляют интеграцию информационных технологий во время проведения сделки, могут минимизировать финансовые и репутационные потери.
Сокращение рисков информационных технологий при M&A
В традиционном процессе слияния информационных технологий организации стремятся обеспечить доступ пользователей к каждому ресурсу в двух объединяющихся компаниях. Это основано на модели безопасности сети "замок и ров", где никто извне сети не может получить доступ к данным внутри, но все внутри сети могут.
Например, они могут использовать брандмауэры для маршрутизации трафика между двумя сетями или объединить их в промежуточной точке соединения (например, через мультипротокольное коммутационное оборудование — MPLS — для подключения к центрам обработки данных). Или можно добавить новые виртуальные частные сети для безопасного предоставления доступа новым пользователям. В прошлом этого было достаточно, поскольку бизнес-приложения были размещены внутри предприятия в центрах обработки данных, а сотрудники в основном работали в офисе.
Однако в современных рабочих средах сотрудники из приобретающей "Компании A" и приобретаемой "Компании B" нуждаются в возможности безопасного подключения к разнообразным облачным приложениям и сетям — с любого устройства и из любой точки мира. И если один из этих пользователей или устройств подвергнется компрометации, атакующий сможет преодолеть этот "ров". Другими словами, в ситуации, когда сливаются гибридные рабочие среды во время M&A, традиционный периметр-ориентированный подход оказывается недостаточным.
Современными лидерами в области IT и безопасности предоставляется возможность пересмотреть стратегию интеграции информационных технологий в рамках слияний и поглощений. Современный подход, основанный на модели безопасности Zero Trust, обеспечивает проверку и авторизацию всего трафика как внутри, так и вне предприятия.
Личный ВПН-сервер: еще один вариант минимизации рисков при M&A
Личный ВПН-сервер также помогает уменьшить кибер-риски при слиянии и поглощении компаний, предоставляя безопасное и зашифрованное соединение для удаленного доступа к ресурсам и данным. Путем подключения личного ВПН-сервера можно создать отдельную виртуальную частную сеть для сотрудников, задействованных в процессе слияния и поглощения. Это обеспечит дополнительный уровень изоляции и защиты для сетевых активов. Купить личный ВПН-сервер выгодно и с минимальными затратами времени можно на VPN.how.