Уменьшите риск с помощью более тщательной проверки кибербезопасности



Поскольку регулирующие органы продолжают предлагать новые правила и публично заявляют о расширении правоприменения, риски, связанные со слияниями и поглощениями, растут. Отсутствие должной осмотрительности часто приводит к внедрению не только нового актива, но и унаследованных рисков безопасности и продолжающихся инцидентов безопасности. Это не только приводит к более медленной интеграции активов, но также увеличивает затраты, связанные со слияниями и поглощениями, и может снизить ожидаемую прибыль. Кроме того, это, вероятно, станет новым средством для обеспечения соблюдения нормативных требований, поскольку политические и технические меры по смягчению последствий становятся все большей частью компетенции регулирующих органов.

Как и в случае обычной комплексной проверки, не все активы заслуживают одинакового уровня проверки. Есть несколько соображений, которые учитываются при оценке требований комплексной проверки кибербезопасности и компромиссов, которые они налагают на сделки, как с точки зрения времени выполнения, так и с точки зрения разногласий с целевой компанией или активом.

Наименее навязчивый и простой тип проверки — оценка внешнего риска. Этот вид оценки создает основу знаний о публичном воздействии на целевую компанию. Глядя на такие данные, как открытые порты, сертификаты шифрования и неправильно настроенные облачные ресурсы, внешнее сканирование ресурсов компании может дать ценное и ненавязчивое понимание того, как компания работает в настоящее время.

Однако этот метод подвержен высокому уровню ошибок при оценке состояния безопасности компании, поскольку большая часть данных, которые могут быть собраны с помощью этих методов, могут иметь технические ограничения, которые нелегко обнаружить с помощью этих методов сканирования. Кроме того, наборы данных, используемые для этого типа анализа, часто имеют недостатки, поскольку IP-адреса и технические активы часто не обновляются при смене владельцев, в результате чего оценки рассчитываются для активов других компаний.

Более глубокое изучение рисков
Следующий уровень осмотрительности основывается на возможностях сканирования и проведении исследований компании, ее ключевых лиц и существующих данных об утечке или таргетинге. Эта деятельность, проводимая без какого-либо прямого взаимодействия с целевой компанией или активом, направлена ​​​​на поиск данных, которые позволили бы использовать их сети, или существующих доказательств продолжающегося нацеливания и эксплуатации. Этот уровень проверки не только раскрывает информацию, которая может быть использована хакерами для получения несанкционированного доступа к системам компании, но также дает представление о культуре безопасности компании. Как часто инженеры публикуют конфиденциальную информацию в технических формах, когда обращаются за помощью? Каким объемом информации делятся сотрудники, помогая другим на подобных форумах? Сколько закрытых документов было случайно загружено на VirusTotal или другие сайты?

Все это говорит о культуре безопасности и позволяет оценить, какие проблемы могут существовать внутри компании. Понимание этой культуры и слабых мест, которые уже общедоступны, позволяет задавать более обоснованные вопросы во время оставшейся части проверки, а также может быть использовано для обеспечения внутренней проверки безопасности.

Самая навязчивая проверка — это аудит существующих средств контроля, политик и обнаружений. Это обеспечит наивысший уровень уверенности, но также может вызвать наибольшие разногласия, поскольку требует доступа третьих лиц к конфиденциальной технической информации. Тем не менее, это лучший способ получить уверенность в отношении уровня риска, который компания принимает на себя во время приобретения. Насколько безопасна компания в настоящее время и есть ли какие-либо признаки продолжающейся компрометации, можно сделать только с внутренними данными.

Зачем повышать кибербезопасность при слияниях и поглощениях?
Выводы, связанные с этим анализом, могут существенно повлиять на размер сделки, ожидаемую прибыль и планы интеграции. Выявление проблем до объединения ИТ-активов обеспечит долгосрочную экономию после заключения сделки, но может помешать достижению краткосрочных целей. Твердое понимание того, с чем столкнется покупатель, позволяет лучше прогнозировать прибыль и лучше оценивать сделку в целом.

Кроме того, поскольку регулирующие органы продолжают уделять внимание кибербезопасности, вероятность более строгого контроля и возможных штрафов только возрастает. Риск получения компромисса или сохранения культуры игнорирования вопросов безопасности и конфиденциальности в процессе слияний и поглощений с большей вероятностью приведет к действиям регулирующих органов, что сделает новый актив потенциальным обязательством до того, как можно будет получить ожидаемую прибыль.

По мере того, как отрасли продолжают движение к цифровой трансформации, безопасность и культура вокруг этих ключевых бизнес-активов могут либо подорвать, либо повысить их ценность. Кибер осмотрительность быстро становится необходимым. Построение устойчивой и объективной основы на основе уровня осмотрительности станет более ценным, поскольку частный сектор станет более регулируемым и зависимым от технологий.

https://cyberxhack.org/