У сучасному бізнес-середовищі злиття та поглинання (M&A) стали невід'ємною частиною корпоративної стратегії розвитку. Значна частина компаній повідомляє про суттєві проблеми з кібербезпекою, виявлені під час або після завершення M&A угод. "Недостатня увага до інформаційної безпеки на етапі due diligence може мати катастрофічні наслідки для об'єднаного бізнесу", - зазначають експерти XRAY CyberSecurity.

Кіберризики та їх вплив на вартість угоди

"Приховані вразливості в інформаційних системах можуть суттєво знизити вартість компанії-цілі або навіть призвести до скасування угоди", - коментує XRAY CyberSecurity, компанія, що багато років займається моделюванням хакерських атак. За даними IBM Security, середня вартість витоку даних у 2023 році склала $4.45 мільйона. Це пояснює, чому виявлення серйозних проблем з кібербезпекою на етапі due diligence може суттєво вплинути на оцінку компанії.

Компанії все частіше включають тест на проникнення (penetration test) до обов'язкового переліку заходів при проведенні технічного due diligence. Переважна більшість керівників вважає кібербезпеку критичним фактором при оцінці потенційних M&A угод.

Комплексний аудит інформаційної безпеки

Ефективна оцінка захищеності повинна охоплювати:

Особливу увагу слід приділяти legacy-системам, які часто містять невиявлені вразливості. "При проведенні пентесту застарілих систем ми регулярно виявляємо критичні вразливості, які могли б скомпрометувати всю інфраструктуру об'єднаної компанії", - зазначають фахівці XRAY CyberSecurity.

Захист конфіденційної інформації під час переговорів

Значна кількість компаній стикається з витоками конфіденційної інформації під час процесу M&A. Для мінімізації цих ризиків необхідно:

Інтеграція систем безпеки та управління ризиками

"Процес об'єднання інфраструктур безпеки двох компаній – це комплексне завдання, яке вимагає ретельного планування та експертизи", - підкреслюють фахівці XRAY CyberSecurity. Більшість компаній недооцінює складність технічної інтеграції при плануванні M&A.

Проведення комплексного тестування на проникнення критичних систем обох організацій допомагає виявити потенційні конфлікти між системами безпеки, оцінити сумісність технологічних стеків, розробити дорожню карту безпечної інтеграції та визначити пріоритетні напрямки інвестицій у кібербезпеку.

Регуляторний комплаєнс та людський фактор

Об'єднана компанія повинна відповідати вимогам регуляторів усіх юрисдикцій, де вона веде діяльність. За даними PwC, невідповідність вимогам регуляторів може призвести до штрафів, що складають до 4% глобального річного обороту компанії.

Згідно з дослідженням Verizon DBIR 2023 74% порушень безпеки пов'язані з людським фактором. Тому критично важливо розробити єдину програму навчання з кібербезпеки для всіх співробітників об'єднаної компанії.

Практичні рекомендації від експертів

За даними XRAY CyberSecurity, для успішного управління кібербезпекою при M&A необхідно:

1. Провести комплексний аудит інформаційної безпеки обох компаній ще до фіналізації угоди
2. Виконати тест на проникнення критичних систем для виявлення прихованих вразливостей
3. Розробити детальний план інтеграції систем безпеки з чіткими часовими рамками
4. Забезпечити постійний моніторинг безпеки протягом усього процесу інтеграції
5. Впровадити програму навчання персоналу з питань кібербезпеки

Успішна M&A угода в сучасному цифровому світі неможлива без комплексного підходу до кібербезпеки. За даними експертів XRAY CyberSecurity, своєчасні інвестиції в оцінку захищеності та pentest на етапі due diligence становлять відносно невелику частку від загальної вартості угоди, але можуть запобігти значним фінансовим втратам та репутаційним ризикам для об'єднаної компанії.

Пентест та аудит інформаційної безпеки повинні стати обов'язковими елементами процесу M&A, особливо для компаній, які оперують значними обсягами конфіденційних даних або мають критичну IT-інфраструктуру.