Bir satın alma işlemine milyarlarca dolar harcamaya hazırlandığınızı, ancak satın alma işleminin hedefinin milyarlarca hesabı etkileyen çok sayıda siber saldırının kurbanı olduğunu öğrenmek için hazırlandığınızı hayal edin. Böyle bir senaryonun, satın almanın boyutu ne olursa olsun hiçbir şirket yönetim kurulunun veya baş hukuk müşavirinin asla unutmayacağı büyük bir kırmızı bayrak olacağı düşünülebilir, ancak bu açık çağrı evrensel olarak duyulmuş gibi görünmüyor.
2017’de Yahoo’nun Verizon’a satılmasıyla ortaya çıkan büyük ihlalinin açığa çıkması sırasında olan da buydu ve bu, arama motoru şirketine satın alma fiyatına 400 milyon dolarlık bir darbeye mal oldu. Bununla birlikte, görünüşe göre, siber güvenlik ve ilgili teknolojik bileşenler, gerekli durum tespiti kontrol listesinde hala nispeten düşük.
Uzmanlar, bir satın alma hedefinin siber güvenlik risk profilini değerlendirmeye başlamak için doğru zamanın, durum tespiti sürecinin ilk zamanları olduğu konusunda hemfikir. Çoğu zaman durum tespiti bilançolar, satış operasyonları ve olağanüstü yasal yükümlülüklerle sınırlıdır ve güvenlik araçlarının siber güvenlik, uyumluluk ve teknik uyumluluğu, tartışılmaları halinde tartışmanın sonuna bırakılır.
Ernst & Young’da müdür ve siber durum tespiti lideri olan John Hauser, “İmza öncesi durum tespiti işleminin değeri, şirketlerin noktalı çizgide imzalamadan önce tüm ilgili riskleri değerlendirdiğinden emin olmaktır” diyor. FBI özel ajanı ve eski bir Birleşik Devletler Savcısı yardımcısı. “Siber, bir müşterinin bir birleşme veya devralmadan uzaklaşmaya karar verip vermeyeceğine karar vermede önemli bir faktör olabilir”.
Erken siber durum tespiti, potansiyel bir talibin “satın alma fiyatı indirimleri veya tazminatlar veya diğer sözleşme hükümleri aracılığıyla daha iyi şartlar üzerinde pazarlık yapmasına” olanak tanır, diye ekliyor.
Şirketler, geleneksel iş durum tespiti ile bağlantılı olarak, olası hedefin risk profilini değerlendirmek için tehdit istihbaratı uzmanlarına yöneliyor ve şirketin Dark Web’de satışa sunulan verilerle ihlal edilmiş olabileceğine veya belki de diğer dahili denetimlerde zayıf kontrollere sahip olabileceğine dair kanıt arıyor. operasyonlar. Açık kaynak istihbaratını (OSINT) kullanarak, müfettişlerin genellikle sızdırılmış kimlik bilgilerinin göstergeleri, hedef şirket altyapısı ile bilinen herhangi bir kötü amaçlı yazılım aileleri ve komuta ve kontrol sunucuları arasındaki iletişimler veya diğer içgörüler gibi bir ihlalin kanıtlarını bulabileceğini söyledi.
Diğer önemli istihbaratlar, hedef şirketten bir siber sigorta sağlayıcısına yapılan tasdikler, kaynak kodu, sızma testi sonuçları ve geçmiş uyumluluk raporları gibi verileri sağlaması istenerek toplanabilir.
Hauser, “İmza öncesi aşamaya geçerek daha fazla teknik doğrulama görmeye başlıyorsunuz” diyor.
Güvenlik Açıklarını Değerlendirme
Atlanta merkezli şirketin kurucusu ve yönetici ortağı Heather Clauson Haughian, siber suçluların, daha güçlü bir şirket tarafından satın alınan potansiyel olarak zayıf bir hedef, özellikle de siber suçlular için pek çok değerli bilgiye sahip olabilecek bir hedef arayarak, genellikle birleşme ve satın alma faaliyetlerini izlediğini belirtiyor. hukuk firması Culhane Meadows. Satın alma gerçekleştikten sonra, hedef firmanın zayıf bir halkayı kırma ve böylece birleşen şirketlerin daha kazançlı kısmına erişme umuduyla saldırıya uğraması alışılmadık bir durum olmayacaktır.
Haughian, başka bir güvenlik açığının, farklı uyumluluk gereksinimleri olan kuruluşlar katıldığında ortaya çıktığını söylüyor. Devir alan kuruluş, kendi uyum raporlama gereklilikleri konusunda bilgili olsa da, satın aldığı şirketle aynı uzmanlığa sahip olmayabilir.
Satın alan şirket, satın alınan şirketin operasyonları için uyum uzmanları istihdam etmezse, uyumluluk raporlamasında bir boşluk olabileceğini ve satın alınan şirket üzerinde güvenlik kontrollerini katmanlandırmak için kaçırılan fırsatların, şirketi bir siber saldırıya karşı savunmasız bırakabileceğini söylüyor.
Washington merkezli Coastal Cyber Risk Advisors firması Bellingham’ın siber özen yönetici ortağı Shay Colson, bu tür durumlarda üçüncü taraf bir danışmanlık hizmetinin kullanılmasının tavsiye edildiğini söylüyor. Bir ekleme, ekleme veya ekleme satın alma işlemi yürüten bir şirket, üçüncü taraf danışmanına, programının neye benzediği, güçlü ve zayıf yönleri ve mevcut güvenlik araç setleri dahil olmak üzere hedefin güvenlik durumunu değerlendirmesini sağlayabilir.
“O zaman, hem hedef için nesnel olan hedefler hakkında görüşler alabilir hem de bu entegrasyon zorluğunun üstesinden gelebilirsiniz” diyor.
Sorumluluk Almak
Nihayetinde, baş hukuk danışmanlarının siber risk ve siber güvenlik konusunda olabildiğince hızlı bir şekilde hız kazanması gerekiyor. Colson, “Kuruluşlarında siber riskin sahibi onlar olacak çünkü bir olay olursa, dışarıdan bir danışmanı arıyorlar, adli tıpı koordine ediyorlar ve düzenleyici müdahale yükümlülüklerine bakıyorlar” diyor.
“Bence daha proaktif [general counsels] vardır, [they are] Siber riskin aslında işletmeye değer sağlayabilecekleri ve bazı şeyleri mümkün kılabilecekleri bir yer olduğunu anlayacaklar” diye ekliyor. “Gittikçe daha fazla GC’nin buna katılması an meselesi.”
EY’den Hauser, SEC Başkanı Gary Gensler’in halka açık şirketler ve diğer finansal hizmet kuruluşları için yakın zamanda önerdiği kuralların, yönetim kurullarının siber güvenlik durum tespiti zorluklarını aşmasına yardımcı olabileceğini söyledi.
Artan bir siber suç riski olduğu ve kurulların buna daha fazla dikkat etmesi gerektiği konusunda bir fikir birliği var, dedi. Mahkemeler ve düzenleyiciler, uygun siber durum tespiti yapılmamasının müstakbel bir davacının bir yönetim kurulu üyesini ihmalle suçlamasını kolaylaştıracağını açıkça belirtiyor. Bu, Gensler’in üst düzey yöneticilere ve yönetim kurulu üyelerine daha fazla kişisel sorumluluk yükleyen önerilen kurallarıyla birleştiğinde ve siber güvenlik uzmanlarının yönetim kurulu düzeyindeki kararlarda daha aktif rol alması için mükemmel bir fırtınaya sahip olduğunuzu belirtiyor.