Artykuł
Cyber Due Diligence
Nabywając przedsiębiorstwo inwestorzy muszą zawsze pamiętać o konieczności ochrony jego wartości. Tradycyjnie zapewnia się to przez zmotywowanie kluczowych pracowników do pozostania w przejmowanej spółce lub poprzez ochronę istniejącego portfela klientów, którzy przy okazji transakcji mogą być uwodzeni przez konkurencję ze zdwojoną siłą. Natomiast w świecie, w którym skala i złożoność działań cyberprzestępców ciągle rośną nie można zapomnieć o konieczności ochrony kluczowych danych i systemów przejmowanej spółki przed cyberprzestępcami. Bo w czym pomoże dodatkowy program retencyjny dla pracowników, jeśli dane na komputerach zostaną zaszyfrowane? W czym pomoże dodatkowa promocja dla klientów, których poufne dane zostały ujawnione przez cyberprzestępców?
Aby poradzić sobie z ryzykami związanymi z atakami hackerskimi i innymi cyber-zagrożeniami inwestorzy prowadząc transakcję coraz częściej zwracają uwagę na aspekt zabezpieczenia się organizacji przed takimi atakami. Dzieje się to w ramach zorganizowanych procesów due diligence, gdzie poza zwyczajowo przyjętymi strumieniami finansowym, prawnym, podatkowym czy technologicznym uruchamiany jest strumień cyber due diligence.
W ramach Cyber Due Diligence inwestorzy pochylają się między innymi nad takimi zagadnieniami jak:
• zorganizowanie obszaru cyberbezpieczeństwa w spółce – w celu oceny jak szybko spółka jest w stanie wykryć atak i na niego zareagować;.
• ochrona platformy technologicznej – aby ocenić jak łatwo lub trudno cyberprzestępcom będzie zaatakować systemy spółki – niezależnie czy będą one systemami we własnej serwerowni czy będą uruchomione w chmurze obliczeniowej,
• zasady governance – aby upewnić się, że temat cyberbezpieczeństwa jest brany pod uwagę przy planowaniu kolejnych działań i przedsięwzięć;
• zarządzanie bezpieczeństwem dostawców – aby zweryfikować czy dostawcy spółki dają należyte gwarancje, że wszystkie dane będą przetwarzane bezpiecznie a dane osobowe przez nich przetwarzane nie zostaną wykradzione.
Profesjonalnie przeprowadzona analiza cyber due diligence będzie też pokazywać jak obszar cyberbezpieczeństwa zmieniał się w przejmowanej spółce w ostatnim czasie. Czy cyber-bezpieczeństwo pozostawało od dawna na wysokim poziomie, czy jedynie kilka miesięcy przed transakcją doinwestowano ten obszar, żeby nie wyglądał źle w oczach inwestora? W tym drugim przypadku inwestor powinien podjąć dodatkowy wysiłek aby zidentyfikować potencjalne incydenty, które miały miejsce w przeszłości – aby nie okazało się, że taki problem - przy okazji zainteresowania mediów transakcją - zostanie w niebawem publicznie ujawniony. Mogło by to wpłynąć na wiarygodność przejmowanej spółki w najmniej odpowiednim momencie co mogło by się odbić na jej wartości lub mogłoby skutkować karami nałożonymi przez regulatorów.
Po przeprowadzonym due diligence inwestor jest w stanie pragmatycznie spojrzeć na obszar cyber-bezpieczeństwa, co pozwoli mu z jednej strony poprowadzenie negocjacji ze sprzedającym, wymusić na nim odpowiednią reakcję na zidentyfikowane ryzyka i problemy jeszcze przed transakcją. Z drugiej strony ewentualny inwestor nabywając spółkę będzie miał gotowy plan działania dotyczący ochrony danych i systemów w celu ochrony wartości inwestycji.