Почему вопросам безопасности перед слиянием или поглощением (Mergers and Acquisitions, M&A) уделяется так много внимания? Эксперты привели сразу несколько примеров кошмарных сценариев, когда компания с хорошим уровнем кибербезопасности приобретала организацию, у которой уже имелись серьезные бреши. Был случай проникновения к покупателю вредоносного кода из приобретаемой компании. Об этом никто не знал почти год, выяснилось же все только при подсчете нанесенного ущерба. Исходный код был украден, продукт скомпрометирован, репутация пострадала.
Еще один пример: Samsung за 250 млн долл. купила компанию LoopPay, средства которой должны были стать ключевым компонентом мобильной платежной системы. На протяжении долгого времени в ПО LoopPay присутствовала брешь, и обнаружена она была всего за месяц до совершения сделки.
Как приобретающей (или приобретаемой) компании избежать подобных проблем? Вот на что следует обратить внимание до, во время и после приобретения. Советы полезны и при реорганизации и трансформации компаний, в том числе и географически распределенных, а также при их консолидации.
Раннее планирование
Перед слиянием специалисты по безопасности компаний должны познакомиться друг с другом и обсудить сопряженные со сделкой риски. Необходимо разработать общий план как можно быстрее. Есть много областей, которые требуют изучения, а время весьма ограниченно.
Публичная информация может сыграть вам на руку
В начале процесса слияния вы не будете обладать внутренней информацией о другой компании, но на первых порах это и не так важно. Общедоступные записи, поиск в Интернете, изучение баз данных, содержащих сведения об угрозах, и изучение социальных медиа – все это окажется полезным для выявления уязвимостей и поиска свидетельств о проблемах с безопасностью в приобретаемой компании.
Целью хакеров может оказаться сама информация о слиянии
Деликатная природа информации о слиянии подразумевает, что добыча таких сведений уже сама по себе может стать целью взлома, поэтому для обеспечения безопасности соответствующих данных нужно разработать специальный план. Вы должны знать, где находятся документы о слиянии, кто имеет к ним доступ, кто обращается к документам и является ли получаемый доступ легитимным.
Предоставление доступа к системам и конфиденциальным данным требует повышенной осторожности. До момента закрытия сделки необходимо контролировать обмен информацией и обеспечивать защищенность конфиденциальных документов и систем.
Задавайте конкретные вопросы
Запрашивайте конкретную информацию, позволяющую получить представление о том, как вел себя потенциальный партнер по слиянию в прошлом:
• Как проводится обучение сотрудников и партнеров по вопросам политик безопасности и снижения рисков при работе с электронной почтой? Какие меры принимаются для снижения рисков?
• Участвуют ли руководители высшего звена в мероприятиях, призванных обеспечить безопасность данных? Вовлечены ли они в разработку процедур повышения безопасности данных?
• Происходили ли случаи кражи конфиденциальных данных? Если да, то что было сделано для исключения подобных повторений?
Все полученные сведения помогут понять, какого рода конфиденциальная информация хранится в другой компании, как организована ее защита и какие коррективы необходимо внести в меры безопасности.
Добейтесь максимальной прозрачности
Цель всех вышеперечисленных вопросов – получить полное представление о состоянии обеих сетей перед слиянием. Когда сети связываются друг с другом, вредоносные программы, находящиеся в одной сети, начинают проникать в другую. Зная поведение каждой из сетей, можно выработать представление о том, как должна выглядеть объединенная сеть.
Больше компаний – больше проблем
Процесс слияния затрагивает банкиров, юристов, поставщиков, подрядчиков и прочих участников по обе стороны сделки, поэтому слияние двух корпоративных единиц выливается в слияние двух корпоративных экосистем. И вы получите не только людей, активы, культуру и клиентов, но и унаследованные бреши.
Трудности приобретаемой компании
Часто приобретаемая компания находится в затруднительном положении и у нее нет возможности проводить инвестиции в критически важные для себя области. Из-за чего нередко выявляются порочные практики, устаревшие и незащищенные активы, отсутствие контроля за состоянием активов с точки зрения безопасности.
Документируйте все тщательно и заблаговременно
Отсутствие документации в компании может породить настоящий хаос. Масса неожиданных проблем возникла из-за слабо документированной сети у одной из сторон. Не были стандартизованы технологические процессы, не выдавались даже разрешения на доступ к ресурсам. Когда пришло время объединяться, также выяснилось, что системы не работают так, как было запланировано.
Автоматизируйте свои процессы
Нужно понимать, кто и к каким данным имеет доступ в присоединяемой компании. Вы должны создавать роли, политики и процедуры, после введения в действие которых отпала бы потребность постоянно вносить изменения в права доступа.
Унифицированный набор политик безопасности может быть дополнен инструментами автоматизации. Слияния всегда предполагают наличие множества поставщиков и унаследованных политик. Встроенные инструменты управления, как правило, не позволяют составить полное представление о происходящем, и вам понадобятся лучшие решения от независимых поставщиков управляющих платформ.
Кто за что отвечает
Инвентаризация активов, показывающая, кто к чему имеет доступ, имеет особое значение, и именно ее чаще всего не делают. Вам придется иметь дело с администраторами, которые неохотно пускают кого-либо в свою вотчину, не склонны ослаблять ограничения и предпочитают не рассказывать о существующих системах. Но для создания единой инфраструктуры в любом случае придется проводить всеобщую инвентаризацию и определять права доступа.
Следите за людьми, которые пытаются делать все по-старому
За сохранение прежних порядков будут бороться и обычные пользователи. Эти люди будут пытаться делать все так, как привыкли, игнорируя новые правила. Речь может идти, например, о несанкционированном использовании какой-нибудь системы совместного доступа к файлам.
Держите системы под замком, даже если планируете от них отказаться
План слияния должен предусматривать консолидацию имеющихся систем и вывод части из них из эксплуатации. Но процесс может затянуться, и все это время необходимо заботиться о безопасности всех систем.
Временные меры могут оказаться необходимыми
В переходный период, в течение которого обе сети объединяемых компаний будут работать параллельно, нужно принять меры, чтобы сотрудники не испытывали особых неудобств.
Временный доступ к ресурсам имеет смысл предоставлять таким образом, чтобы не открывать обе сети в полном объеме, а ограничиться лишь полномочиями, необходимыми для работы.
Не забывайте о человеческом факторе
Многие интеграционные инициативы проваливались из-за культурных, а не из-за технических различий. Подумайте о «курсе разрушения старой культуры» для сотрудников приобретаемой компании – обобщите основные принципы, присущие вашей компании, и поделитесь этим опытом.
В период слияния многие сотрудники опасаются, что их навыки окажутся устаревшими и ненужными, что организацию ждет сокращение кадров. Простой способ выявить подобные угрозы – мониторинг привилегированных учетных записей.
Следите за утечкой мозгов
Для безопасного функционирования объединенной сети важна преемственность, поэтому необходимо принять меры для предотвращения массового бегства. Чтобы избежать утечки мозгов, нужно использовать все имеющиеся средства и как можно безболезненней интегрировать людей в объединенную компанию. Слияние, выводящее на ведущие роли сотрудников приобретающей компании, скорее всего, закончится тем, что персонал приобретаемой компании начнет уходить. В итоге преемственность, столь необходимую для безопасной деятельности нового предприятия, обеспечить не удастся.
– Josh Fruhlinger. How to keep IT security at the forefront during a merger. CSO. Sep 19, 2016