并購重組一直是現(xiàn)代企業(yè)提質(zhì)增效、激發(fā)競爭活力的重要抓手。而在全球經(jīng)濟(jì)增長放緩,產(chǎn)業(yè)鏈供應(yīng)不確定性加大的宏觀經(jīng)濟(jì)形勢下,企業(yè)并購交易也在向精細(xì)化、戰(zhàn)略化方向轉(zhuǎn)型,企業(yè)并購不再單純追求生產(chǎn)規(guī)模的擴(kuò)大,而是更注重標(biāo)的企業(yè)的質(zhì)量,以及與自身業(yè)務(wù)的有效融合性,希望通過并購真正達(dá)到強(qiáng)化核心競爭力的目標(biāo)。
在并購重組活動(dòng)中,并購雙方需要交換大量的敏感數(shù)據(jù)和信息,包括財(cái)務(wù)記錄、客戶信息和知識產(chǎn)權(quán)。此外,不同類型的數(shù)字化業(yè)務(wù)系統(tǒng)也需要加以集成,這往往會(huì)給網(wǎng)絡(luò)犯罪分子留下趁虛而入的機(jī)會(huì)。
在此背景下,做好網(wǎng)絡(luò)安全防護(hù)工作對于確保企業(yè)機(jī)密數(shù)據(jù)的完整性至關(guān)重要,如果對網(wǎng)絡(luò)風(fēng)險(xiǎn)缺少有效的預(yù)防和緩解措施,組織可能會(huì)失去合作伙伴和投資者的信任,從而危及并購交易順利進(jìn)行。
并購中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
據(jù)一項(xiàng)最新的調(diào)查數(shù)據(jù)顯示,有71%的受訪企業(yè)表示,會(huì)在并購活動(dòng)中將網(wǎng)絡(luò)安全性作為對標(biāo)的企業(yè)的考量因素。因?yàn)樗械耐顿Y活動(dòng)都會(huì)包含風(fēng)險(xiǎn),對于并購交易的發(fā)起者,在表現(xiàn)出真正的并購意愿之前,必須積極主動(dòng)地檢查標(biāo)的企業(yè)的網(wǎng)絡(luò)安全立場。這種方法能夠最大限度地了解與并購交易決策有關(guān)的網(wǎng)絡(luò)風(fēng)險(xiǎn)情況,通過研究所有的網(wǎng)絡(luò)安全變量,才能夠確定它們是否在自己的風(fēng)險(xiǎn)承受能力范圍內(nèi)。
為了在一個(gè)日益數(shù)字化、網(wǎng)絡(luò)化、網(wǎng)絡(luò)攻擊嚴(yán)重的世界中,保護(hù)自己的業(yè)務(wù)和商譽(yù)安全,企業(yè)必須從并購活動(dòng)的開始就重點(diǎn)關(guān)注,而不是在并購活動(dòng)完成之后才考慮。影響并購交易成敗的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要包括以下方面:
1.監(jiān)管合規(guī)風(fēng)險(xiǎn)
當(dāng)前,網(wǎng)絡(luò)安全監(jiān)管要求趨嚴(yán),調(diào)查標(biāo)的企業(yè)應(yīng)對安全風(fēng)險(xiǎn)的能力和自身合規(guī)性已成為并購過程中不可或缺的一環(huán)。如果在并購?fù)瓿珊蟛虐l(fā)現(xiàn)被投企業(yè)存在網(wǎng)絡(luò)違規(guī)行為或信息泄露,將可能遭受政府的處罰,并造成品牌的損害、信任的喪失,將直接影響并購的價(jià)值,甚至?xí)绊懫髽I(yè)未來上市、出海或后續(xù)的投資活動(dòng)。
2.網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)
越來越多社會(huì)工程和網(wǎng)絡(luò)釣魚攻擊的出現(xiàn),是由于組織的網(wǎng)絡(luò)安全管理意識不強(qiáng),內(nèi)部人員可能遭受攻擊,導(dǎo)致公司資產(chǎn)非法訪問并引發(fā)知識產(chǎn)權(quán)流失和商業(yè)機(jī)密泄露等。對于并購標(biāo)的公司,如果存在嚴(yán)重的網(wǎng)絡(luò)安全漏洞,除了直接的經(jīng)濟(jì)損失之外,還會(huì)增加企業(yè)的網(wǎng)絡(luò)攻擊面,為后續(xù)的業(yè)務(wù)開展帶來隱患。
3.隱私保護(hù)風(fēng)險(xiǎn)
目標(biāo)企業(yè)無論有意或無意在業(yè)務(wù)運(yùn)營中收集了個(gè)人信息,均應(yīng)提高重視。如未對收集的外部用戶信息進(jìn)行有效保護(hù),可能導(dǎo)致泄露事件,違規(guī)收集以及未能有效保護(hù)導(dǎo)致泄露,公司將面臨行政處罰、負(fù)面輿情、商譽(yù)損失、法律訴訟等一系列嚴(yán)重問題。
并購交易網(wǎng)絡(luò)安全核查清單
為了更好地保護(hù)數(shù)字資產(chǎn)安全,保障并購活動(dòng)的順利開展,企業(yè)可以在并購交易開展前,參照以下網(wǎng)絡(luò)安全核查清單,進(jìn)行相應(yīng)的評估準(zhǔn)備:
• 盡早開展網(wǎng)絡(luò)安全摸底調(diào)查。并購雙方必須充分合作,以評估標(biāo)的公司當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢,包括內(nèi)部IT基礎(chǔ)設(shè)施安全性、歷史安全事件,以識別任何可能存在的風(fēng)險(xiǎn)和安全漏洞。在理想的情況下,并購雙方還需要聘請第三方審計(jì)人員和網(wǎng)絡(luò)安全專家,對并購交易中的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)行評估。
• 采用風(fēng)險(xiǎn)度量指標(biāo)。在制定風(fēng)險(xiǎn)評估計(jì)劃之前,并購雙方應(yīng)該就可接受的風(fēng)險(xiǎn)水平以及如何度量風(fēng)險(xiǎn)進(jìn)行討論并達(dá)成一致。標(biāo)準(zhǔn)化的風(fēng)險(xiǎn)度量指標(biāo)可以確保風(fēng)險(xiǎn)保持在雙方約定的水平內(nèi),便于并購?fù)瓿珊蟾骷夘I(lǐng)導(dǎo)的溝通和協(xié)作。
• 建立聯(lián)合網(wǎng)絡(luò)安全團(tuán)隊(duì)。應(yīng)該建立一個(gè)聯(lián)合的網(wǎng)絡(luò)安全團(tuán)隊(duì),匯集并購雙方的安全運(yùn)營專家,共同解決和管理潛在的網(wǎng)絡(luò)風(fēng)險(xiǎn)。這將確保當(dāng)前的安全實(shí)踐能夠在并購后的新組織中保持一致性。
• 制定風(fēng)險(xiǎn)緩解策略。基于早期評估結(jié)果,聯(lián)合網(wǎng)絡(luò)安全團(tuán)隊(duì)就可以確定在雙方合并之前必須實(shí)施哪些安全程序、流程和技術(shù),以改善目標(biāo)公司的網(wǎng)絡(luò)安全態(tài)勢。該計(jì)劃還應(yīng)清楚地概述雙方未來在管理網(wǎng)絡(luò)安全方面的角色和責(zé)任。
• 為IT系統(tǒng)集成做好計(jì)劃。在并購?fù)瓿珊蟮腎T系統(tǒng)和網(wǎng)絡(luò)整合時(shí),實(shí)施有效的安全管控措施必不可少。這包括審查和改進(jìn)當(dāng)前的安全體系結(jié)構(gòu)、實(shí)施安全策略以及測試可能的安全漏洞。集成過程中可能需要采用一些新的工具和技術(shù)來保護(hù)數(shù)據(jù)安全性。
• 檢查第三方風(fēng)險(xiǎn)。如果有第三方外部供應(yīng)商也參與了并購過程,那么應(yīng)該要求其詳述如何管理和監(jiān)控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的流程。這項(xiàng)評估必須確保供應(yīng)商的做法符合并購后公司的統(tǒng)一網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。
• 建立統(tǒng)一的身份及訪問管控機(jī)制。并購活動(dòng)需要實(shí)施強(qiáng)有力的控制措施,確保只有經(jīng)過授權(quán)的人員才能訪問敏感信息、數(shù)字資產(chǎn)、數(shù)據(jù)或系統(tǒng),并根據(jù)角色和職責(zé),賦予不同的訪問級別。這將有助于防止或盡量減少黑客攻擊、內(nèi)部數(shù)據(jù)泄露和人為性錯(cuò)誤。
• 制定事件應(yīng)急響應(yīng)計(jì)劃。并購重組的過程會(huì)充滿挑戰(zhàn),一旦發(fā)生數(shù)據(jù)泄露,組織要有一項(xiàng)準(zhǔn)備充分的計(jì)劃,才能夠盡量減小對業(yè)務(wù)造成的破壞。備份關(guān)鍵數(shù)據(jù)庫并將其存儲在安全的地方,以確保數(shù)據(jù)在面臨攻擊時(shí)也可以被訪問,這至關(guān)重要。事件響應(yīng)計(jì)劃應(yīng)該通知到每一個(gè)利益相關(guān)的員工,這樣在遭遇網(wǎng)絡(luò)攻擊期間,每個(gè)人都會(huì)知道應(yīng)該怎么做。
• 確保持續(xù)安全監(jiān)控。網(wǎng)絡(luò)安全的挑戰(zhàn)并不會(huì)隨著并購交易的結(jié)束而結(jié)束,并購后對并購雙方來說可能會(huì)遭受攻擊,所以有必要保持警惕。這就是為什么組織需要全天候監(jiān)控系統(tǒng)和網(wǎng)絡(luò)的機(jī)制,同時(shí)還需要實(shí)時(shí)威脅檢測機(jī)制,以識別安全漏洞和潛在威脅。
• 加強(qiáng)員工安全意識培養(yǎng)。要確保參與并購公司的所有員工都接受全面的網(wǎng)絡(luò)安全最佳實(shí)踐培訓(xùn),這一點(diǎn)至關(guān)重要:每個(gè)人都可以通過留意威脅并及時(shí)報(bào)告來幫助加強(qiáng)安全。企業(yè)可以通過進(jìn)行網(wǎng)絡(luò)安全演習(xí),讓員工做好應(yīng)對網(wǎng)絡(luò)攻擊的準(zhǔn)備。
參考鏈接:https://www.darkreading.com/cyber-risk/cybersecurity-checklist-that-could-save-your-m-and-a-deal
