Сделки по слиянию и поглощению (M&A) нередко превращаются в кошмар специалистов по информационной безопасности: интеграция ИТ-инфраструктур, уязвимости в системах, утечки конфиденциальных данных и риски внутренних угроз, которые могут обернуться серьезными проблемами. Компании, игнорирующие этот аспект, рискуют не только финансовыми потерями, но и репутацией.
В статье совместно с экспертами разберем, какие киберугрозы может унаследовать компания при M&A-сделке, как сложности интеграции ИТ-систем влияют на безопасность и учитывается ли киберриски при принятии решений.
Слабые места M&A: угрозы, о которых молчат
Сделки по слиянию и поглощению нередко рассматриваются как возможность для роста бизнеса, выхода на новые рынки и усиления позиций. Однако вместе с активами компания может унаследовать и серьезные киберугрозы, которые способны подорвать стабильность работы, привести к утечкам данных и даже нанести ущерб репутации. Какие риски, связанные с ИТ-инфраструктурой, безопасностью данных и человеческим фактором, необходимо учитывать при интеграции?
«При сделке M&A компания может унаследовать устаревшие системы, слабые пароли, незащищенные API, несоответствие стандартам, скомпрометированные системы, недостатки управления доступом и инсайдерские угрозы», — отмечает Дмитрий Павловский, эксперт по кибербезопасности Angara Security.
В процессе слияния риски наследования уязвимостей оказываются выше, чем при поглощении, поскольку интеграция происходит сложнее. «Отсутствие документации и корректной инвентаризации, архитектурные недостатки построения сети, устаревшие технологии. Эти уязвимости при поглощении быстро нивелируются за счет распространения стандартов поглощающей компании (если они у нее, конечно же, есть)», — подчеркивает Федор Музалевский, директор технического департамента RTM Group. Более того, по мнению эксперта, сам процесс объединения систем зачастую сопровождается уязвимостями, так как в 99% случаев домены объединяются без предварительной проверки и тестирования безопасности.
Информационная безопасность играет ключевую роль в M&A, определяя, насколько безопасно пройдет интеграция новой организации:
«Во время сделки одна компания может «унаследовать» множество уязвимостей другой, таких как незакрытые бреши в системах, использование устаревших технологий, незащищенные данные или несоответствие нормативным требованиям».
Павел Карасев, бизнес-партнер «Компьютерные технологии»
Помимо технических аспектов, риски заключаются в несовместимости технологий: «…например, использование Windows 2000 Server рядом с облачными платформами и контейнеризацией. В компаниях часто остаются активными учетные записи бывших сотрудников или слабые пароли вроде «123456». Данные клиентов могут храниться на флешках или в незашифрованном виде в публичных облаках, что создает угрозу утечек», — говорит Тарас Макаренко, руководитель направления «Стратегия и риски» компании «Информзащита». Он подчеркивает, что отсутствие мониторинга инцидентов и плана реагирования может привести к хаосу в случае атаки.
Разнородность ИТ-инфраструктуры также несет значительные угрозы: «У каждой компании есть свои уникальные системы, программное обеспечение, аппаратные компоненты и протоколы безопасности. Разнородность этих систем может привести к появлению слабых мест в защите данных», — отмечает Алексей Колодка, управляющий практикой информационной безопасности RAMAX Group. Кроме того, увольнения сотрудников в процессе сделки могут стать источником инсайдерских угроз: недовольные работники нередко преднамеренно или случайно раскрывают конфиденциальную информацию.
Киберриски могут затронуть не только поглощаемую компанию, но и саму родительскую структуру. «Если эти процессы в поглощаемой компании отсутствуют, то риски, связанные со взломом инфраструктуры Родительской компании возрастают», — указывает Максим Лагутин, основатель Б_152.
«Кроме того, в результате объединения организация может унаследовать недостаточную осведомленность сотрудников о кибергигиене, а также скомпрометированные или неправильно настроенные системы, что требует дополнительных мер по повышению безопасности и снижению потенциальных угроз», — предупреждает Дмитрий Хомутов, директор Ideco.
Однако одной из самых значительных проблем является человеческий фактор. «При сделках M&A эти риски возрастают кратно — нередко такие сделки сопровождаются и сменой команды и далеко не всегда сотрудники благотворно воспринимают грядущие изменения», — говорит Дина Фомичева, руководитель отдела корпоративных клиентов ИТ-интегратора «Телеком биржа». Сотрудники могут раскрыть конфиденциальную информацию, особенно если они чувствуют неуверенность в будущем. Кроме того, в процессе сделки ИТ-аудит зачастую проводится поверхностно, что может привести к непредвиденным проблемам.
Чтобы минимизировать угрозы, важно провести комплексный аудит безопасности, обновить устаревшее оборудование, унифицировать стандарты защиты данных и внедрить строгие политики паролей и двухфакторную аутентификацию. По мнению Олега Босенко, директора департамента кибербезопасности IBS, если не выявить уязвимости на старте, они обязательно проявятся позже.
Сделки M&A постоянно требуют комплексного подхода к кибербезопасности. Без глубокой проверки ИТ-инфраструктуры и проработки всех аспектов защиты данных компании рискуют столкнуться с серьезными проблемами, которые могут свести на нет все выгоды от слияния или поглощения.
Безопасность vs. интеграция
Процессы слияния и поглощения (M&A) ставят перед компаниями сложную задачу — балансировать между эффективной интеграцией и обеспечением кибербезопасности. Разнородные ИТ-системы, несовместимые архитектуры и разные стандарты безопасности создают серьезные риски, требующие тщательной проработки и контроля.
Одной из ключевых проблем становится необходимость унификации ИТ-систем или настройки их взаимодействия. «Разрозненные ИТ-системы являются отягощающим слияние фактором», — отмечает Дмитрий Павловский, эксперт по кибербезопасности Angara Security. Взаимодействие различных технологических решений требует серьезной подготовки и тестирования.
Конфликты в сетевых настройках также могут стать угрозой. «Если у компании А открыт порт 111 на маршрутизаторе, а у компании B – порт 222, то при их объединении необходимо будет тестировать оба порта в сетях обеих организаций. А если обе использовали внутри сети порт 333 для разных целей, то может возникнуть конфликт», — поясняет Федор Музалевский, директор технического департамента RTM Group. Проблема усугубляется тем, что менее 10% компаний ведут детальную спецификацию использования сети, что повышает риски уязвимостей и сбоев.
Еще один важный фактор — несовместимость стандартов безопасности: «Когда объединяются две компании, их системы зачастую несовместимы, а стандарты информационной безопасности различаются. Это приводит к появлению незакрытых зон, где угрозы остаются незамеченными, и создает дополнительные трудности для сотрудников, которые не сразу адаптируются к новым правилам. В результате повышается вероятность сбоев в работе систем и утечек данных», — предупреждает Павел Карасев, бизнес-партнер «Компьютерные технологии».
Риск возрастает и из-за параллельного функционирования различных решений:
«Несовместимые архитектуры, устаревшие решения, различные стандарты и расхождения в политике доступа приводят к ошибкам конфигурации и возрастанию «поверхности атаки». Во время миграции системы могут работать параллельно с неодинаковыми средствами мониторинга, что затрудняет обнаружение и реагирование на инциденты, а такие системы становятся особенно уязвимыми для злоумышленников»
Тарас Макаренко, руководитель направления «Стратегия и риски» компании «Информзащита»
Кроме того, уход ключевых специалистов во время реорганизации оставляет пробелы в безопасности, повышая вероятность кибератак.
Разнообразие используемых систем и протоколов безопасности усложняет централизованное управление и мониторинг. «При интеграции IT-инфраструктур различных компаний увеличивается количество потенциальных точек входа для атак, что повышает риски компрометации данных… Несогласованность механизмов защиты может привести к появлению уязвимостей, а также к задержкам в обнаружении и реагировании на инциденты», — отмечает Дмитрий Хомутов, директор Ideco. В результате объединенная система становится более уязвимой перед киберугрозами.
Степень сложности интеграции определяется и зрелостью ИТ, ИБ-инфраструктуры компаний: «С учетом наличия историзма в процессах развития, возможны любые варианты. Но, в общем, задачу нельзя считать тривиальной», — резюмирует Олег Босенко, директор департамента кибербезопасности IBS.
Эффективное управление рисками в процессе интеграции требует не только проведения комплексного аудита ИТ-инфраструктуры, но и унификации подходов к безопасности, тщательного планирования всех этапов. Важно понимать, что создание единой инфраструктуры — это не только технологический, но и организационный процесс: «Также в период объединения не стоит забывать и о повышенной нагрузке на команды ИБ – недостаток ресурсов, времени или опыта может привести к задержкам в устранении уязвимостей или своевременном реагировании на инциденты ИБ», — добавляет Владимир Арышев, эксперт по комплексным проектам информационной безопасности STEP LOGIC.
Процесс интеграции после сделки M&A требует тщательной проработки, от аудита и унификации сетей до стандартизации подходов к безопасности. Без грамотного планирования и тестирования компании рискуют не только техническими сбоями, но и серьезными киберинцидентами, которые могут негативно повлиять на бизнес в долгосрочной перспективе.
Как кибербезопасность меняет решения о сделке?
При слияниях и поглощениях компании стремятся к получению выгоды, однако пренебрежение кибербезопасностью может обернуться серьезными рисками. Именно поэтому ее оценка играет важную роль в процессе принятия решений.
«Сделки M&A нацелены на получение выгоды, в то время как низкая оценка кибербезопасности является гарантией рисков. Именно поэтому при сделке M&A она может играть ключевую роль для принятия решения», — отмечает Дмитрий Павловский, эксперт по кибербезопасности Angara Security. Несмотря на это, такие аспекты чаще всего учитываются только, если «это актуально только для крупных компаний и зрелых игроков IT-индустрии», — добавляет Федор Музалевский, директор технического департамента RTM Group.
Проверка системы безопасности (cyber due diligence) — важный этап сделки, которому стоит уделить отдельное внимание: «Если во время аудита выявляются критические уязвимости или проблемы, требующие значительных инвестиций на устранение, это может снизить привлекательность сделки или даже привести к ее отмене. Потенциальные риски тщательно анализируются, чтобы избежать долгосрочных проблем, которые могут нанести ущерб бизнесу и репутации», — подчеркивает Павел Карасев, бизнес-партнер «Компьютерные технологии». При этом недостатки в защите данных снижают оценочную стоимость компании, увеличивая затраты на устранение уязвимостей, обновление систем и обучение персонала. «…высокий уровень уязвимостей или недавний киберинцидент могут сделать компанию менее привлекательной для покупки: риск крупных финансовых потерь, штрафов и репутационного урона становится слишком велик, что в ряде случаев способно замедлить или вовсе остановить сделку», — подтверждает Тарас Макаренко, руководитель направления «Стратегия и риски» компании «Информзащита».
Более того, в ряде случаев конкуренты могут намеренно атаковать компанию перед сделкой, чтобы вызвать утечку данных и снизить ее стоимость. «Подобные ситуации искусственно снижают репутацию и стоимость бизнеса, а также ставят его кибербезопасность под сомнение. В результате покупатель получает повод либо отказаться от сделки, либо пересмотреть ее условия в сторону уменьшения цены», — продолжает эксперт.
Несмотря на эти риски, для многих компаний финансовые показатели и перспективы роста остаются главными факторами при сделке. «…ИТ-вопросы и безопасность в этом случае рассматриваются как инфраструктурные, принципиально не влияющие на сделку», — считает Алексей Колодка, управляющий практикой информационной безопасности RAMAX Group. Однако существуют исключения, особенно если речь идет об ИТ-сервисах с явными проблемами в защите персональных данных пользователей.
Хотя кибербезопасность не всегда является решающим фактором при сделке, она, безусловно, играет важную роль. «Не думаю, что это является определяющим, но одним из критичных моментов является точно», — подытоживает Олег Босенко, директор департамента кибербезопасности в IBS. Таким образом, без учета рисков кибербезопасности процесс принятия решения о слиянии или поглощении остается неполным.
Защита при объединении: стратегии безопасности
В процессе объединения компаний основное внимание следует уделить созданию стратегий киберзащиты, которые обеспечат согласованность всех систем безопасности. Применение комплексных решений для интеграции ИТ-инфраструктур помогает минимизировать риски, связанные с несовместимостью стандартов и возможными уязвимостями.
Один из первостепенных шагов — аудит безопасности партнера: «В него входит проверка ИТ-системы на уязвимости, оценка соответствия стандартам безопасности, выявление устаревшего ПО и управления доступом», — поясняет Дмитрий Павловский, эксперт по кибербезопасности Angara Security. При этом важно учитывать формат сделки: «При слиянии — обязательно независимый, а при поглощении это может быть аудит со стороны поглощающей компании», — добавляет Федор Музалевский, директор технического департамента RTM Group.
Однако недостаток информации о сторонней системе может привести к многочисленным рискам. В связи с этим, на этапе интеграции крайне важно проводить полный аудит безопасности, чтобы оценить текущие уязвимости и проверить, насколько предыдущие системы соответствуют актуальным стандартам ИТ-безопасности. «…такой аудит требует времени, которое не всегда есть, поэтому при срочной интеграции необходимо организовывать коммуникации в соответствии с принципом Zero Trust, разрешая только действительно необходимые взаимодействия и максимально изолируя новую инфраструктуру от собственной», — отмечает Владимир Арышев, эксперт по комплексным проектам информационной безопасности STEP LOGIC.
Комплексный аудит помогает выявить критически важные данные, проверить привилегии доступа и оценить потенциальные уязвимости. «После завершения сделки необходимо разработать четкий план по унификации стандартов безопасности, интеграции систем и обучению персонала новым требованиям. Также важно предусмотреть меры для быстрого реагирования на возможные инциденты в переходный период», — отмечает Павел Карасев, бизнес-партнер «Компьютерные технологии».
Ключевым аспектом стратегии защиты является проведение оценки ИТ-инфраструктуры в рамках due diligence. «На этапе due diligence критически важно привлечь специалистов по кибербезопасности для комплексного анализа IT-инфраструктуры и процессов информационной безопасности (ИБ) целевой компании. Это включает оценку прошлых и текущих киберинцидентов, выявление скрытых утечек данных, а также проверку соответствия законодательным требованиям и лучшим отраслевым практикам в области ИБ», — подчеркивает Тарас Макаренко, руководитель направления «Стратегия и риски» компании «Информзащита». Важную роль играет аудит систем управления доступом (IAM) и тестирование на проникновение (пентесты), позволяющее выявить слабые места защиты. «После завершения сделки ключевым этапом является проведение повторной проверки объединенной IT-инфраструктуры и процессов ИБ», — добавляет Макаренко.
При разработке стратегии безопасности целесообразно ориентироваться на стандарты компании-приобретателя или международные нормы: «Правильная стратегия при сделках M&A, на мой взгляд, проводить аудит, основываясь на стандартах безопасности, принятых в компании-приобретателе. Или же на общепринятых, а далее составлять дорожную карту улучшений, основываясь на карте рисков, закладывать траты в бюджет», — рекомендует Дина Фомичева, руководитель отдела корпоративных клиентов ИТ-интегратора «Телеком биржа».
Важно учитывать, что уровень зрелости кибербезопасности в объединяемых компаниях может значительно различаться: «…если есть различия, то здесь надо оценить, что попадает в разницу, какова степень риска и как он будет минимизироваться», — подчеркивает Олег Босенко, директор департамента кибербезопасности в IBS. Таким образом, стратегия защиты при объединении компаний должна быть основана на глубоком анализе рисков и адаптации лучших практик кибербезопасности к новой структуре бизнеса.
Эффективная ИБ-стратегия для M&A
Недостаточная проработка стратегии может привести к утечкам данных, проблемам с интеграцией систем и значительным финансовым потерям. Чтобы избежать этих рисков, компании должны разработать четкий план киберзащиты на всех этапах сделки.
«При M&A стратегия кибербезопасности должна включать: аудит систем, оценку рисков, интеграцию решений, разработку процесса слияния инфраструктур, а также план реагирования на инциденты», — отмечает Дмитрий Павловский, эксперт по кибербезопасности Angara Security. Ключевым этапом является инвентаризация активов обеих сторон, определение тех, которые будут использованы в объединенной компании, и разработка плана переходного периода. «…этим многие пренебрегают, и напрасно», — подчеркивает Федор Музалевский, директор технического департамента RTM Group.
Успешная стратегия строится на тесном взаимодействии всех участников сделки: «Необходимо определить ключевые активы, которые требуют максимальной защиты, и разработать план действий на каждом этапе — от подготовки к сделке до постинтеграционного управления. Таким образом, компания может минимизировать риски и обеспечить успешное объединение без потери данных и производительности», — отмечает Павел Карасев, бизнес-партнер «Компьютерные технологии».
Разработка стратегии кибербезопасности требует комплексного подхода. На начальном этапе важно привлечь CISO и профильных специалистов обеих компаний для анализа ИТ- и ИБ-инфраструктуры. Важнейшими задачами являются оценка рисков, проверка соответствия регуляторным требованиям и выявление уязвимостей. «Особое внимание следует уделить сбору данных о ранее произошедших киберинцидентах, включая скрытые утечки информации, а также анализу эффективности действующих мер защиты», — добавляет Тарас Макаренко, руководитель направления «Стратегия и риски» компании «Информзащита».
При выявлении уязвимостей необходимо оценить затраты на их устранение. Это может включать обновление ПО, закрытие критических дыр и пересмотр политик управления доступом. Эти затраты напрямую влияют на инвестиционную привлекательность приобретаемой компании и итоговую стоимость сделки. Важно также учитывать возможные финансовые последствия и привлекать независимых консультантов для объективной оценки киберрисков.
После завершения сделки провести комплексный аудит информационной безопасности объединенной инфраструктуры, чтобы выявить возможные новые уязвимости. «Финальная стратегия кибербезопасности должна быть интегрирована в общую корпоративную стратегию объединенной компании», — уточняет эксперт. Это позволит укрепить доверие со стороны клиентов, партнеров и регуляторов, а также снизить финансовые и репутационные риски.
Алексей Колодка, управляющий практикой информационной безопасности RAMAX Group, подчеркивает необходимость включения кибербезопасности в процедуру due diligence. Анализ уровня автоматизации бизнес-процессов и состояния информационной безопасности позволяет синхронизировать стратегии обеих компаний и определить оптимальный вариант их интеграции.
Олег Босенко, директор департамента кибербезопасности в IBS, рекомендует заранее предусмотреть анализ рисков и решений в дорожной карте сделки: «Рекомендация очень простая — при формировании дорожной карты предусмотреть анализ ситуации, рисков и проработку решений, оценку инвестиций по кибербезопасности, которые потребуются».
Кибербезопасность в M&A — критический фактор, влияющий на оценку компании и успешность сделки. Аудит ИБ, выявление уязвимостей, анализ инцидентов и синхронизация систем помогают минимизировать риски. Важно заранее закладывать бюджет на устранение проблем, привлекать экспертов и разрабатывать стратегию интеграции. Такой подход снижает угрозы, повышает доверие инвесторов и обеспечивает стабильность бизнеса.