Įmonių įgijimus gali apkartinti kibernetinio saugumo spragos. Kaip apsisaugoti?
2023 - 07 - 20
Straipsnio autorius: Dr. Juozas Rimas
Neatsiejama įmonių įgijimo sandorių dalis – patikrinimai. Pirkėjas privalo žinoti, kokia yra perkamo verslo finansinė situacija, mokestiniai įsipareigojimai ir t.t. Kibernetinio saugumo klausimai vis dažniau taip pat patenka į išsamių tyrimų lauką.
Neskyrus reikiamo dėmesio perkamo verslo kibernetinio saugumo situacijai patikrinti, sandoris gali apkarsti, nurodo Dr. Juozas Rimas, advokatų bendrijos COBALT partneris, Įmonių įsigijimų ir susijungimų praktikos grupės vadovas.
Milijoninė žala
Advokatas pasidalino pamokančia istorija, kuomet investuotojai „Intera Partners“ Suomijoje nusipirko privačią psichoterapijos kliniką „Vastaamo“.
Klinika naudojo savo sukurtą IT sistemą ir pacientų duomenų bazę. Dėl dažnų techninių gedimų ji reikalavo nuolatinės specialistų priežiūros. Norint supaprastinti technikų darbą buvo sukurta nuotolinė prieiga prie klinikos tinklo. Netinkamai šią prieigą administruojant, programišiams atsivėrė galimybė gauti prieigą prie 30 000 pacientų – politikų, pareigūnų, garsenybių – medicininių įrašų.
Įsilaužimo faktas nebuvo viešai žinomas net kelerius metus. 2019 m. privatus investicinis fondas įsigijo 70 proc. klinikos akcijų. 2020 m. programišiai iš klinikos pareikalavo išpirkos – 450 tūkst. dolerių bitkoinais. Iš pradžių piktavaliai kreipėsi į įmonės vadovą, vėliau šantažavo pacientus, grasindami paviešinti jų duomenis „tamsiajame tinkle“.
„Paaiškėjus apie šį įsilaužimą investuotojas sugebėjo prisiteisti 8 mln. eurų žalos atlyginimą. Ieškovas teisme argumentavo, kad tuometiniai „Vastaamo“ savininkai pažeidė pirkimo-pardavimo sutartį neatskleisdami informacijos apie kibernetinio saugumo pažeidimus ir įsilaužimo incidentus. 2021 metais klinika bankrutavo“, – pasakoja dr. J. Rimas.
Šiuo atveju pirkėjas, atlikdamas patikrinimo procesą, nesugebėjo identifikuoti tikros IT sistemų būklės. Potencialūs trūkumai, kuriuos buvo įmanoma nustatyti, buvo techniniai tarnybinių stočių nustatymai, nuotolinės prieigos procedūros, geriausios praktikos reikalavimų nesilaikymas, nepakankamas duomenų šifravimas ir anonimizavimas, pernelyg ilgas pacientų duomenų saugojimas, nepakankamas slaptažodžių saugumas, ilgą laiką vykstantys bandymai įsilaužti į sistemas.
Pasverti kainą ir potencialią naudą
„Šis atvejis aiškiai iliustruoja, kad kibernetinio saugumo problema įmonių susijungimo ir įsigijimo sandoriuose nėra vien teorinė. Nors Lietuvoje jautrių duomenų nutekėjimo atvejų taip pat buvo – prisiminkime „CityBee“, „Grožio chirurgijos“ pavyzdžius – „Vastaamo“ atvejis svarbus ir įmonių įsigijimo aspektu“, – akcentuoja dr. J. Rimas.
Advokato teigimu, jis parodo, jog vykdant įmonių įsigijimus ar susijungimus visuomet reikia bent pagalvoti apie kibernetinio saugumo aspektą, kaip verslo atsparumo aspektą. „Reikia įsivertinti, kiek kainuotų išsamus saugumo patikrinimas. Bet kuriuo atveju turėtų būti aiškus, apmąstytas investuotojo sprendimas: vykdyti tokį patikrinimą ar ne. Jei perkamos bendrovės veiklos profilis yra susijęs su jautriais duomenimis, motyvacija vykdyti tokį tikrinimą turi būti didesnė“, – teigia COBALT įmonių įsigijimų ir susijungimų grupės vadovas.
Tiesa, advokato teigimu, net ir gamybinėse įmonėse, kurios, atrodytų, nesaugo jautrios klientų informacijos, gali būti duomenų, kurių praradimas būtų nuostolingas. Dar daugiau, kartais svarbu įvertinti ir gamybinės įmonės tiekėjo, subrangovo padėtį: nesirūpindami savo kibernetine sauga, jie gali sukelti žalą prarasdami kliento (gamybinės įmonės) informaciją apie gamybos technologijas ar kitas jo komercines paslaptis.
Sodybos apžiūra
Anot dr. Viliaus Benečio, kibernetinio saugumo įmonės NRD Cyber Security vadovo, klasikinė užduotis, leidžianti sumažinti įgyjamų ar jungiamų bendrovių kibernetinį pažeidžiamumą – IT saugumo auditas, apimantis tiek dokumentacijos, tiek ir sistemų saugumo patikrą. Ji investuotojui leidžia turėti aiškų supratimą, kiek ir kokių darbų reikės IT sistemas apjungiant pagal reikiamus IT saugumo standartus.
Šį auditą jis siūlo lyginti su sodybos, kurią ketinama pirkti, apžiūra. „Vos užėję į kiemą jau galime daryti išvadas, koks yra visos sodybos tvarkingumas. Panašiai IT saugumo specialistai gali pastebėti, ar ūkiškai prižiūrimos IT sistemos ir teikti įžvalgas apie saugumo lygį. Priklausomai nuo daugelio veiksnių, auditas gali būti gilus, nuoseklus arba tik paviršutinis. Tačiau visada reikia įvertinti, kad paviršutiniškai sodyboje viskas gali atrodyti gražiai, bet, štai, kažkoks apipelijęs kampas gali rodyti stogo ar sienos brangias bėdas. Todėl yra situacijų, kai tą sodybą norisi ir su termovizoriumi peržiūrėti“, – pasakoja NRD Cyber Security vadovas. Benetis taip pat ragina kuo kruopščiau peržvelgti visas perkamo verslo naudojamas skaitmenines sistemas ir debesijos paslaugas.
„Įsivaizduokime didelę technologijų kompaniją, kuri aktyviai supirkinėja mažesnes įmones. Kuomet perkama kompanija naudojasi nesudokumentuotomis debesijos paslaugomis, po perėmimo šios gali tapti nebeprižiūrimomis, nebevaldomomis, neatnaujinamomis. Tai tampa potencialiu įsilaužimo keliu į perkančiosios organizacijos informacines sistemas. Taip nudegė net tokios įmonės kaip Adobe“, – sako V. Benetis.
Jo teigimu, toks IT auditas, atliekamas profesionalų, dažnai kainuoja tarp 5 ir 50 tūkst. eurų. Kainą lemia tikrinamos įmonės infrastruktūros sudėtingumas ir IT saugumo auditui keliamų uždavinių.
Sistemų ir kultūrų sujungimas
Įprastai besijungiančių įmonių sistemų integravimas priklauso nuo strateginio veiksmų plano. Pavyzdžiui, Lenkijos kompanijai „Asseco“ įsigijant Lietuvos bendrovę „Sintagma“ 2007 metais buvo pasirinkta strategija pradžioje verslus integruoti labai paviršutiniškai.
„Galimi ir įvairūs hibridiniai variantai. Efektyviausias modelis – užmauti visus ant vieno procesų ir technologijų kurpalio. Nors pradinė tokio jungimo kaina gali būti didesnė, nes reikia daug ką perdaryti, ilgalaikis valdymas būna efektyvesnis. Sumažėja palaikymo sąnaudos“, – įmonių susijungimo technologinius aspektus dėsto V. Benetis.
Jo teigimu, dažnai akcininkai pageidauja, kad įmonės technologiškai susijungtų per metus ar netgi greičiau, išlaikant apsijungimo projektų apimtis ir greitį.