Почему вопросам безопасности перед слиянием или поглощением (Mergers and Acquisitions, M&A) уделяется так много внимания? Эксперты привели сразу несколько примеров кошмарных сценариев, когда компания с хорошим уровнем кибербезопасности приобретала организацию, у которой уже имелись серьезные бреши. Был случай проникновения к покупателю вредоносного кода из приобретаемой компании. Об этом никто не знал почти год, выяснилось же все только при подсчете нанесенного ущерба. Исходный код был украден, продукт скомпрометирован, репутация пострадала.
Вот еще один пример. Samsung за 250 млн долл. купила компанию LoopPay, средства которой должны были стать ключевым компонентом мобильной платежной системы. На протяжении долгого времени в программном обеспечении LoopPay присутствовала брешь, и обнаружена она была всего за месяц до совершения сделки.
Как приобретающей (или приобретаемой) компании избежать подобных проблем? Вот на что следует обратить внимание до, во время и после приобретения. Советы полезны и при реорганизации и трансформации компаний, в т.ч. и географически распределенных, а также при их консолидации.
Раннее планирование
Перед слиянием специалисты по безопасности из обеих компаний должны поближе познакомиться друг с другом и обсудить сопряженные со сделкой риски. Необходимо разработать общий план как можно быстрее. Есть много областей, которые требуют изучения, а время весьма ограниченно. Необходимо вырабатывать маршруты для планируемых блоков по каждой из задач и заранее согласовывать их с приобретаемой стороной.
Публичная информация может сыграть вам на руку
В начале процесса слияния вы не будете обладать информацией о другой компании, но на первых порах этого и так важно. Общедоступные записи, поиск в Интернете, изучение баз данных, содержащих сведения об угрозах, и изучение социальных медиа – все это окажется весьма полезным для выявления уязвимостей и поиска свидетельств о проблемах с безопасностью в приобретаемой компании.
Целью хакеров может оказаться сама информация о слиянии
Деликатная природа информации о слиянии подразумевает, что добыча таких сведений уже сама по себе может стать целью взлома, поэтому для обеспечения безопасности соответствующих данных нужно разработать специальный план. Вы должны знать, где находятся документы о слиянии, кто имеет к ним доступ, кто обращается к документам и является ли получаемый доступ легитимным.
Предоставление доступа к системам и конфиденциальным данным требует повышенной осторожности. До момента закрытия сделки необходимо контролировать обмен информацией и обеспечивать защищенность конфиденциальных документов и систем.
Задавайте конкретные вопросы
Запрашивайте конкретную информацию, позволяющую получить представление о том, как вел себя потенциальный партнер по слиянию в прошлом:
- Как проводится обучение сотрудников и партнеров по вопросам политик безопасности и снижения рисков при работе с электронной почтой? Какие меры принимаются для снижения рисков?
- Участвуют ли руководители высшего звена в мероприятиях, призванных обеспечить безопасность данных? Вовлечены ли они в разработку процедур повышения безопасности данных?
- Происходили ли случаи кражи конфиденциальных данных? Если да, то что было сделано для исключения подобных повторений?
Все полученные сведения помогут понять, какого рода конфиденциальная информация хранится в другой компании, как организована ее защита и какие коррективы необходимо внести в принимаемые меры безопасности.
Добейтесь максимальной прозрачности
Цель всех вышеперечисленных вопросов – получить полное представление о состоянии обеих сетей перед слиянием. Когда сети связываются друг с другом, вредоносные программы, находящиеся в одной сети, начинают проникать в другую. Зная поведение каждой из сетей, можно выработать представление о том, как должна выглядеть объединенная сеть.
До начала процесса слияния полезно также получить запрашиваемые отзывы, внутреннюю документацию и информацию об инвестициях, с тем чтобы оперативно вносить коррективы при возникновении новых вопросов.
Больше компаний – больше проблем
Процесс слияния затрагивает не только объединяемые компании. Речь идет о банкирах, юристах, поставщиках, подрядчиках, субподрядчиках и прочих участниках по обе стороны сделки. Очень быстро вы обнаружите, что слияние двух корпоративных единиц выливается в слияние двух корпоративных экосистем. И вы получите не только людей, активы, культуру и клиентов, но и унаследованные бреши.
Трудности приобретаемой компании
Зачастую приобретаемая компания находится в затруднительном положении, и у нее нет возможности проводить необходимые инвестиции в критически важные для себя области. Из-за этого нередко выявляются порочные практики, устаревшие и незащищенные активы, а также отсутствие контроля за состоянием активов с точки зрения безопасности.
Документируйте все тщательно и заблаговременно
Отсутствие документации в компании может породить настоящий хаос. Масса неожиданных проблем возникла из-за слабо документированной сети у одной из сторон. Не были стандартизованы технологические процессы, не выдавались даже разрешения на доступ к ресурсам. Когда пришло время объединяться, также выяснилось, что системы не работают так, как было запланировано.
Автоматизируйте свои процессы
Нужно понимать, кто и к каким данным имеет доступ в присоединяемой компании. Для этого необходимо автоматизировать процессы: вы должны создавать роли, политики и процедуры, после введения в действие которых отпала бы потребность постоянно вносить изменения в права доступа.
Унифицированный набор политик безопасности может быть дополнен инструментами автоматизации. Слияния всегда предполагают наличие множества поставщиков и унаследованных политик. Встроенные инструменты управления, как правило, не позволяют составить полное представление о происходящем, и вам понадобятся лучшие решения от независимых поставщиков управляющих платформ.
Кто за что отвечает
Вопросы кибербезопасности по большей части вращаются вокруг контроля за ресурсами, а люди, наделенные полномочиями, не готовы отказаться от них при смене организации. Инвентаризация активов, показывающая, кто к чему имеет доступ, имеет особое значение, и именно ее чаще всего не делают. Вам придется иметь дело с администраторами, которые весьма неохотно пускают кого-либо в свою вотчину, не склонны ослаблять ограничения и даже предпочитают не рассказывать никому о существующих системах. Но для создания единой инфраструктуры в любом случае придется проводить всеобщую инвентаризацию и определять права доступа.
Также рекомендуется использовать специализированные решения для управления привилегированными записями, позволяющие видеть, у кого хранятся «ключи от царства».
Следите за людьми, которые пытаются делать все по-старому
За сохранение прежних порядков будут бороться не только администраторы, но и обычные пользователи. Эти люди будут пытаться делать все так, как привыкли, игнорируя новые правила. Речь может идти, например, о несанкционированном использовании какой-нибудь системы совместного доступа к файлам. Подобные попытки необходимо пресекать.
Держите системы под замком, даже если планируете от них отказаться
План слияния, очевидно, должен предусматривать консолидацию имеющихся систем и вывод части из них из эксплуатации. Но процесс может затянуться, и все это время необходимо заботиться о безопасности систем, даже если вскоре они перестанут использоваться.
Временные меры могут оказаться необходимыми
Возможно, понадобится переходный период, в течение которого обе сети объединяемых компаний будут работать параллельно, и нужно принять меры к тому, чтобы в это время сотрудники не испытывали особых неудобств.
Временный доступ к ресурсам имеет смысл предоставлять таким образом, чтобы не открывать обе сети в полном объеме, а ограничиться лишь минимальными полномочиями, необходимыми для работы. Добиться этого можно, например, путем создания федерации контролируемых пользовательских групп с выделением им ресурсов Citrix, RDP и других технологий удаленного доступа.
Не забывайте о человеческом факторе
Многие интеграционные инициативы проваливались как раз из-за культурных, а не из-за технических различий. Подумайте о так называемом курсе разрушения старой культуры для сотрудников приобретаемой компании — обобщите основные принципы, присущие вашей компании, и поделитесь этим опытом.
В период слияния многие сотрудники опасаются, что их навыки окажутся устаревшими и ненужными, что организацию ждет сокращение кадров. Простейший способ выявить подобные угрозы – мониторинг привилегированных учетных записей.
Следите за утечкой мозгов
Для безопасного функционирования объединенной сети важна преемственность, поэтому необходимо принять меры для предотвращения массового бегства. Чтобы избежать утечки мозгов, нужно использовать все имеющиеся средства и как можно безболезненней интегрировать людей в объединенную компанию. Слияние, выводящее на ведущие роли сотрудников приобретающей компании, скорее всего, закончится тем, что персонал приобретаемой компании начнет уходить. В итоге преемственность, столь необходимую для безопасной деятельности нового предприятия, обеспечить не удастся.
Жизнь вносит коррективы, и их следует учитывать
Вы можете и должны планировать все с самого начала, но в процессе слияния наверняка где-то придется и импровизировать. После объединения компаний многое меняется: руководители, игравшие ведущую стратегическую роль, могут уйти или переключиться на другие задачи, а значит, придется искать новые подходы. Даже при наличии самых лучших намерений перед началом слияния в процессе интеграции происходят изменения, заставляющие организацию пересматривать свою стратегию безопасности.
– Josh Fruhlinger. How to keep IT security at the forefront during a merger. CSO. Sep 19, 2016