Kyberturvallisuuden due diligence – Välttämätön askel yrityskaupassa

Yrityskaupat ovat merkittäviä investointeja ostajalle ja niiden onnistuminen edellyttää huolellista valmistelua ja riskien arviointia. Kyberturvallisuuden due diligence (kyber DD) on prosessi, joka auttaa ostavaa organisaatiota tunnistamaan ja arvioimaan kyberturvallisuuteen liittyviä riskejä, jotka voivat vaikuttaa yrityskaupan ehtoihin ja arvoon sekä antaa näkymää tulevasta. Tässä blogikirjoituksessa käsittelemme, mitä kyberturvallisuuden osalta tulee ottaa huomioon yrityskauppaa valmisteltaessa. 

Tietoturvan nykytilan arviointi 

Ensimmäinen askel on kohdeyrityksen tietoturvan nykytilan arviointi. Tämä sisältää käytössä olevien tietoturvateknologioiden ja -käytäntöjen tarkastelun. On tärkeää ymmärtää, miten kohdeyritys suojaa arkaluonteisia tietojaan ja miten se on varautunut mahdollisiin tietoturvaloukkauksiin. Miten organisaation tietoturvadokumentaatio ja esimerkiksi vaatimukset organisaation jatkuvuudelle käytännössä toteutuu. Tunnistaako organisaatio “kultamunansa”, mitkä ovat tärkeimmät assetit joiden vaarantuessa yritys lakkaa olemasta tai sen olemassa olo vaarantuu merkittävästi. Arviointeja tehdessäni olen törmännyt keskusteluihin, joissa pohditaan yrityksen johtotasolla, kenen vastuulla tietoturva organisaatiossa on ylipäänsä.

 Kohteen internetiin näkyvää digitaalista järjestelmäpintaa voidaan tarkastella non-intruisive menetelmällä katsoen, miltä ne näyttävät mahdollisen hyökkääjän silmin. Non-intrusive tarkoittaa tietoturvassa sellaisia menetelmiä tai toimia, jotka eivät häiritse tai keskeytä normaalia liiketoimintaa tai järjestelmän toimintaa. Häiritsevä (esimerkiksi lisäkuorma, kyselymäärät) tai aktiivinen skannaus johonkin kohteeseen ei ole hyvien tapojen mukaista ilman lupaa ja usein myös laitonta tietoliikenteen häirintää.

 Tässä yhteydessä on tärkeää, että varmistetaan paikallisten lakien ja regulaation osalta, onko non-intrusiivinen selvitys sallittua.

Tietoturvaloukkauksien historian tarkastelu 

Kohdeyrityksen mahdolliset aikaisemmat tietoturvaloukkaukset ja niiden seuraukset tulisi selvittää. Kohde yritys ei itse edes välttämättä tiedä, että heihin on kohdistunut tietomurto tai heidän tietopääomia taikka IPR:ää on valunut organisaatiosta ulos. Tämä antaa kuvan yrityksen kyvystä hallita tietoturvariskejä ja sen valmiudesta reagoida tietoturvatapahtumiin. Näitä tilanteita jopa peitellään tai niitä ei ole edes tunnistettu, että perälauta vuotaa jatkuvasti eli organisaation IPR:t ovat valuneet kilpailijoille tai jollekin muulle taholle hyödynnettäväksi.  
OSINT(Open Source Intelligence), avointen lähteiden tiedustelu on oiva keino etsiä ostettavan organisaation julkiseen  internetiin ja pimeään verkkoon vuodettuja/vuotamiaan tietoja. Myös avainhenkilöiden yritykseen liittyviä tekemisiä voidaan selvittää samassa yhteydessä.  

Tässä yhteydessä nousee usein esille hyvät ja huonot tekniset toteutukset internettiin näkyvistä palveluista jopa vuosien takaa.

Tietoturvakulttuuri ja -koulutus 

Tietoturvakulttuurin ja henkilöstön tietoturvakoulutuksen taso kohdeyrityksessä on myös tärkeä tekijä. Vahva tietoturvakulttuuri ja hyvin koulutettu henkilöstö ovat avainasemassa tietoturvariskien hallinnassa. Virheiden tekemisen peittely nousee viimeistään tässä vaiheessa esiin. 
Tässä yhteydessä myyjän tietoturvasta vastaava henkilö on kultaakin arvokkaampi, jolloin kysymyksiin saadaan selkeimmät vastaukset. Vähemmän tiedostavissa organisaatioissa kyberturvallisuus nähdään jopa IT-tuen tekniseksi asiaksi. 

Sääntelyyn ja vaatimuksiin vastaaminen 

On välttämätöntä varmistaa, että kohdeyritys noudattaa kaikkia kyberturvallisuuteen liittyviä sääntelyvaatimuksia ja standardeja. Tämä sisältää paikalliset, kansalliset ja kansainväliset tietosuojalait ja -määräykset. Viimeisimpinä NIS2-vaatimukset jotka ylettyvät myös alihankintaketjuun yhteiskunnan kannalta merkittävien organisaatioiden ketjussa. Onko tietosuoja-asiat vain “tietosuojaseloste nettisivuilla”, kypsyys ja konkretia siis tulee tarkastaa. 

Tietoturvariskien hallinta 

Arvioi, kuinka hyvin kohdeyritys hallitsee tietoturvariskejä ja miten se reagoi tietoturvatapahtumiin. Onko näistä havainnoista lokikirjaa/evidenssiä että havainnoitia tehdään ja havainnointikyky on olemassa?  
Tämä sisältää tietoturvastrategian, -politiikat ja -prosessit sekä kyvyn tunnistaa ja vastata uhkiin riittävän nopeasti ja tehokkaasti. Esimerkiksi vasta tehty ISO27001-sertifiointi tietoturvallisuudenhallintajärjestelmästä koko myytävän liiketoiminta-alueen osalta helpottaa usein tarkastajaa, mutta ei korvaa KyberDD:tä. 

Tietoturvan integrointi yrityskaupan jälkeen 

Yrityskaupan jälkeinen integraatioprosessi on yhtä tärkeä kuin due diligence -prosessi. On suunniteltava, miten kohdeyrityksen tietoturva integroidaan ostavan yrityksen tietoturvaan ja mitä parannuksia voidaan tehdä. Kuinka teknologiat toimivat yhteen, saadaanko ne keskustelemaan keskenään... Toisinaan päädytän siihen, että vaihdetaan kummankin tahon ratkaisut uusiin yhtenäisiin jollain aikajänteellä.
Kuinka mahdolliset tietoturvakulttuuriasiat yhdistetään, kuinka kulttuuri yhteensovitetaan jos ne ovat kaukana toisistaan , esimerkkinä vapauden kulttuuri, jossa ei ole vastuita vs tarkka tietoturvanjohtamisen malli. 

Tulokset selvityksestä 

Aiemmista selvitettävistä asioista ja esiin nousseista asioista luodaan usein kysymys patteristo, joiden vastausten perusteella arvioidaan myytävää liiketoimintaa/organisaatiota kyberriskien osalta. Pitää muistaa, että kyberriskit ovat yksi osa-alue due diligence prosessissa. Muita usein selvitettäviä asioita ovat vero, hr, liiketoiminta ja sen riskit, oikeudelliset asiat, IT- ja digitaalisuus ja yleiset riskienhallinnan asiat. Toisinaan kyberDD on alisteinen IT tai legal DD:lle(lakiasiat) tai sitä ei huomioida/tehdä ollenkaan erinäisistä syistä. 

Myyjän vastaukset sekä muut tulokset analysoidaan ja keskustellaan yrityskaupan kyber DD -osiossa. Kyberturvallisuuskonsultti raportoi löydöksistä riskeinä, jotka usein luokitellaan seuraavasti: 1) arvonmääritykseen vaikuttavat riskit, 2) lausimien(reps) ja takuiden(warrantit) avulla lievennettävät riskit, 3) kyber- tai takuu- ja vahingonkorvausvakuutuksella katetut riskit, 4) yrityskaupan jälkeen integraatiosuunnittelulla lievennettävät riskit.

Arvo KyberDD:stä

KyberDD:n arvo punnitaan paremmin tunnistettujen riskien osalta esimerkiksi rahoitusta hakiessa eli se voi mahdollistaa paremmat ehdot lainoitettavalle. Osaavat rahoittajat osaavat kysyä jo nyt muutakin kuin IT DD:n perään.
Lisäksi case Vastaamo on toivottavasti tuonut jokaiselle investoijan tarkistuslistalle, kuinka varmistetaan että investointini ei "sulaisi" tietoturvapoikkeaman vuoksi tai sen kannattavuus ei muutu miinusmerkkiseksi pitkällä aikavälillä esimerkiksi maineen menetyksenä.
Saat käsityksen kuinka tietoturvaratkaisut integroidaan kaupan jälkeen, miten paljon on teknologia- ja käytänteiden kehitysvelkaa. Selvitys antaa kuvan kyberturvallisuuden maturiteetista niin strategisella, taktisella kuin operatiivisella tasolla.

Lukijalle voi kuulostaa raskaalle selvitykselle, mutta tässäkin on hyvä huomioida riskilähtöisyys - valita painotukset ja tarkasteltavat osa-alueet mitkä ovat riskipitoisimpiä ja tärkeiksi tunnistettuja.

Pohditko yrityksen tai liiketoiminnan ostamista, yritykseen sijoittamista merkittävällä pääomalla tai olet myymässä liiketoimintaa - ole meihin yhteydessä niin autamme selvittämään kyber ja/tai IT DD:n avulla osana prosessianne. 

Seuraavassa blogikirjoituksessamme perehdytään IT due diligenceen.

Teemme mielellämme yhteistyöä yritysjärjestelyjä tekevien toimistojen kanssa - yhteistyössä on voimaa!