Kyberturvallisuuden due diligence – Välttämätön askel yrityskaupassa
Yrityskaupat ovat merkittäviä investointeja ostajalle ja niiden onnistuminen edellyttää huolellista valmistelua ja riskien arviointia. Kyberturvallisuuden due diligence (kyber DD) on prosessi, joka auttaa ostavaa organisaatiota tunnistamaan ja arvioimaan kyberturvallisuuteen liittyviä riskejä, jotka voivat vaikuttaa yrityskaupan ehtoihin ja arvoon sekä antaa näkymää tulevasta. Tässä blogikirjoituksessa käsittelemme, mitä kyberturvallisuuden osalta tulee ottaa huomioon yrityskauppaa valmisteltaessa.
Tietoturvan nykytilan arviointi
Ensimmäinen askel on kohdeyrityksen tietoturvan nykytilan arviointi. Tämä sisältää käytössä olevien tietoturvateknologioiden ja -käytäntöjen tarkastelun. On tärkeää ymmärtää, miten kohdeyritys suojaa arkaluonteisia tietojaan ja miten se on varautunut mahdollisiin tietoturvaloukkauksiin. Miten organisaation tietoturvadokumentaatio ja esimerkiksi vaatimukset organisaation jatkuvuudelle käytännössä toteutuu. Tunnistaako organisaatio “kultamunansa”, mitkä ovat tärkeimmät assetit joiden vaarantuessa yritys lakkaa olemasta tai sen olemassa olo vaarantuu merkittävästi. Arviointeja tehdessäni olen törmännyt keskusteluihin, joissa pohditaan yrityksen johtotasolla, kenen vastuulla tietoturva organisaatiossa on ylipäänsä.
Kohteen internetiin näkyvää digitaalista järjestelmäpintaa voidaan tarkastella non-intruisive menetelmällä katsoen, miltä ne näyttävät mahdollisen hyökkääjän silmin. Non-intrusive tarkoittaa tietoturvassa sellaisia menetelmiä tai toimia, jotka eivät häiritse tai keskeytä normaalia liiketoimintaa tai järjestelmän toimintaa. Häiritsevä (esimerkiksi lisäkuorma, kyselymäärät) tai aktiivinen skannaus johonkin kohteeseen ei ole hyvien tapojen mukaista ilman lupaa ja usein myös laitonta tietoliikenteen häirintää.
Tässä yhteydessä on tärkeää, että varmistetaan paikallisten lakien ja regulaation osalta, onko non-intrusiivinen selvitys sallittua.
Tietoturvaloukkauksien historian tarkastelu
Kohdeyrityksen mahdolliset aikaisemmat tietoturvaloukkaukset ja niiden seuraukset tulisi selvittää. Kohde yritys ei itse edes välttämättä tiedä, että heihin on kohdistunut tietomurto tai heidän tietopääomia taikka IPR:ää on valunut organisaatiosta ulos. Tämä antaa kuvan yrityksen kyvystä hallita tietoturvariskejä ja sen valmiudesta reagoida tietoturvatapahtumiin. Näitä tilanteita jopa peitellään tai niitä ei ole edes tunnistettu, että perälauta vuotaa jatkuvasti eli organisaation IPR:t ovat valuneet kilpailijoille tai jollekin muulle taholle hyödynnettäväksi.
OSINT(Open Source Intelligence), avointen lähteiden tiedustelu on oiva keino etsiä ostettavan organisaation julkiseen internetiin ja pimeään verkkoon vuodettuja/vuotamiaan tietoja. Myös avainhenkilöiden yritykseen liittyviä tekemisiä voidaan selvittää samassa yhteydessä.
Tässä yhteydessä nousee usein esille hyvät ja huonot tekniset toteutukset internettiin näkyvistä palveluista jopa vuosien takaa.
Tietoturvakulttuuri ja -koulutus
Tietoturvakulttuurin ja henkilöstön tietoturvakoulutuksen taso kohdeyrityksessä on myös tärkeä tekijä. Vahva tietoturvakulttuuri ja hyvin koulutettu henkilöstö ovat avainasemassa tietoturvariskien hallinnassa. Virheiden tekemisen peittely nousee viimeistään tässä vaiheessa esiin.
Tässä yhteydessä myyjän tietoturvasta vastaava henkilö on kultaakin arvokkaampi, jolloin kysymyksiin saadaan selkeimmät vastaukset. Vähemmän tiedostavissa organisaatioissa kyberturvallisuus nähdään jopa IT-tuen tekniseksi asiaksi.
Sääntelyyn ja vaatimuksiin vastaaminen
On välttämätöntä varmistaa, että kohdeyritys noudattaa kaikkia kyberturvallisuuteen liittyviä sääntelyvaatimuksia ja standardeja. Tämä sisältää paikalliset, kansalliset ja kansainväliset tietosuojalait ja -määräykset. Viimeisimpinä NIS2-vaatimukset jotka ylettyvät myös alihankintaketjuun yhteiskunnan kannalta merkittävien organisaatioiden ketjussa. Onko tietosuoja-asiat vain “tietosuojaseloste nettisivuilla”, kypsyys ja konkretia siis tulee tarkastaa.
Tietoturvariskien hallinta
Arvioi, kuinka hyvin kohdeyritys hallitsee tietoturvariskejä ja miten se reagoi tietoturvatapahtumiin. Onko näistä havainnoista lokikirjaa/evidenssiä että havainnoitia tehdään ja havainnointikyky on olemassa?
Tämä sisältää tietoturvastrategian, -politiikat ja -prosessit sekä kyvyn tunnistaa ja vastata uhkiin riittävän nopeasti ja tehokkaasti. Esimerkiksi vasta tehty ISO27001-sertifiointi tietoturvallisuudenhallintajärjestelmästä koko myytävän liiketoiminta-alueen osalta helpottaa usein tarkastajaa, mutta ei korvaa KyberDD:tä.
Tietoturvan integrointi yrityskaupan jälkeen
Yrityskaupan jälkeinen integraatioprosessi on yhtä tärkeä kuin due diligence -prosessi. On suunniteltava, miten kohdeyrityksen tietoturva integroidaan ostavan yrityksen tietoturvaan ja mitä parannuksia voidaan tehdä. Kuinka teknologiat toimivat yhteen, saadaanko ne keskustelemaan keskenään... Toisinaan päädytän siihen, että vaihdetaan kummankin tahon ratkaisut uusiin yhtenäisiin jollain aikajänteellä.
Kuinka mahdolliset tietoturvakulttuuriasiat yhdistetään, kuinka kulttuuri yhteensovitetaan jos ne ovat kaukana toisistaan , esimerkkinä vapauden kulttuuri, jossa ei ole vastuita vs tarkka tietoturvanjohtamisen malli.
Tulokset selvityksestä
Aiemmista selvitettävistä asioista ja esiin nousseista asioista luodaan usein kysymys patteristo, joiden vastausten perusteella arvioidaan myytävää liiketoimintaa/organisaatiota kyberriskien osalta. Pitää muistaa, että kyberriskit ovat yksi osa-alue due diligence prosessissa. Muita usein selvitettäviä asioita ovat vero, hr, liiketoiminta ja sen riskit, oikeudelliset asiat, IT- ja digitaalisuus ja yleiset riskienhallinnan asiat. Toisinaan kyberDD on alisteinen IT tai legal DD:lle(lakiasiat) tai sitä ei huomioida/tehdä ollenkaan erinäisistä syistä.
Myyjän vastaukset sekä muut tulokset analysoidaan ja keskustellaan yrityskaupan kyber DD -osiossa. Kyberturvallisuuskonsultti raportoi löydöksistä riskeinä, jotka usein luokitellaan seuraavasti: 1) arvonmääritykseen vaikuttavat riskit, 2) lausimien(reps) ja takuiden(warrantit) avulla lievennettävät riskit, 3) kyber- tai takuu- ja vahingonkorvausvakuutuksella katetut riskit, 4) yrityskaupan jälkeen integraatiosuunnittelulla lievennettävät riskit.
Arvo KyberDD:stä
KyberDD:n arvo punnitaan paremmin tunnistettujen riskien osalta esimerkiksi rahoitusta hakiessa eli se voi mahdollistaa paremmat ehdot lainoitettavalle. Osaavat rahoittajat osaavat kysyä jo nyt muutakin kuin IT DD:n perään.
Lisäksi case Vastaamo on toivottavasti tuonut jokaiselle investoijan tarkistuslistalle, kuinka varmistetaan että investointini ei "sulaisi" tietoturvapoikkeaman vuoksi tai sen kannattavuus ei muutu miinusmerkkiseksi pitkällä aikavälillä esimerkiksi maineen menetyksenä.
Saat käsityksen kuinka tietoturvaratkaisut integroidaan kaupan jälkeen, miten paljon on teknologia- ja käytänteiden kehitysvelkaa. Selvitys antaa kuvan kyberturvallisuuden maturiteetista niin strategisella, taktisella kuin operatiivisella tasolla.
Lukijalle voi kuulostaa raskaalle selvitykselle, mutta tässäkin on hyvä huomioida riskilähtöisyys - valita painotukset ja tarkasteltavat osa-alueet mitkä ovat riskipitoisimpiä ja tärkeiksi tunnistettuja.
Pohditko yrityksen tai liiketoiminnan ostamista, yritykseen sijoittamista merkittävällä pääomalla tai olet myymässä liiketoimintaa - ole meihin yhteydessä niin autamme selvittämään kyber ja/tai IT DD:n avulla osana prosessianne.
Seuraavassa blogikirjoituksessamme perehdytään IT due diligenceen.
Teemme mielellämme yhteistyöä yritysjärjestelyjä tekevien toimistojen kanssa - yhteistyössä on voimaa!