Važnost kibernetičke sigurnosti u transakcijama preuzimanja
Usporedno s razvojem informacijske tehnologije u posljednjim godinama, mnoga poduzeća sklona su pohraniti podatke u elektroničkom obliku. Takva pohrana im pruža mnoge prednosti, pogotovo produktivnije poslovanje te smanjene troškove, međutim, na taj način podaci postaju osjetljivi na kibernetičke napade. Kibernetički napadi postaju sve češći te stvarni broj još nije poznat, imajući u vidu poteškoće njihovog otkrivanja. Svijest o njihovoj prisutnosti mora pronaći mjesto u postupku dubinskog snimanja poduzeća kako bi im se pružilo odgovarajuću težinu prilikom pregovora o preuzimanju.
Kibernetički napadi u transakcijama preuzimanja
Kibernetički napadi našli su se u centru pozornosti 2013. godine kada se na meti napada našla robna kuća Neiman Marcus. Tijekom napada je u potrošački sustav plaćanja unesen malware što je rezultiralo kompromitiranjem podataka oko 350.000 kreditnih kartica.
Neiman Marcus nije bio svjestan napada tijekom razdoblja u kojem je ušao u postupak preuzimanja od strane drugog društva. Tijekom tog razdoblja ni Neiman Marcus niti društvo preuzimatelj nisu bili svjesni kako su podaci ugroženi. Nedugo nakon zaključenja preuzimanja, počele su se javljati zloupotrebe kreditnih kartica što je u konačnici rezultiralo mnogobrojnim tužbama protiv Neiman Marcusa.
Uzimajući u obzir činjenicu da se ne radi o jedinom primjeru kibernetičkog napada, slučaj Neiman Marcus pokazuje kako postoji potreba za procjenom ranjivosti ciljnog poduzeća te mogućih posljedica incidenta, a ne samo s ciljem zaštite ciljnog poduzeće, već i u cilju zaštite samog preuzimatelja u transakciji. Procjena kibernetičke sigurnosti u postupku dubinskog snimanja mora postati sastavni dio transakcije preuzimanja, a kako bi se odradila kvalitetno, potrebno je provesti ju što ranije u transakciji.
Kibernetička sigurnost u postupku dubinskog snimanja
Opseg procjene kibernetičke sigurnosti tijekom postupka dubinskog snimanja razlikovat će se od transakcije do transakcije. Ipak, potrebno je slijediti određene smjernice kako bi se postupak proveo što kvalitetnije. Time bi se preuzimatelju omogućilo da utvrdi stvarno stanje digitalne imovine ciljnoga društva otkrivanjem ranjivosti imovine, ali i da utvrdi je li ciljno društvo adekvatno štitilo i nadziralo upravljanje tom imovinom, odnosno da ima uvid u zapise o kibernetičkim incidentima koji su mogli rezultirati kompromitiranjem imovine. Na taj način bi se preuzimatelj stavio u položaj u kojem bi mogao u potpunosti zaštiti svoje interese.
1. Početna procjena
Stjecatelji bi prvo trebali procijeniti koji su podaci važni za poslovanje ciljnog poduzeća te kako ih ono obrađuje.
2. Unutarnja zaštita
Ciljno poduzeće trebalo bi imati interna pravila i propise o zaštiti digitalne imovine. Preuzimatelj bi trebao procijeniti (i) jesu li takva interna pravila i propisi prikladni, je li ciljno društvo učinkovito primijenilo pravila i propise ( educira li redovno zaposlenike? Provode li se sigurnosne mjere? Jesu li svjesni neusklađenosti?). Važno je procijeniti je li ciljno poduzeće pravilno pripremljeno kako bi moglo prepoznati kibernetički napad i odgovoriti unutar relevantnih vremenskih okvira.
3. Propisi
Kada je to primjenjivo, preuzimatelji bi trebali procijeniti usklađenost ciljnog poduzeća s propisima koji uređuju kibernetičku sigurnost.
4. Procjena odnosa s trećim stranama
Preuzimatelji bi trebali istražiti sve (relevantne / materijalne) odnose koje ciljno poduzeće ima s trećim stranama te ocijeniti imaju li sporazumi s njima odgovarajuću ugovornu zaštitu kako bi se osiguralo da treća strana pravilno upravlja podacima ciljnog poduzeća te ima odgovarajuće sigurnosne sustave. Ugovori s trećim stranama također bi trebali predvidjeti obvezu obavješćivanja i mehanizam za reagiranje u hitnim slučajevima, kao i pravo revizije ciljnog društva radi provjere usklađenosti s prethodno navedenim.
5. Procjena prethodnih sigurnosnih incidenata
Preuzimatelji bi trebali utvrditi je li već prije došlo do sigurnosnih incidenata te ukoliko je, procijeniti njihov opseg i utjecaj. U tom smislu, potrebno je procijeniti:
- kojim podacima su napadači imali pristup (jesu li čitali datoteke, mijenjali dozvole, napravili kopije popisa kupaca);
- kakve podatke su napadači vidjeli te kopirali;
- kakve su podatke napadači promijenili? Jesu li izmijenili podatke koji su sadržani u određenim datotekama i ako jesu, kakve su promjene napravili;
- kakvu obranu ciljnog poduzeća su napadači otkrili prilikom napada (neznanjem o tome što su napadači saznali može uzrokovati da ciljno poduzeće bude više osjetljivije na buduće kibernetičke napade nego što je ono toga svjesno;
- jesu li napadači uspjeli pristupiti sustavu probijanjem sloja zaštite koji nije imao istu razinu zaštite kao i drugi slojevi? Na nekim od slojeva sustava zaštitnog poduzeća može postojati slabija ili različita zaštita od one na drugim slojevima. Na taj način je moguće probiti sustav prolazeći kroz sloj kojemu nedostaje zaštita.
U konačnici, kako bi se zaštitilo preuzimatelja, rizici za kibernetičku sigurnost trebali bi se odrediti konačnim i obvezujućim transakcijskim dokumentima. Preuzimatelji bi trebali tražiti jamstva o nepostojanju sigurnosnih incidenata, provođenje odgovarajućih unutarnjih pravila i propisa te usklađenost s njima, poštivanje primjenjivih zakona o zaštiti podataka i informacijskoj sigurnosti, te nepostojanje sporova i istraga vezanih za kibernetičku sigurnost i povredu podataka.
Osim toga, trebali bi tražiti naknadu štete za specifične rizike, poput parnica u tijeku ili rizika opće prirode za koje preuzimatelj očekuje kako će se pojaviti u budućnosti, poput poreza za zaključenje transakcije ili, u nekim poretcima, pitanja zaštite okoliša (odnosno propusta do kojih je došlo prije zaključenja).
Nacrt Zakona o kibernetičkoj sigurnosti
Kako bi se postigla visoka razina zaštite internetskih usluga i zaštita davatelja usluga, hrvatski Zakon o kibernetičkoj sigurnosti propisuje obvezu operatora ključnih usluga (pružatelj usluga poput bankarstva, željezničkog i zračnog prometa) te digitalnih pružatelja usluga (pružatelj usluga poput internetskog tržišta, internetske tražilice te usluga računalstva u oblaku) da poduzmu tehničke i organizacijske mjere za upravljanje rizicima, mjere za sprječavanje i ublažavanje učinaka incidenata na sigurnost mreže i informacijskih sustava te mjere za utvrđivanje rizika od incidenta, sprečavanje, otkrivanje i rješavanje incidenata te ublažavanje utjecaja incidenta. Pružatelji usluga također bi trebali obavijestiti nadležna tijela o svakom takvom incidentu. Provedba takvih mjera trebala bi ublažiti moguće rizike kibernetičku sigurnost, kao i biti izvor informacija za preuzimatelja kada je poduzeće bilo na meti kibernetičkog napada.
Zaključak
Neprovođenje procjene kibernetičke sigurnosti u postupku dubinskog snimanja, površne evaluacije te ograničavanje postupka dubinskog snimanja na informacijski sustav samog poduzeća, a ne tretiranje kibernetičke sigurnosti kao rizične kategorije, značilo bi ignorirati ozbiljne rizike koje predstavljaju kibernetički napadi.
Razmatranje spomenutih smjernica prilikom procjene kibernetičke sigurnosti u postupku dubinskog snimanja trebalo bi zaštititi preuzimatelja od rizika koje kibernetički napad može predstavljati za transakciju preuzimanja, dok bi se poznavanjem takvih činjenica, preuzimatelj nalazio u boljoj poziciji da strukturira konačni sporazum te u potpunosti ublaži identificirane rizike.