При сливания и придобивания на фирми първият месец след началото на процедурата е най-рисков за дигиталната защита, когато всички екипи са в неизвестност и очакване
(графика: CC0 Public Domain)
Неудобният период след приключване на сделка по придобиване и преди придобитата фирма да бъде напълно интегрирана в придобиващото предприятие – това е моментът, когато то се превръща в основна цел на кибернападателите, казват експерти. Дилемата e: трябва ли предприятията рязко да съкратят този период или да засилят защитата на новото звено?
Опасността е отчасти технологична и отчасти психологическа. По време на този преходен период, който може да продължи от няколко месеца до повече от година, защитата на новопридобитата организация почти винаги се влошава, коментират специалистите по сигурност. Те посочват три различни причини за отслабването на киберсигурността.
Три причини за отслабване на киберзащитата
Страхът от надграждане или закупуване на нови технологии за сигурност е една от водещите причини за повишения риск. Мениджърите се колебаят да инвестират, защото не знаят какво ще реши новата компания-майка и не искат да губят пари.
Талантливите специалисти по сигурността са склонни да напускат, заедно с най-добрите хора във всяко бизнес-звено. Те се притесняват да не бъдат съкратени. Затова приемат всякакви оферти, които могат да намерят на пазара на труда. Картината се усложнява от факта, че ръководството се колебае да замени някои от тези хора, докато не бъдат взети решения за интеграция.
Разсейването е трети фактор. Докато не бъдат взети решения за съкращения и интеграция, служителите са разсеяни и нервни. Това ги прави по-податливи на измама от страна на атакуващи, които искат да откраднат пари, интелектуална собственост и идентификационни данни.
Огромен проблем
Комбинацията от загуба на таланти, технологични забавяния и нервни и разсеяни служители създава „перфектната буря“ за нападателите, казва Крейг Хофман, съ-ръководител на националния екип за консултации по дигитален риск и киберсигурност на адвокатската кантора BakerHostetler. Към тези три предпоставки следва да добавим мощта на атаките с майсторски фалшификации, изработвани почти съвършено с помощта на алгоритми с изкуствен интелект. Те работят добре в ситуацията с придобиване на ново предприятие, защото служителите на придобитата фирма традиционно не са добре запознати с овите си ръководители. Така потенциалът за подвеждане на служителите, включително и за да извършват измамни банкови преводи, става значителен.
„Повечето нападатели са опортюнистични. [Служителите на придобитата компания] виждат организационна латентност, докато чакат да видят какво ще поиска от тях новият собственик“, каза Хофман. След това тези служителите в придобитата фирма си казват: „Не искам да купувам нов [инструмент за сигурност], ако в крайна сметка ще трябва да използваме инструмента [на придобиващата компания]. Няма да надграждам, ще акам да видя какво ще стане.“
Съветите на експертите
Различни специалисти по киберсигурност, включително бивши CISO на предприятия, споделят, че са наблюдавали зачестяване на този проблематичен модел през последните години. Това, по което обаче не са съгласни, е как следва да се справим.
Фриц Жан-Луи, главен съветник по киберсигурност в Info-Tech Research Group, казва, че съветва сливащите се фирми да „ускорят интеграцията колкото е възможно повече. Оставянето на техническите екипи в неизвестност е рисковано начинание.“
„Не можете да си позволите да бавите извършването на този анализ. Трябва да направите проверка и адаптация възможно най-скоро“, каза Жан-Луи.
Стив Залевски, бивш CISO в Levis Strauss, е заемал и висши позиции по киберсигурност в Pacific Gas & Electric и Kaiser Permanente. Днес той е съветник по киберсигурност в S3 Consulting. Като CISO той е ръководил компании през процеса на придобиване. Той оприличава сливанията на брак между съпрузи, всеки от които има своя дълга лична история. Нужно е двамата да си създадат план за безопасно обвързване и целенасочено управление на новите рискове. Това може да означава, че един от двамата ще трябва да приеме „всички глупости“, които другият е правил в миналото и върху които няма как да има контрол. „Това е уреден втори брак, при който и двете страни имат много история – съответно и двете страни идват с много багаж“, каза той.
Друг бивш CISO, Майкъл Лайнс, е ръководил операциите по киберсигурност в PWC, TransUnion и FICO. В момента той е директор на доставчика на киберсигурност Heuristic Security. Оприличава киберзащитата на „опашката на кучето“ при придобиването. Казва, че на това се обръща внимание доста късно в процеса на сливането и че всеки от ръководителите по киберсигурността от двете страни е в позиция на изчакване, защото се води от негласно споразумение „да не клати лодката“ при придобиването.
Повече от всичко друго решаването на проблема се нуждае от по-добра комуникация, добавя главният изпълнителен директор на Beauceron Security Дейвид Шипли. „Важно е да има яснота относно очакванията“, каза той. „Задайте стандарта и премахнете несигурността“, защото несигурността и стресът са това, което прави тези атаки да работят.