מחקר חושף חשש גובר בארגונים מנושאי אבטחת סייבר בתהליכי רכישה ומיזוג
מאת:
מערכת Telecom News, 22.7.19, 15:30
המחקר הקיף כ-2,800 מקבלי החלטות ב-IT ועסקים, ובחן את הדאגה הגוברת בנושא סיכוני סייבר ואת החשיבות של הערכת סייבר במהלך מיזוגים ורכישות ותהליכי האינטגרציה שבעקבותיהם.
פורסקאוט טכנולוגיות, חברת אבטחת המידע העוסקת בתחום
device visibility and Control, חשפה תוצאות סקר סיכוני סייבר של רכישות ומיזוגים (
M&A). המחקר, "
תפקיד אבטחת הסייבר בבדיקות נאותות של מיזוגים ורכישות" התבסס על סקר, שנערך בתקופה שבין ה-20 בפברואר ל-10 במרץ 2019 בהזמנת פורסקאוט.
התוצאות מתבססות על 2,779 תשובות של מקבלי החלטות
IT ומקבלי החלטות עסקיים לרוחב מגוון תעשיות בארה"ב, צרפת, בריטניה, גרמניה, אוסטרליה, סינגפור והודו. כדי להיכלל בסקר, נדרשו המשיבים להיות מועסקים במשרה מלאה, בתפקיד מנהל בכיר ומעלה, ולהיות מקבל החלטות ראשי בתהליכי רכישות
IT או להיות מעורב באסטרטגיית מיזוגים ורכישות. המחקר בחן את הדאגה הגוברת בנושא סיכוני סייבר ואת החשיבות של הערכת סייבר במהלך מיזוגים ורכישות ותהליכי האינטגרציה שבעקבותיהם.
על פי המחקר, 53% מהנשאלים דיווחו, שהארגונים שלהם נתקלו בבעיות או באירועים חמורים של אבטחת סייבר במהלך עסקאות מיזוג או רכישה ברמה, שהציבה את העסקאות בסימן שאלה. בעיות באבטחת סייבר, שנחשפות לאחר השלמת עסקה, מייצגות סיכון משמעותי, שצריך היה להיכלל במשא ומתן על העסקה, או שצריך היה להוביל לביטולה. לאחר השלמת רכישה. 65% מהרוכשים חשו חרטה על ביצוע העסקה בעקבות חששות הקשורים לאבטחת סייבר.
ממצאים מרכזיים נוספים בסקר:
- ביצוע הערכה נאותה של מצב אבטחת הסייבר אורך זמן, בעוד שתהליך הרכישות והמיזוגים הוא לעיתים קרובות קצר יותר. עסקאות רבות נמצאות במירוץ כדי להגיע לקו הסיום. רק36% מהמשיבים הסכימו, שצוות ה-IT שלהם קיבל את הזמן הנדרש בטרם השלמת הרכישה כדי לסקור את מלוא ההתקנים, התהליכים והפרוטוקולים של אבטחת סייבר.
- נדרש מיקוד גדול יותר על אבטחת סייבר במהלך רכישות ומיזוגים. 81% ממקבלי ההחלטות מציינים, שהם שמים דגש רב יותר על מצב אבטחת הסייבר של החברה הנרכשת מאשר בעבר. הסייבר הופיע בעדיפות גבוהה גם בקרב מקבלי החלטות IT וגם בתחום העסקי.
- מכשירים מרושתים וטעויות אנוש מציבות ארגונים בסיכון. כאשר הם נשאלים מה מציב ארגונים ברמת הסיכון הגבוהה ביותר תוך כדי תהליכי IT, 2 תשובות בולטות במיוחד: טעויות אנוש והגדרות חלשות (51%), ומכשירים מרושתים (50%). לעיתים קרובות מתעלמים ממכשירים ומחמיצים אותם במהלך אינטגרציה: 53% ממקבלי ההחלטות ב-IT אומרים, שלאחר השלמת האינטגרציה של רכישה חדשה הם מצאו מכשירים שלא מופו, כולל מכשירי IoT ו-OT.
- צמיחה בהיקף בעיות אבטחת הסייבר. יותר מ-53% מהנסקרים דיווחו, שהארגון שלהם זיהה בעיית אבטחת סייבר או אירוע חמורים במהלך עסקה, שהעמידו את העסקה בסיכון. עבור חברות רבות, גם דליפות נתונים, שלא דווחו, הפכו לגורם העלול לפרק עסקה. 73% מהמשיבים הסכימו, כשל פי אסטרטגיית המיזוגים ורכישות של החברה שלהם, חברה עם דליפת נתונים, שלא דווחה, היא עילה מיידית להפסקת ההתקשרות.
- צוותי IT פנימיים נעדרים לעיתים קרובות את היכולת לבצע הערכות סייבר. בקרב מקבלי החלטות ב-IT, רק 37% מסכימים מאוד עם הקביעה, שלצוותי ה-IT שלהם יש את הכישורים הנדרשים כדי לבצע את ההערכה הנדרשת לצורך רכישה. כתוצאה ממחסור ממשאבים, ארגונים חייבים להקצות משאבים חיצוניים לצורך ביצוע הערכות, או שהם לא יהיו מסוגלים להשלים הערכה מקיפה.
ג'ולי קוליוואן, סמנכ"ל טכנולוגיה, פורסקאוט: "מהלך של מיזוג יכול להוות נקודת מפנה בחיי חברה, אולם, אירועי הפריצות האחרונות, שהתפרסמו, מבהירים היטב את המשמעות של בעיות אבטחת סייבר, ובמיוחד בתהליך מיזוג ורכישה. אתה לא רק רוכש חברה, אתה רוכש גם את סטטוס אבטחת הסייבר שלה ואולי בדרך, גם סוס טרויאני.
ביצוע הערכה של מצב אבטחת המידע צריך לשחק תפקיד חשוב יותר בתהליכי
Due Diligence של רכישות ומיזוגים, כדי למנוע מצב בו אתה 'רוכש פרצה'. כמעט בלתי אפשרי להעריך כל נכס לפני חתימת עסקה, אבל חשוב לבצע
Cyber Due Diligence לפני הרכישה, ולהמשיכו לאורך כל תהליך האינטגרציה".
ג'ו קרדמון, אנליסט אבטחת מידע בכיר ב-
Hawoth: "רכישת חברה ללא
Cyberscurity Due Diligence היא כמו רכישה של מכונית יד שניה תוך הסתמכות על המוכר המבטיח, שהרכב במצב טוב.
"חברה לא אמורה לתת אמון אוטומטי בהיגיינה של נכסי ה-
IT. חיוני לקבל שקיפות מלאה אל כל המכשירים המרושתים ולקבוע האם הם מעודכנים ומוגדרים כראוי, והאם הם נקיים מקוד זדוני".
הדו"ח המלא (ללא צורך ברישום) - כאן.