Приобретающая компания должна узнать все, что она может, о методах обеспечения конфиденциальности и безопасности своей цели.
Корпоративные приобретения подобны покеру — у игроков есть только ограниченные возможности улучшить свои карты до того, как ставки закончатся. Когда одна компания приобретает другую, будь то в рамках дружественной сделки, продажи акций или активов в рамках банкротства или враждебного поглощения, результат один и тот же: покупатель делает ставку на конфиденциальность и безопасность приобретаемой компании.
Покупатель не только берет на себя ответственность за защиту приобретенной личной информации, но и несет ответственность за любые нарушения безопасности до приобретения. Оценить риски сложно, потому что зачастую у компании-эквайера мало возможностей оценить "карты", которые она не видит. Он не имеет представления о протоколах и методах кибербезопасности объекта. В дружественной сделке цель будет неохотно позволять любому "постороннему” изучать ее чувствительные "Секреты безопасности"; в рамках банкротства временные ограничения могут ограничить любую возможность для проверки; а при враждебном поглощении у покупателя не будет ни малейшего шанса изучить эти вопросы.
Результат: приобретение часто завершается тем, что приобретающая компания имеет мало знаний о протоколах конфиденциальности и безопасности объекта, типе данных, подлежащих защите, рисках, связанных с этими данными, о том, как объект использует данные или инструменты, которые он использует для защиты данных. Компания-эквайер может быть вынуждена играть в азартные игры с картами, которые ей были сданы, и в результате потери могут быть значительными.
Азартная игра
Правоприменительные действия, связанные с информационной безопасностью, составляют более 70% штрафов, выписанных органами ЕС по защите данных в соответствии с GDPR по состоянию на июнь 2020 года. Аналогичным образом, FTC ввела приказы о согласии — включая соглашение с Facebook на сумму $5 млрд, связанное с недостатками кибербезопасности, — и ввела строгие предписания об исправлении положения в отношении многих других компаний. Хотя CCPA обычно не поддерживает частное право на иск в отношении всех потенциальных убытков, Калифорнийское законодательство дает потребителям право требовать законного возмещения убытков за нарушения, вызванные плохой практикой обеспечения безопасности. Кроме того, существует постоянная угроза коллективного судебного разбирательства, основанного на федеральных законах и законах Штатов. Короче говоря, ставки для приобретающей компании высоки.
Комиссар по вопросам информации Великобритании Элизабет Денхэм подвела итог следующим образом: GDPR ясно дает понять, что организации должны нести ответственность за личные данные, которые они хранят. Это может включать проведение надлежащей должной проверки при совершении корпоративного приобретения и принятие надлежащих мер подотчетности для оценки не только того, какие персональные данные были приобретены, но и того, как они защищены.
Управление Комиссара информации (ICO) действовало последовательно с этой точкой зрения. В 2019 году он оштрафовал Marriott International примерно на $123 млн за нарушения безопасности данных, связанные с приобретением Starwood. Компания Marriott была привлечена к ответственности за нарушения безопасности, которые, вероятно, начались в Starwood group за два года до приобретения. Затем Marriott потребовалось еще два года, чтобы обнаружить нарушение — факт, который ICO рассматривало отрицательно, обнаружив, что «Marriott не проявила достаточную должную осмотрительность, когда она купила Starwood, а также должна была сделать больше для защиты своих систем».
В Соединенных Штатах компании-эквайеры также сталкиваются с последствиями утечки своих данных. В 2016 году Verizon договорилась о покупке Yahoo за $4,83 млрд. После первоначального соглашения стороны узнали, что Yahoo подвергалась нарушениям кибербезопасности, в результате которых произошла компрометация трех миллиардов учетных записей пользователей Yahoo в период с 2013 по 2016 год. Из-за этого нарушения цена приобретения была снижена более чем на $300 млн до $4,48 млрд, прежде чем Verizon завершила сделку в середине 2017 года. Впоследствии Verizon пришлось защищаться от коллективного иска, который она в конечном счете урегулировала, заплатив истцам $117,5 млн и обязавшись потратить $306 млн на информационную безопасность в период с 2019 по 2022 год.
Эти два примера наглядно показывают, что неспособность проявить должную осмотрительность и принять другие меры до завершения любого приобретения увеличивает шансы играть с некоторыми очень плохими картами.
Наблюдайте за игроками и картами
Точно так же, как успешный игрок в покер будет наблюдать за другими игроками, помнить о наблюдаемых фактах и понимать шансы, так и приобретающая компания должна узнать все, что она может о конфиденциальности и безопасности своей цели. Цель игрока в покер состоит в том, чтобы знать карты, которыми владеют другие игроки, и порядок карт, которые еще не были сданы — другими словами, иметь полное знание. К сожалению, это невозможно в покере или в приобретениях, где определение «разумных» методов кибербезопасности требует тщательного изучения фактов и серьезного юридического анализа.
Несмотря на эти ограничения, покупатель должен собрать как можно больше информации, и ему необходимо получить:
Данные всех ключевых игроков в области конфиденциальности и безопасности объекта, включая CIO, CPO, ИТ-директоров, сотрудников по защите данных и любого другого персонала, указанного в протоколе(протоколах) реагирования на нарушения конфиденциальности и кибербезопасности.
Протоколы конфиденциальности и безопасности объекта, планы реагирования и данные фактической практики.
Результаты полного криминалистического анализа компьютерных и сетевых систем объекта.
Любые предыдущие выводы и рекомендации по вопросам конфиденциальности и безопасности, независимо от источника.
Условия всех сторонних соглашений, связанных с передачей, хранением и безопасностью персональных данных или другой личной или конфиденциальной информации, такой как коммерческая тайна и финансовая информация.
Вся общедоступная информация, включая информацию в темной паутине, которая указывает на предыдущие нарушения кибербезопасности.
Детальный анализ унаследованных систем, которые могут быть приобретены в ходе транзакции, а также наличие необходимости или возможности для дальнейшего доступа.
Всесторонний юридический анализ соответствующих вопросов конфиденциальности и безопасности.
Хотя совершенное знание недостижимо, знание того, что представляет собой полное знание, может помочь приобретающей компании оценить ценность информации, которую она может собрать, и направлять ее практику после приобретения. Другими словами, покупатель может помочь себе сыграть ту колоду, которую он сдает. Кроме того, усилия по выявлению предыдущих нарушений кибербезопасности и потенциальных уязвимостей должны продолжаться и после приобретения.
Поэтому покупатель должен разработать план интеграции после приобретения, который фокусируется на вопросах конфиденциальности и безопасности, которые, как минимум, включают в себя:
Привлечение группы судебно-медицинского аудита для выявления, сбора и анализа системных лог-файлов целевой компании и завершения работы по сопоставлению данных.
Постоянное удержание, если это целесообразно, ключевых лиц, ответственных за кибербезопасность, из целевой компании.
Системный и целенаправленный подход к системной интеграции, который рассматривает не только то, как, но и почему системы должны быть интегрированы.
Постоянное привлечение юрисконсульта для консультирования по вопросам интеграции и конфиденциальности, а также рисков и обязательств в области безопасности.
Подсчет карт и хеджирование ставок
Возможно, лучший способ повысить шансы на приобретение с меньшим риском - это нанять независимого наблюдателя и юрисконсульта для проведения полной оценки и судебно-медицинского анализа компьютерных систем и сетей объекта, а также его программ обеспечения конфиденциальности и безопасности и подготовки отчета с выводами и рекомендациями (если таковые имеются). Такой подход дает много преимуществ. Это исключает любой риск того, что объект впоследствии может быть обвинен в искажении или сокрытии информации. Это гарантирует приобретающей стороне, что она не сдает карты с низкой стоимостью, когда на столе много денег. Наличие такой независимой оценки еще до начала любых переговоров также облегчит продажу компании, которая планирует выставить на рынок либо себя, либо подразделение. Действительно, хороший отчет может повысить конечную цену продажи.
Аналогичным образом, предварительное планирование может быть полезным в работе над банкротством. Компании имеют хорошие возможности для предвосхищения своих собственных заявок по банкротству. Учитывая короткие временные рамки, регулирующие процедуры реструктуризации, наличие уже готового отчета независимого наблюдателя может ускорить этот процесс и предотвратить риск возникновения сбоев в последнюю минуту. В отсутствие такой подготовки суду по делам о банкротстве может потребоваться назначить омбудсмена по защите прав потребителей для оценки практики обеспечения конфиденциальности и безопасности должника, что может привести к существенным задержкам в разбирательстве и потере стоимости компании.
Конечно, независимые оценки и отчеты не всегда доступны, и приобретающая компания должна сделать все возможное, чтобы защитить себя. Возможно, лучший способ - нанять собственного независимого оценщика и юрисконсульта, чтобы собрать как можно больше информации, а затем проанализировать фактические и юридические риски на основе имеющихся доказательств. Здесь независимость асессора и адвоката может быть особенно важна для защиты приобретающей стороны от любого «звездного» анализа истинного положения дел. Кроме того, соответствующие юридические консультации будут защищены адвокатской тайной, если будут приняты соответствующие меры предосторожности.
Если обстоятельства не позволяют использовать независимый монитор, приобретающая компания должна настаивать на оговорке о возмещении убытков или резервном фонде. Эти меры защиты должны конкретно и недвусмысленно охватывать потери конфиденциальности или безопасности, которые предшествуют завершению приобретения. Даже в тех случаях, когда проблемы вскрываются до завершения сделки, помимо (повторного)согласования окончательной цены приобретения, приобретающая сторона должна настаивать на возмещении ущерба за конфиденциальность и связанные с кибербезопасностью обязательства, которые остаются непокрытыми. Хотя такие договоренности неосуществимы при приобретении акций публично торгуемых компаний, они, вероятно, осуществимы, когда приобретение включает продажу активов или бизнес-единиц.
Наконец, хотя несколько лет назад полисы киберстрахования были редкостью, сегодня они превратились в надежную бизнес-линию. Предполагая, что предприятие имеет такое покрытие, его приобретение нового предприятия или направления деятельности должно потребовать пересмотра существующей политики и обновления, чтобы в достаточной степени покрыть потенциальные убытки, возникающие в результате сделки. Точно так же, если предприятие еще не инвестировало в такую защиту, приобретение нового предприятия или направления деятельности с потенциально существенными (по определению) и неизвестными рисками является идеальным временем для рассмотрения такой политики в сочетании с приобретением.
Корпоративные приобретения неизбежно порождают проблемы и открывают новые возможности. Они не должны представлять неизбежные риски конфиденциальности и безопасности для покупателя. Приобретения должны быть инвестициями, а не слепыми азартными играми.
Подготовлено порталом Allinsurance.kz