MampA中的网络安全：忽视风险的代价

关键要点

在并购MampA中忽视网络安全可能导致严重的安全漏洞、财务损失和运营中断。本文将探讨在并购交易中需要关注的网络安全关键领域及其潜在风险。

当一家大型公司宣布收购另一家公司时，通常被视为一种财务交易。然而，合并与收购MampA过程远比这复杂，它可以揭示双方企业的各个方面。在急于达成交易的过程中，有一个历来被忽视但对任何MampA交易至关重要的领域，那就是网络安全。

这尤其重要，因为被收购的组织通常较小，可能缺乏必要的网络安全资源来确保其安全。一项由Cynet进行的调查显示，小型网络安全团队面临的攻击风险高于大型企业。

德勤澳大利亚的风险咨询合伙人Ian Blatchford表示：“我认为MampA过程相对容易理解，财务建模和尽职调查也做得相当好。但对网络尽职调查的关注明显不足。通常对网络风险的关注仅限于系统运行的表面和潜在的风险评估，从而沦为一份检查清单，位于MampA活动清单的底部。”

然而，KPMG澳大利亚的网络安全领导合伙人Gergana Winzer认为，近年来不同行业对网络安全的重视有所增加。她表示，突发的重大安全事件提高了企业对网络安全重要性的意识。

Gartner报告指出，到2025年，将有60的组织在进行MampA活动时将网络安全风险作为主要考虑因素。

Winzer告诉CSO：“因此，即便是一些中小型企业即使没有庞大的网络预算也开始意识到需要建立控制措施，必须有良好的技术安全态势，以及网络安全的成熟度，以在市场上保持竞争力，甚至生存下去。”

未在MampA交易中考虑网络安全，正如Winzer所说，就像在没有后视镜的情况下盲目驾驶。“你可以很容易地受到攻击，成为网络攻击者的目标。一旦发生攻击，可能面临的是业务运营中断，难以尽可能高效地运作，同时还会遭受财务损失。”她解释道。“此外，这还可能对职业健康与安全产生具体影响。例如，视具体组织和行业而定，在医疗行业，这可能影响到患者及需要重要支持的人群。”

CISOs在MampA过程中应关注哪些领域？

MampA带来的网络安全风险可能会干扰CISOs的决策过程。来自主要咨询公司的专家们分享了一些CISOs应该关注的主要风险，并确保他们的CEO和董事会在交易开始前对此保持充分了解。这些风险包括确保技术和治理的现状，检查所有第三方协议及服务是否符合必要的网络安全要求，警惕网络犯罪分子的机会主义，以及警惕潜伏攻击者的存在。

技术和治理可能不够完善

CyberCX金融服务负责人Shameela Gonzalez指出，合并两种不同技术堆栈时存在明显风险。“理解合并和整合过程中可能产生的风险是非常重要的，同时还要确保在整合了全新的技术堆栈后，依然能保持作为独立实体时的安全覆盖。”她指出，其中一家公司可能在网络安全态势上优于另一家公司。

2018年末，万豪酒店连锁在收购喜来登后宣布其预订系统被入侵。调查显示，万豪在收购喜来登之际，继续使用继承来的IT基础设施，且这些基础设施在被黑客攻击时尚未被清理。最终，约339亿的用户记录，包括信用卡和护照信息，被泄露。

Gonzalez还提到，合并的公司在