מערכות המידע, הידע הצבור בהן ויכולתם של ארגונים לשמר ולנהל מערכות אלו בצורה הטובה ביותר' הם אחד מהנכסים החשובים ביותר של ארגונים כיום. טכנולוגית המידע וכן טכנולוגיות התומכות בתהליכי הייצור בארגונים תעשייתיים, הם תשתית חיונית לכל פעילות עסקית מודרנית. יכולת הארגון להגן על נכסים אלה נמצאת בשנים אחרונות במרכזן של מתקפות סייבר חוזרות ונשנות. ככל שתדירות ועוצמת מתקפות הסייבר גוברת, כך בחינת רמת הגנת הסייבר של הארגון מהווה פקטור מהותי בתהליך בדיקת נאותות של חברה בתהליך מיזוג ורכישה. התעלמות מבחינה כזו עשויה להוביל להוצאה כבדה ובלתי מתוכננת של הרוכש לאחר הרכישה ועלולה להשפיע מהותית על ערך הנכס הנרכש. מערכות הגנת הסייבר הארגוניות נדרשות לתחזוקה שוטפת הכוללת בחינה מדוקדקת של התאמתן למפת הסיכונים המשתנה על מנת להקטין את הסיכוי לפגיעה ולשפר את זמן הזיהוי, התגובה וההתאוששות מאירוע מהותי.
זיהוי איומים, בחינת ההון האנושי
בתהליך בדיקת הנאותות, יש לזהות נקודות תורפה ואיומים משמעותיים, שעלולים להוביל להוצאות בלתי צפויות בעתיד, ולאתר סיכונים, שעלולים להיות בעלי השפעה עסקית משמעות. בתהליך בדיקת נאותות סייבר ישנם מספר עקרונות מפתח שיש לעקוב אחריהם. אחד העקרונות המרכזיים הוא הגדרת הגבולות הטכנולוגיים בהקשר של הטכנולוגיות המהותיות, שתומכות בפעילות העסקית. ברוב המקרים, תהליך בדיקת הנאותות יכלול הערכה של סביבת הבקרות הטכנולוגיות, תוך שימוש בכלי תוכנה ייעודיים כדי להגיע לוודאות מסוימת שאין איומים רדומים ברשת. כלומר, בחינה האם מערכות המחשוב של הארגון לא נפרצו כבר והן נמצאות תחת "מתקפה שקטה", כדוגמת זליגה של מידע מהארגון ללא ידיעתו - מצב שעלול להפוך לאחר ביצוע הרכישה לפעיל ואקוטי ולייצר נזק לרוכש כדוגמת נזק תדמיתי או תשלום קנסות.
היבט חשוב נוסף בבחינת הנאותות הוא יכולתו של ההון האנושי, שאמון על הארגון מבחינה ניהולית ועסקית וכן על ניהול מערכות הארגון, להגיב, לנהל משבר ולצמצם את חלון הנזק. מערך ניהול הגנת הסייבר צריך לכלול אנשים מתחום הגנת הסייבר ומערכות מידע. כמו כן, הבחינה צריכה לכלול גם צוותים חיצוניים תומכים כגון צוותי ניטור חיצוניים (Security Operations Center / Managed Detection and Response), צוותי התערבות וניהול משברים, צוותי חקירה פורנזית, ייעוץ משפטי, ייעוץ תקשורת ועוד. כל אלה יהיו מעורבים בניהול ההתמודדות עם משבר או אירוע סייבר.
חשיבות רבה בבדיקת הנאותות יש לתת גם למוכנות להתמודדות עם איום סחיטה (Ransom Attack) ואיום הקשור בשרשרת האספקה, שיכול להגרם דרך ספקים בשרשרת האספקה שיש להם מידע על הארגון, או מספקים שירותי IT, ובהם גם שירותי פיתוח ו/או אירוח של מערכות הארגון.
להתבסס על מתודולוגיה סדורה
למרות החשיבות ההולכת וגוברת של בדיקת נאותות סייבר, זו, אם בכלל כלולה בתהליך בחינת הנאותות, מהווה את החלק האחרון של תהליך בחינת הנאותות. מצב זה עלול ליצור לחץ על צוות הבחינה לספק תוצאות במהירות כדי לא להשפיע על העסקה ולכן מומלץ להעלות את רמת הקדימות לנושא זה ולתת לתהליך בדיקת נאותות הסייבר את הזמן הדרוש כדי לספק תוצאות איכותיות ויעילות, תוך הגדרת ציפיות ולוח זמנים מראש.
תהליכי בדיקת נאותות יוצרים בדרך כלל תוכנית תיקון/עבודה, כאשר חלק מהמשימות מתוכננות לביצוע טרם החתימה על העסקה וחלקן מתוכננות לתהליך האינטגרציה שלאחר העסקה. חלק חיוני בתהליך טמון ביכולת להעריך את המורכבות של משימות אלו אל מול בשלות הסייבר של שתי החברות. זאת כדי לקבל מושג לגבי העלות וההשלכות האחרות המשפיעות על תהליך האינטגרציה של החברה הנרכשת, עניין הנידון ומוסכם במסגרת המו"מ על הרכישה.
ככל האפשר, מומלץ להשתמש במתודולוגיה סטנדרטית לביצוע הערכת סיכוני הסייבר במסגרת תהליך בחינת הנאותות. הגנת הסייבר על הארגון לא הופכת אותו לבלתי חדיר למתקפות. הערכת הסיכונים המבוססת על מתודולוגיה סדורה תספק יכולת הבנה והשוואה של רמת ההגנה בארגון הנבחן מול ארגונים אחרים (Benchmark), תאפשר לתעדף את ההשקעות המבוצעות בהגנת הסייבר, לאמוד את הסיכון ולכמת את המשמעויות של אלה כדי שיילקחו בחשבון במסגרת העסקה המתגבשת.
שילוב יישום של מסגרת אבטחת הסייבר של NIST וההנחיות לארגונים של מערך הסייבר הישראלי עם ניתוח איומים עדכני, מאיר כמה מהנושאים המרכזיים שמוטל על כל הארגונים בישראל להתרכז בהם, כמו: מניעה, איתור ותגובה, ניהול אירועים ומשברים וניהול סיכונים של צד שלישי ; ולבסוף, ממשל תאגידי וציות. לנושאים אלו יש השלכות משמעותיות על רמת ההגנה הכוללת ובהכרח גם על תהליכי מיזוג ורכישה.
תמונת הסיכונים של העסק הנרכש
לסיכום, בחינת הגנת הסייבר של ארגונים הינה חיונית בתהליך בחינת הנאותות של ארגונים לקראת רכישה. כלים ותקנים מומלצים יכולים לספק אומדן לרמת ההגנה מול גופים מקבילים אחרים, ואבסולוטית מול תמונת הסיכונים של העסק הנרכש. בחינת הגנת הסייבר תיתן מושג על הסיכונים הנשקפים ומהי רמת ההגנה אליה הם נדרשים. הנושא דחוף ורלוונטי מאי פעם ולכן מומלץ לכלול את בחינת הגנת הסייבר לקראת רכישה בכל בחינת נאותות, תוך מתן דגש על לו"ז, היקף הבדיקה והרלוונטיות של נושאים ייחודיים לעסק הנרכש. בעולם מצטברות היום עדויות להשפעות אירועי סייבר על הערכת השווי של חברות. תמונת האיומים דינמית וממשיכה להשתנות. מומלץ ללמוד מהעבר ולהתייעץ עם מומחי הגנת סייבר להבין את גודל ההשפעה של סיכון זה על עסק שעומד בבחינת נאותות.
אופיר זילביגר הוא שותף ומוביל פעילות הסייבר הגלובלית ברשת BDO ומנהל מרכז הגנת הסייבר BDO ישראל. נועם הנדרוקר הוא שותף, מנהל פעילות ייעוץ סייבר גלובלי BDO ישראל
בשיתוף BDO
