Dijital Risk İzleme çözümlerinin birleşme ve satın almalarda artan rolü

   Ekim 3, 2023  Posted in CyberDefenseMagazine


Risk Sermayesi Firmaları ve Satın Alan Şirketler: Kör Nokta

Yazan: Kaustubh Medhe, Başkan Yardımcısı, Araştırma ve Tehdit İstihbaratı

Birleşme ve Satın Almalar (M&A), şirketlerin ölçeklenmesi, büyümesi, konsolidasyonu ve rekabet avantajı kazanması için ortak bir strateji haline geldi. Durum tespiti bu tür işlemlerin vazgeçilmez bir parçasıdır. Durum tespiti çalışmalarının çoğu, karmaşık finansal modellemeyi ve işin düzenleyici, yasal ve operasyonel yönlerinin değerlendirilmesini içerse de, çoğu zaman olması gerekenden çok daha az dikkat çeken alanlardan biri siber güvenlik ve veri gizliliğidir.

  • Durum Tespiti Boşlukları: Geleneksel durum tespiti süreçleri mali denetimleri ve pazar araştırmalarını içerebilir ancak siber güvenliğe yeterince odaklanma eğiliminde değildir. Bu gözetim, firmaları daha sonra mali ve itibar açısından olumsuzluklara yol açabilecek tanımlanamayan risklere karşı savunmasız bırakıyor.
  • Potansiyel risk: Bunun göze çarpan bir örneği Verizon’un, Yahoo’yu satın alması sırasında Yahoo’nun sistemlerinde büyük bir veri ihlali keşfettiğini ve bu durumun Yahoo’nun satış fiyatında 350 milyon dolarlık bir düşüşe yol açtığını gösteriyor. Bu, siber güvenlik olaylarının, satın alan şirket için, davalara ve düzenleyici işlemlere kadar uzanan ciddi sonuçlar doğurabileceğinin dikkate değer bir örneğidir; bir birleşme veya satın alma sırasında bu tür olayların gün ışığına çıkmasının itibar üzerindeki etkisinden bahsetmeye bile gerek yok.
  • Kötü Uygulamaların Maliyetleri: Ortalamanın altında siber güvenlik önlemlerine sahip bir firma satın alındığında veya daha büyük bir kuruluşla birleştiğinde, bu kuruluşu uyumluluk ve düzenleme standartlarına getirmenin maliyeti genellikle hem zaman alıcı hem de pahalıdır.

Veri İhlallerinden Etkilenen Birleşme ve Satın Alma Örnekleri

Birleşme ve Satın Almalar (M&A) alanı, siber güvenliğin artan rolü sayesinde şirketlerin değerlendirilmesinde sarsıcı bir değişime tanık oldu. Tek bir veri ihlali, bir satın almanın ortasında bir şirketin mali ve itibar durumunu derinden etkileyebilir ve bu da anlaşmanın yeniden müzakere edilmesine veya tamamen feshedilmesine neden olabilir.

Durum 1: Yahoo! ve Verizon: Düşen Değerlemenin Hikayesi

Verizon, Yahoo!’yu satın almaya karar verdiğinde 2016’da 4,83 milyar dolara, sanki cennette yapılmış bir anlaşma gibi görünüyordu; ta ki Yahoo! 500 milyondan fazla kullanıcıyı etkileyen önemli bir veri ihlali açıkladı. Duyuru bir domino etkisi yarattı: Verizon, anlaşmayı derhal yeniden müzakere etmeye çalıştı ve bu, Yahoo!’nun değerlemesinde 350 milyon dolarlık bir düşüşle sonuçlandı.

Değerleme Etkisi: Başlangıçtaki anlaşma 4,83 milyar dolar olarak belirlenmişti, ancak ihlalin açıklanmasının ardından Yahoo!’nun değeri 350 milyon dolar düştü. Bu, siber güvenlik açıklarının bir şirketin değerini nasıl tüketebileceğini gösteren bir örnek olay çalışmasıdır.

Vaka 2: Marriott-Starwood İhlali: Satın Alma Sonrası Kabus

Marriott International, 2016 yılında Starwood Hotels & Resorts’u 13,6 milyar dolara satın almıştı. Ancak birleşmeden iki yıl sonra 327 milyondan fazla konuğu etkileyen büyük bir veri ihlali ortaya çıkarıldı. Bu ihlalin izi Starwood’un çevrimiçi rezervasyon sistemine kadar uzanıyordu. Daha yakından yapılan bir inceleme, bilgisayar korsanlarının 2014’ten bu yana bu sistemlere yetkisiz erişime sahip olduğunu ortaya çıkardı.

  • Edinim Sonrası Komplikasyonlar: Bu keşif, toplu davalara ve GDPR kapsamında 124 milyon dolara kadar para cezası da dahil olmak üzere idari para cezalarına yol açtı. Bu, ihlal bildirimi, düzeltme ve grubun ihlali gidermek için uygulamak zorunda kaldığı ek siber güvenlik önlemlerinin uygulanmasına ilişkin masrafları bile hesaba katmıyor.
  • Finansal Riskler: Kriz yönetimi, güvenlik altyapısının iyileştirilmesi ve hisse fiyatlarındaki düşüş bir yana, para cezaları tek başına felakete yol açabilir.
  • İtibar Hasarı: Bu satın alma Marriott için bir itibar kabusuna dönüştü. Müşteri güveni erozyona uğradı ve bu güveni yeniden tesis etmek zorlu bir mücadeleye dönüştü.

Durum 3: Facebook, TikTok’un öncülünü satın almaktan vazgeçiyor

Sosyal medya fenomeninin selefi TikTok – Musical.ly’nin satın alınması için Facebook ile görüşmeler sürüyordu. Kısa biçimli video içeriğinin popülaritesinin artmasıyla birlikte Facebook, bu birleşme ve satın alma anlaşmasının sorunsuz bir şekilde gerçekleşmesi konusunda son derece istekliydi. Ancak müzakereler sırasında birçok sorun ortaya çıktı:

  • Kolluk Kuvvetleri Tarafından Yapılan Soruşturma: Musical.ly’nin ana şirketi ByteDance’in, ulusal güvenlik endişeleri ve platform tarafından uygulanan tartışmalı sansür politikaları (kendi ülkelerindeki ÇKP düzenlemelerine uygun olarak) nedeniyle Amerika Birleşik Devletleri’ndeki Yabancı Yatırım Komitesi (CFIUS) tarafından soruşturma altında olması nedeniyle Çin ülkesi), Meta (o zamanki Facebook), iki firmanın değerleri ve sansüre yaklaşımı arasında uyumsuzluk ve uyumsuzluk olduğunu belirterek anlaşmadan çekildi.
  • ABD mevzuatına ve düzenlemelerine uyum eksikliği: Buna katkıda bulunan bir diğer önemli faktör, ABD’li kullanıcıların platformdaki veri güvenliğine ilişkin garantilerin bulunmamasıydı; bu da, söz konusu hassas kimlik bilgilerinin sızdırılması veya kötüye kullanılması durumunda Facebook’un da suçlanmasına neden olacaktı.
  • Olası yasal işlem ve inceleme: Musical.ly ve TikTok’un ana şirketi ByteDance, kullanıcının izni olmadan büyük miktarda veri toplandığı ve bu verilerin Çin’deki sunucularında saklandığı ve tüketici ve veri gizliliği yasalarını ihlal ettiği iddiasıyla toplu davaya maruz kaldı.

Daha Geniş Etkiler: Finansal ve İtibar Riskleri

Bu vakaların üçü de, siber güvenliğe veya veri gizliliğine işin diğer yönleriyle karşılaştırıldığında aynı düzeyde ciddiyet verilmediği birleşme ve satın alma işlemlerindeki potansiyel finansal ve itibar risklerini vurguluyor.

  • Finansal Riskler: Düşen hisse senedi fiyatları, cezalar ve hasar kontrolünün maliyeti, normalde kârlı olan bir satın almayı hızla mali bir yüke dönüştürebilir.
  • İtibar Riskleri: Müşteri güveninin kaybının yeniden kazanılması yıllar alabilir ve hatta potansiyel iş ortaklıkları ve anlaşmaları caydırarak gelecekteki büyüme beklentilerini etkileyebilir.
  • Uyum eksikliği: Satın alınan firma, ana şirketin ülke veya küresel gizlilik yasalarının belirlediği düzenlemelere uygun değilse veya daha da kötüsü hukuki savaşlara karışmışsa, bu, satın alan firma üzerinde yalnızca olumsuz bir etki yaratabilir. Siber güvenlik yasa ve düzenlemelerine uyum, birleşme ve satın alma değerlendirmelerinde benzersiz bir önem kazandı. GDPR, CCPA ve HIPAA gibi yeni yasaların katı doğası göz önüne alındığında, uyumsuzluğun maliyeti felaket olabilir.
  • Cezalar: Uyumsuzluk, yeni birleşen kuruluşun mali istikrarını önemli ölçüde etkileyen cezalara yol açabilir. Örneğin British Airways, bir birleşme ve satın alma anlaşmasını ciddi şekilde etkileyebilecek bir faktör olan veri ihlali nedeniyle 230 milyon dolar para cezasına çarptırıldı.

Dijital Risk İzleme Çözümlerinin Rolü

Çoğu VC firması, potansiyel bir satın alma hedefinin siber güvenlik durumunu değerlendirmek için hala kontrol listeleri, anketler ve seviye çubuğu denetimleri veya görüşmeleri kullanma konusunda eski ve verimsiz yöntemlere güveniyor. Bu tatbikatlar, büyük ölçüde öz beyana dayalı ve durum tespiti yapan firma tarafından pratik olarak doğrulanamayan iddialar olduğundan, kuruluşun gerçek siber güvenlik duruşunu ve riskini değerlendirmede tamamen etkisizdir.

Dijital risk izleme çözümleri, gizli riskleri ortaya çıkarabilecek ve anlaşma yapıcılara karar vermede yardımcı olabilecek daha derin görünürlük ve eyleme dönüştürülebilir istihbarat sağlayarak firmalara bir cankurtaran halatı sunuyor. Bu çözümler, siber güvenlik durum tespitinin hayati bir parçasını oluşturan hem karanlık ağı hem de yüzey ağını tarayarak kuruluş hakkında geniş kapsamlı bilgi sağlar.

  • Risk İzleme: Gerçek zamanlı dijital risk izleme çözümleri, hedeflenen satın almayla ilgili potansiyel tehditleri ve açıkları belirlemek için çok miktarda veriyi inceler. Hiçbir güvenlik açığının gözden kaçmamasını sağlamak için 7/24 çalışırlar.
  • Verilerin Etkisi: Bu tür gerçek zamanlı veriler sayesinde şirketler satın alma konusunda daha bilinçli kararlar alabiliyor. Örneğin, daha iyi anlaşmalar müzakere edebilir veya birleşmeyi sonuçlandırmanın bir koşulu olarak siber güvenlik iyileştirmeleri isteyebilirler, hatta satın alma sonrası güvenlik duruşunu güçlendirmek için beklenen harcamalar için bütçe ayırabilirler.
  • Araç yetenekleri: Dijital risk izleme çözümleri, bir veri ihlalinin veya veri ihlalinin göstergesi olabilecek tehditler, güvenlik açıkları ve yaklaşan saldırılar hakkındaki bilgileri belirlemek için çeşitli web sitelerini, sosyal medya platformlarının yanı sıra karanlık web forumlarını, siber suç forumlarını ve pazar yerlerini sürekli olarak tarar. kuruluş için ciddi sonuçlar doğurabilecek bir maruziyet.

Bu platformlar, yatırımlarının siber dirençli olmasını sağlamak için bu platformdan yararlanabilen Risk sermayesi şirketleri ve satın alan şirketler için birleşik bir dış tehdide maruz kalma yönetimi hizmeti sağlar.

  • Entegrasyon: Bu araçlar, daha büyük iş zekası veya güvenlik izleme ekosistemlerine ve olay yönetimi sistemlerine sorunsuz bir şekilde entegre edilebilir ve durum tespiti sürecinde kullanım kolaylığı ve veri yorumlamanın sürekliliğini kolaylaştırır.
  • Tedarik Zincirlerine ve Üçüncü Taraflara Odaklanma: Bu tür platformlar, izleme işlemlerini kuruluşların üçüncü taraf satıcılarına ve tedarik zincirlerine kadar genişleterek kullanıcılara üçüncü taraf risk yönetimi yetenekleri de sağlar.
  • Maliyet-Fayda Analizi, birleşme ve satın alma öncesi müzakereler ve birleşme sonrası yönetişim: Çok sayıda birleşme ve satın alma işlemi, çok az manuel müdahale veya yapılandırma ile geniş ölçekte başarılı bir şekilde gerçekleştirilebilir; bu, VC ve PE şirketlerinin portföy şirketleri için siber güvenlik riskinin yanı sıra daha adil, risk müzakerelerine yardımcı olmak için potansiyel satın alma hedeflerine ilişkin kuş bakışı bir görünüm elde etmelerine olanak tanır. – Herhangi bir birleşme ve satın alma eyleminin doğru bir maliyet-fayda analizini sağlayarak anlaşmaların fiyatlarını ayarladık.
  • Düzenleyici kurumlara uygunluğun sağlanması: Bu tür platformlar aynı zamanda çeşitli düzenleyici otoritelerin uyumluluk düzenlemeleri ve ISO 27001’den GDPR gerekliliklerine kadar uzanan gerekliliklerle de uyumludur.

Son düşünceler

Siber tehditler değişken, dinamik ve dayanıklı olduklarını gösterdi. Yeni teknoloji ve otomasyonun, mobil ve bulutun benimsenmesi nedeniyle saldırı yüzeyi genişledikçe bunların artması bekleniyor.

Birleşme ve satın alma işlemleri karmaşık ve çok yönlü olup pek çok bilinmeyen ve risk içerir; siber güvenlik bu “bilinmeyen” içinde çok büyük bir rol oynar. VC ve PE firmalarının, belirsizlikleri daha iyi yönetmelerine yardımcı olmak için dijital risk izleme platformlarından yararlanarak siber güvenlik durum tespitini gerçekleştirmenin artan öneminin farkında olmaları gerekir.

yazar hakkında

Dijital Risk İzleme çözümlerinin birleşme ve satın almalarda artan rolüKaustubh Medhe, Cyble’da Araştırma ve Tehdit İstihbaratından Sorumlu Başkan Yardımcısıdır. Bilgi güvenliği danışmanlığı, denetim, dolandırıcılık riski yönetimi ve siber savunma operasyonlarında 20 yılı aşkın deneyime sahip bir güvenlik ve gizlilik lideri.

Cyble’da dünya çapındaki müşteriler için Araştırma, Müşteri Başarısı ve Siber Tehdit İstihbarat Hizmetlerini yönetmektedir.

Kaustubh, CISM (ISACA) sertifikalıdır ve Bilgi Gizliliği Üyesidir (IAPP) ve CIPP/E ve CIPM kimlik bilgilerine sahiptir.

Kaustubh, Hindistan, ABD, Asya Pasifik ve Orta Doğu’daki bankacılık, sigorta, perakende ve petrol ve gaz endüstrilerindeki en büyük müşterilerin bazıları için bilgi riski yönetimi programlarını yürütmüş ve yönetmiştir.

Cyble’a katılmadan önce Kaustubh, 250.000’den fazla çalışanı ve 50.000’in küresel olarak dağıtılmış varlığı (şirket içi ve bulut) ile dünyanın en büyük holdinglerinden biri için Reliance Industries’de tehdit istihbaratı özellikli bir siber savunma merkezinin kurulmasında ve faaliyete geçirilmesinde etkili oldu.

Geçmişte Kaustubh, Paladion (şimdi ATOS) ve Happiest Minds Technologies gibi küresel yönetilen güvenlik hizmetleri sağlayıcılarıyla ilişkiliydi ve burada Siber Güvenlik ve SOC Uygulamalarını yönetti. Kariyerinin ilk yıllarında Kaustubh, KPMG BT Risk Danışmanlığı Uygulaması’nda çalıştı ve burada BFSI, Üretim ve IT-ITES sektörlerindeki müşteriler için bilgi güvenliği danışmanlığı ve denetim görevlerinin yönetilmesinde ve yürütülmesinde yer aldı.

Kendisine [email protected] adresinden ulaşılabilir.



Source link