当一家大公司宣布收购另一家公司时，人们常常认为这只是一次金融交易。然而，并购过程比金融交易复杂得多，并且可以揭示所涉及的两家公司之间的各种问题。在急于完成交易的过程中，网络安全是历来被忽视但对任何并购交易至关重要的一个领域。

这一点尤其重要，因为被收购的公司通常规模较小，可能缺乏必要的网络安全资源来确保自身保护。 Cynet 此前的一项调查显示，小型网络安全团队比大型企业面临更大的攻击风险。

“我认为并购流程比较清晰，财务建模和财务尽职调查显然做得很好，”澳大利亚风险咨询合伙人伊恩对记者表示。 “我认为对网络尽职调查的关注不够。通常对网络尽职调查的关注不够。网络风险是对他们的系统如何运行以及我们需要承担的风险的非常粗略的审查......但它通常只是一个清单，并且在并购活动列表中的位置非常低。”

不过，毕马威澳大利亚网络安全主管认为，过去几年，企业在并购交易中对网络安全的重视程度有所增加。她认为，一些引人注目的安全漏洞有助于提高人们对网络安全重要性的认识。

报告指出，到2025年，60%的企业将网络安全风险视为进行并购的主要决定因素。

“因此，即使是我们认为属于中端市场的企业——那些没有大量网络安全预算的组织——也开始意识到他们需要适当的控制，他们需要有良好的网络安全态势，不仅仅是从技术角度来看，我们还必须拥有良好的网络安全成熟度，才能在市场上具有竞争力，甚至生存下去。”对记者表示。

如前所述，在进行并购交易时不考虑网络安全就像驾驶没有后视镜的汽车一样。她解释说：“你很容易受到攻击并成为网络攻击者的牺牲品，如果发生这种情况，风险就是尽可能高效地运营业务和运营公司，同时还会遭受破坏和财务损失。”补充道：“这也可能对职业健康和安全产生非常具体的影响。例如，根据商业和行业的类型，如果是医疗保健，可能会对患者和需要重要支持的人产生影响。”

CISO 在并购过程中应重点关注哪些领域？

并购会给 CISO 带来一些网络安全风险。来自领先咨询公司的专家分享了 CISO 应该了解的一些关键风险，并确保其首席执行官和董事会在开始该流程之前处于领先地位。其中包括确保技术和治理合规，以及审查所有第三方协议和服务以确保它们合规。必要的网络安全要求要警惕网络犯罪分子的机会主义行为并防范潜伏的攻击者。

技术和治理可能达不到标准

金融服务领导者表示，一个明显的风险是两家公司试图合并两种不同的技术堆栈。 “重要的是要了解合并和集成这些技术可能带来的风险，并确保在合并全新的技术堆栈时维持作为独立实体的覆盖范围。”她指出，其中一家公司在网络安全方面的态度可能比另一家公司更好。

一个突出的例子发生在 2018 年底，当时该公司在收购喜达屋两年后宣布其一个预订系统遭到黑客攻击。一项调查发现，万豪收购喜达屋后，继续使用继承的 IT 基础设施，但这些基础设施已被黑客入侵并感染了恶意软件。结果，大约 3.39 亿条客人记录（包括信用卡和护照信息）遭到泄露。

会议还指出，从治理角度来看，并购企业可能面临更大的网络风险。 “如何维持技术之外的治理和控制？网络风险管理不仅仅是一个技术问题。成熟且受到严格监管的企业在这一领域已经拥有相当丰富的经验，但那些没有经历过同样监管审查的企业可能会犯一个错误，他们认为，‘只要我购买一些网络工具，我就会安全’。”她说。

“但实际上，在并购中，你的治理可能比以往任何时候都更加重要，因为它是你的风险管理流程的优势，它是你的人员能力和流程能力的优势，可以识别那些你可能不会立即注意到灰色区域的事情。”

审查第三方协议

在并购交易中，不仅需要考虑两家公司的网络安全状况，还需要考虑第三方提供商的网络安全状况。据报道，在完成并购交易之前进行网络尽职调查时要问的常见问题包括所有第三方供应商是谁以及供应链中剩余的风险是什么。

最新报告显示，对受信任第三方的利用仍然是一个常见的安全问题。研究表明，98% 的企业与遭受攻击的第三方有联系。此外，29%的安全漏洞是由第三方攻击造成的。

“你可以粗略地假设大型企业在网络安全方面拥有资源和投资，因此网络攻击者在当今时代攻击它们并不容易，”他说，“但脆弱的第三方是网络攻击者进入大型组织的原因并造成同等程度的伤害 这是一种很好的破坏方式。”

警惕机会主义网络犯罪

此外，当一家公司公开其收购或合并意图时，这向网络攻击者发出了潜在的攻击机会。她认为，如果公司意识到这一点，就有机会采取主动的网络安全措施，而不是将网络尽职调查作为完成收购的先决条件。

“如果攻击者看到公开发布的消息，他们会对我们做出什么假设？大多数攻击者会做出的一个简单假设是，你的注意力不在工具上，你分心了，你的投资将集中在网络安全以外的事情上“最重要的是，”她说，“一旦你有了这种认识，你就可以真正做好准备，武装自己，抵御这种心态，并真正设置适当的障碍，防止网络攻击者利用这个机会。”

警惕潜伏的攻击者

她警告称，并购活动也是严重网络攻击的完美滋生地，并指出了她所处理的一个案例，其中一名网络攻击者“实际上在前一天渗透到了被收购的公司”。

“许多威胁行为者潜伏在企业内部，秘密地隐藏在您的网络中。他们正在了解您的业务和运营，并积累了有关您的大量信息...我们最不希望发生的事情是，当合并发生时，潜伏的威胁行为者正坐在其中一个实体中，然后您只需扩大他们的攻击面，”她说。

当然，在当今时代，任何企业几乎不可能始终将攻击者拒之门外。对公司的建议是确定他们愿意承担的网络风险水平。他说，该决定的一部分将涉及考虑发生攻击时可能的补救成本，以及收购公司在收购后将面临的合同义务。

“网络风险像任何其他风险一样需要关注，但如果处理不当，可能会产生一些相当严重的后果，”他说，“因此，如果我获得某样东西并且出现大规模数据泄露，谁将承担任何处罚以及随后可能采取的执法行动？通常情况下，当发现网络漏洞时，可能已经酝酿了数月。”

另一方面，对于被收购的公司来说，它指出改善其网络安全状况的重要性，并警告说，如果不这样做可能会危及公司的销售价值。最突出的例子之一是雅虎由于评估阶段的安全漏洞而导致其交易价格大幅削减 3.5 亿美元。

“网络风险绝对是一种谈判工具。最终，如果你是收购方，你就要承担某种风险，而对于这种风险，必须有溢价或成本。如果你必须这样做升级，你将不得不花钱，而这可能不会计入购买价格中，”说。