Риски кибербезопасности при покупке бизнеса: как устранить?

Хотя малый и средний бизнес сейчас переживают непростые времена, это не значит, что у него нет перспектив для развития. Политика импортозамещения призвана сделать сегмент МСБ партнёром крупных компаний.

Такое сотрудничество может упростить процесс производства запчастей и недостающих товаров промышленного назначения и потребительского спроса, переложив часть нагрузки крупного бизнеса на небольшое предприятие. Помимо распределения нагрузки на производство, покупка бизнеса может ускорить выход на рынок.

Например, предприниматель может приобрести салон красоты с наработанной клиентской базой, что может помочь быстрее обеспечить прибыльность предприятия.

Покупка компании может подойти тем, кто хочет сам управлять своим делом, но не готов тратить время на запуск бизнеса с нуля. В организации, созданной какое-то время назад, обычно уже есть устоявшиеся процессы, клиентская база и обученный персонал. 

Читайте также:

Как в Гарварде учат не открывать бизнес, или кто такие купиталисты

Где купить готовый бизнес: 18 площадок

В то же время покупателю компании необходимо предвидеть риски, связанные с её покупкой, и провести дью-дилидженсангл. due diligence — «комплексная юридическая оценка» — проверить многие аспекты бизнеса, непосредственно связанные с его потенциальной доходностью. Это важно и, в принципе, редко упускается из виду — потенциальные покупатели интересуются финансовыми показателями компании, юридическими вопросами и действующими контрактами.

Однако есть еще одна область, требующая внимания при оценке перед покупкой, поскольку она также может повлиять на прибыльность бизнеса в будущем. Речь идет о кибербезопасности компании.

План «А» 

Уровень кибербезопасности компании можно выяснить с помощью аудиторов, привлекающих для тщательной проверки специалистов с опытом в определенных бизнес-процессах. Можно также запросить отчет о недавнем аудите, проведенном в течение года, который компания проводила собственными силами или при помощи сторонних специалистов.

Эти методы надежны, но не всегда выполнимы в случае с малым бизнесом. У организаций в начале пути развития не всегда есть бюджет на дополнительные меры кибербезопасности, что снижает вероятность того, что текущий владелец провел специальную оценку бизнеса.

У потенциального покупателя также может не быть ресурсов для найма высокооплачиваемых специалистов, особенно если приобретаемый бизнес не ассоциирован с повышенными рисками кибербезопасности.

С чего начинать

Если вы не можете заказать профессиональный аудит «под ключ», есть способы проверить киберустойчивость организации и определить, какие действия необходимо предпринять, чтобы выявить пробелы.

Прежде чем планировать дальнейшие действия, покупателю стоит определить наиболее ценные активы компании, которые необходимо защитить. Например, основной актив интернет-магазина — это сайт, через который он продает свои товары. Покупателю такого бизнеса нужно провести тщательную проверку веб-ресурса на уязвимости.

Подобный анализ выполняется с помощью специальных инструментов сканирования — они помогают обнаружить известные уязвимости. Кроме того, специалисты проводят ручной анализ кода, чтобы найти ошибки, которые может пропустить сканер.

Можно попросить внутреннего IT-специалиста провести такой анализ, привлечь сторонние организации по кибербезопасности или фрилансеров, которые могут проверить сайт по разумной цене. Не забывайте, что подобная оценка уровня безопасности должна проводиться регулярно.

Например, для небольшого цветочного интернет-магазина основными ИТ-активами могут быть веб-сайт и клиентская база. Поэтому, если вы покупаете такой бизнес, не забудьте задать предыдущему владельцу в том числе следующие немаловажные с точки зрения ИБ вопросы: кто имеет доступ к сайту с правами администратора и редактора, где хранятся пароли (их необходимо сразу же сменить) и кто занимается его техподдержкой.

Кроме того, важно узнать, на каком хостинге размещен сайт, и уточнить, какая репутация у хостинг-провайдера. Например, если у него в последние годы происходили инциденты информационной безопасности, стоит подумать про смену хостинга.

Узнайте, какие стандарты подходят для вашего нового бизнеса и внедрены ли они

Стандарты безопасности варьируются в зависимости от специфики бизнеса. Финансовым компаниям, субъектам критической информационной инфраструктуры нужна более надежная защита, чем цветочному интернет-магазину.

Однако, даже если компания не имеет высококритичных активов, ей все равно необходимо поддерживать базовый уровень кибербезопасности. Это позволит защититься от таких угроз, как, например, атаки программ-вымогателей, цель которых — украсть деньги. Поэтому важно выяснить, какие практики кибербезопасности актуальны и (или) являются обязательными для бизнеса, который вы покупаете.

В качестве руководства вы можете использовать инструкции правительственных организаций вашей страны (например, в США это ресурсы по кибербезопасности для малого бизнеса от NIST) или чек-листы для малого бизнеса из открытых источников.

Уточните, какое защитное решение используется в компании (если используется), какие у него есть функции и актуальны ли они для потребностей бизнеса. Например, если компания сильно зависит от облачных ресурсов, защита должна включать механизмы обеспечения информационной безопасности в облаке.

Присмотритесь к защите данных компании

Репутация компании, которая сложилась к моменту ее покупки, важна для ее дальнейшего успеха. Поэтому покупателю стоит убедиться, что любые утечки данных (если такие были) не вызовут проблем в будущем. Спросите продавца о происходивших инцидентах кибербезопасности и о том, какие меры были приняты для устранения выявленных недостатков и предотвращения повторения инцидентов в будущем.

Использование легитимного ПО, регулярное управление уязвимостями, защита от вирусов и спама, надежные парольные политики и резервные копии важных данных — все эти меры позволяют снизить риски информационной безопасности.

Если предыдущий владелец понимал важность этих мер и внедрил их, — это хорошее подспорье. В таком случае вам не потребуется серьёзно менять подходы к кибербезопасности. И в то же время многие ИБ-ошибки небольших начинающих компаний типичны, они лежат на поверхности, и их легко выявить невооруженным взглядом.

Это нужно, чтобы не оказаться в подобной ситуации: Marriott в 2015 году приобрел несколько отельных сетей, а в 2018 году выяснилось, что в них были утечки данных клиентов с 2014 года, то есть еще до приобретения, но с исками и штрафами столкнулся новый владелец.

Убедитесь, что ваши новые сотрудники помогают вам защитить бизнес

Нередко взломы связаны с ошибками сотрудников, и потенциальный покупатель бизнеса не должен упускать из виду этот фактор при оценке киберустойчивости компании.

Спросите, делал ли предыдущий владелец что-либо, чтобы повысить осведомленность сотрудников по вопросам информационной безопасности. Если ответ нет, заложите какое-то время на тренинг сотрудников.

Как минимум они должны знать базовые основы, к примеру, почему важно использовать надежные пароли, к каким последствиям может привести хранение данных компании в непроверенных облачных сервисах и что поможет распознавать фишинговые письма.

Читайте по теме: Информационная безопасность предприятия: угрозы и средства защиты

Узнайте, какое обучение по кибербезопасности сотрудники уже проходили и подписывал ли кто-то из тех, кто работает с конфиденциальной корпоративной информацией, соглашения о неразглашении. Последний пункт важен, потому что изменения в руководстве могут вызвать текучку кадров, а соглашение о неразглашении послужит гарантией того, что клиентская база или другая конфиденциальная информация будут защищены.

Политику доступа к корпоративным ресурсам, включая ящики электронной почты, общие папки и онлайн-документы, следует изучить заранее. Такая политика подразумевает, что конфиденциальная информация доступна только определенным сотрудникам, и доступ закрывается, когда они покидают компанию.

Законодательство

Подробно ознакомьтесь с требованиями Федерального закона «О персональных данных» (N 152-ФЗ). Обработка персональных данных необходима, когда речь идет о следующем: 

• охрана здоровья, жизни или других важных аспектов безопасности; 
• выполнение договора, по которому субъект персональных данных — выгодоприобретатель или поручитель;
• реализация прав и законных интересов субъекта или третьих лиц. 

Обязанность лиц, получивших доступ к персональным данным, — охрана данных: они не должны быть раскрыты без согласия субъекта, если закон не допускает обратное. 

Будьте внимательны также при прочтении Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» (N 187-ФЗ). Защита значимых объектов обязана: 

• предотвращать неправомерный доступ к критической информации;
• не допускать влияния на технические средства обработки информации, которые поддерживают работу IT-инфраструктуры;
• восстанавливать работу значимого объекта инфраструктуры, в том числе с помощью резервных копий в надежных местах;
• сотрудничать с государственной системой ликвидации последствий компьютерных атак на информационные ресурсы РФ.

Нарушение требований обоих законов и сопутствующих нормативных правовых актов влечет за собой наказание в соответствии с законодательством Российской Федерации. Стоит подробно изучить порядок реализации мер закона и наладить процессы, которые смогут обеспечить его соблюдение.

Если предполагается работа с объектами критически важной инфраструктуры, следует выстроить соответствующую стратегию по обеспечению безопасности информации. 

Поддержание киберустойчивости бизнеса — это непрерывный процесс. Защита от новых уловок злоумышленников, внедрение цифровых инструментов для бизнеса или новых правил, соблюдение законодательства, расширение вашей компании — все это требует дополнительных инвестиций и навыков, а также пересмотра политики кибербезопасности и новых мер защиты.

Проверка уровня кибербезопасности в самом начале поможет вам снизить вероятность инцидентов, наметить четкий путь развития и достичь новых целей.

Фото на обложке: Shutterstock / Wirestock Creators