受到攻击:网络尽职调查要求更多交易撮合者
AI智能总结
受到攻击:网络尽职调 查要求更多的交易撮合 者 admincontrol.com 内容 介绍3 优先考虑网络安全5 处理专家8 尽职调查的实践11 嘛15 前景19 方法 2022年第四季度,Mergermarket对100名高级管理人员进行了调查,以了解网络安全尽职调查的见解。受访者包括25家投资银行,25家律师事务所和50家私募股权(PE)公司。所有公司的总部位于欧洲(包括英国),最近参与了并购交易的买方。所有回复都是匿名的,结果以汇总形式呈现。 介绍 主要结论: 1.超过一半的受访者(53%)报告在最近的交易中将更多资源用于网络安全尽职调查,与12-24个月前,包括21%的人 致力于更多的资源。 2.超过三分之二的受访者(69%)同意积极的网络安全尽职调查评估导致更高的估值,以及 亦然。 3.最大的份额的受访者(24%) 说,网络安全尽职调查因为他们最近的交易仅在交易执行阶段开始。另有14%的受访者表示,它只是在交割后的整合期间才开始的。 4.最大的挑战了我们最近一笔交易中有关网络安全尽职调查的调查受访者准确无误审查相关信息(占第一名选票的39%)。 5.超过一半的受访者(52%)表示未发现或未披露的网络安全风险曝光在最近一笔交易的交割后整合阶段他们工作。 工作流、业务模型和经济活动继续经历长期数字化。在重新构想如何接触客户或创新新的数字产品和服务方面 ,存在着难以置信的机会。 但这些机会伴随着风险——网络犯罪分子已经准备好利用可能出现的不受保护的漏洞。根据网络安全研究小组企业,全球网络威胁将成本到2025年,估计每年10.5万亿美元,相当于美国GDP的近一半。 投资者越来越多地将注意力转向网络安全尽职调查 。 他们需要知道目标公司采取措施保护自己,并培训员工保护其最宝贵的数据资产。交易撮合者正在寻找公司优先考虑网络弹性并平稳运营而不会中断。 在这份报告中,这是我们与Mergermarket合作制作的系列中的第三份,我们调查了100名老年人欧洲高管们理解当前网络安全尽职调查方法的潜在缺陷。我们希望这项研究能成为一个有价值的基准。买方投资者理解的工具同龄人正在接近这个区域。 在接下来的章节我们将礼物投资者在多大程度上优先考虑网络安全尽职调查及其外包安排,健壮的实用性风险评估,以及被认为是什么执行这些评论时最大的交易破坏者。鉴于速度 互联的数字世界在不断变化,网络安全尽职调查只会变得越来越重要。 3 受到攻击:网络尽职调查需要更多交易撮合者 优先考虑网络安全 鉴于网络犯罪的增加和严格的数据保护规则,交易撮合者明智地将更多时间和资源投入到网络安全尽职调查中 公司的网络安全实践可以成就或破坏交易。建立这样的个人资料需要的不仅仅是发送问卷过去的事件处理目标的要求 一种精辟、综合和前瞻性的方法,评估目标的完整性,技术系统和政策来防止未来的违规行为。这可能涵盖从审查安全插件和网络流量监控到检查第三方软件漏洞和员工培训协议的所有内容, 除了严格遵守相关 安全框架、法规和法律。 数据是一个非常有价值的资产,和损失导致不能复原的声誉损失以及惩罚性罚款。违反欧盟《通用数据保护条例》(GDPR)的行为以其潜在的重罚而闻名。 此外,ransomware事件来沉重的财务成本,刺激了快速增长的全球网络保险市场,根据财富商业洞察的数据,预计该市场将从2022年的128亿美元增长到2029年的636亿美元。 现在大多数投资者意识到重要性网络安全尽职调查,以减轻新并购时的不当风险事务。这是在我们的调查发现 ,67%的受访者说网络安全尽职调查在最近的一次中至少在某种程度上很重要协议,包括38%的人表明这是一个关键的优先级。 针对受访者类型进行调整使优先级更加清晰。近一半( 48%)的投资银行和私募股权公司(46%) 在您参与的最近一笔交易中,网络安全尽职调查在整个交易过程中的优先级有多大?(选择一项) 总计 32% 29% 38% 1% 投资银行 20% 32% 48% 0% 律师事务所 48% 40% 12% 0% 私人股本公司 30% 22% 46% 2% 一个关键的优先级有点重要不比其他尽职调查步骤重要或更不重要年代3omewhat不重要 在您最近参与的交易中,由于网络安全,还有多少资源用于网络安全 与12-24个月前相比,总体勤奋程度?(选择一项) 更多的资源 21% 一些更多的资源 32% 在您参与的最近一笔交易中,网络安全尽职调查是作为交易过程中的一个独立步骤进行的,还是只是任何更广泛的技术尽职调查的一个要素?(选择一项) 网络安全尽职调查被视为交易过程中的一个独立步骤技术尽职调查包括必要的网络风险评估 52% 48% 总计 资源的数量是一样的 47% 将网络安全尽职调查描述为批判性重要,但只有12%的律师事务所分享这个视图。可能会有一些偏见的证据在这里,为并购交易中的法律尽职调查保留了律师——这项调查群体可能正在寻求不损害自己对整个交易过程的贡献或提高其势力范围之外地区的地位。 60% 40% 投资银行 68% 32% 律师事务 58% 42% 私人股本公司 新的漏洞 网络安全临界的上升不出所料,投资者更加关注并分配 更多到期时间在这方面的勤奋。超过一半的受访者( 53%)表示投入了更多资源 与12-24个月前相比,他们最近的交易中做出了这些努力 ,其中21%的人投入了更多的资源。 这部分是由于增加手头威胁的复杂性。每过一年,就会看到更多的攻击媒介。例如,安全专家CheckPoint预测2023年将会看到罪犯拓宽他们的罢工远离主流ransomware攻击利用流行的业务协作工具松弛和微软等团队。 正如Admincontrol数据室负责人MariNygård所解释的那样,“经过一段时间加快数字化,许多公司可能没有赶上这一事实吗cybercriminal组织已经成为 更高级的。许多运行像专业公司——他们拥有人力资源团队、营销团队和熟练的 不断发展其技术和方法的专业人士。这在降低风险方面对公司提出了更高的要求。随着网络犯罪分子的发展,我们还需要掌握这一发展,为最普遍的攻击类型做好准备。此外,我们不能只依赖安全团队,依赖的意识和警觉性 每位员工都要保持抵御网络攻击的能力。 这也适用于并购过程,许多公司正处于一个阶段增加犯罪分子成功发起攻击的潜在奖励。因此,在安全的平台上运营对于并购过程至关重要,作为设计安全的一部分。流程来降低网络安全风险。 “鉴于网络环境中的风险不断增加,以及正在向云模型 ,网络安全评估必须彻底,“管理层补充道。德国一家投资银行的董事。“了解网络威胁对内部和外部利益相关者也非常重要。我们需要额外的资源来涵盖这些主题 。 大流行造成的大规模破坏也改变了围绕网络安全的计算 。它不仅是扩展的攻击表面需要承担一点,但也改变员工的工作习惯和行为和潜在的侵蚀风险控制。 “远程工作增加了很多 这些在工作环境中还存在由这些造成的其他漏洞趋势,”说,私募股权公司的合作伙伴 意大利。“考虑风险并确定这些风险的解决方案可能非常耗时。有更多的资源来解释这些变化是合理的。 由于网络安全的方法 勤奋演变中占据相当大的比例 您认为网络安全尽职调查评估的结果在多大程度上影响估值?(选择一项) 69% 31% 积极的评价会导致更高的估值,反之亦然 它很少有任何有意义的影响 交易撮合者把这个评估并购过程中的一个独立步骤。略多于一半(52%)的受访者表示采取了更精细的方法,将其与他们的更广泛的技术尽职调查。 评估网络安全控制的完整性,并确保目标公司的网络攻击是一种保护明确的优先买家。这是特别当两家公司合并时很重要,这可能会增加传染风险。当两个不同的IT环境结合在一起时,扩大的公司通常只会与最薄弱的环节一样强大。 供应商也必须这些考虑因素到他们的价格预期,因为任何确认网络漏洞或证据安全漏洞将不可避免地导致 报价被下调。在极端情况下,投标人可能会离开谈判桌上。 我们的研究支持这一现实, 显示,69%的受访者同意导致积极的网络安全评估更高的估值,反之亦然。因此, 投资者还没有给这个元素尽职调查的足够关注,包括进行超越其通用技术尽职调查审查的专门评估,提高他们的努力将是明智的。 与专家合作 鉴于网络安全尽职调查可能对估值产生的影响,它聘请理想的专家进行这些评估不仅仅是报酬 网络安全尽职调查没有单一的最佳方法,也没有两种公司是相同的。就像对并购目标的任何评估一样,完全依靠公司的自我披露只能到此为止。投资者必须了解更广泛的网络风险格局的背景,其中业务运营。 收购者基本上有三个选择。他们可以自己承担这些风险评估,将这些调查外包给第三方或采用混合方法两者混合。在大多数情况下,收购方 似乎更喜欢带来某种程度的补充专业知识,将取决于资产 的规模和复杂性在审查。 约三分之一的受访者(32%)说他们最近交易中的网络安全尽职调查过程大多是外包的,和近四分之一(24%)甚至说一个大概是外包之间达成平衡 和内部审查。此外,40%的受访者表示,这一过程主要在内部进行,其中一些人表示。仍然被委托给一个责任第三方。这意味着,总的来说,有96%的 受访者使用一些内部的混合和外部专业知识,尽管两者之间的平衡范围很广。那留下了只有4%的人选择了全包式的方法,2%的人表示他们完全外包,2%的人只在内部进行外包。 “IT团队绝对价值网络安全评估过程中最近附加收购。他们检查 在您参与的最近一笔交易中,网络安全尽职调查流程是主要外包还是内部进行?(选择一项) 完全的内部 2% 主要是内部 40% 大致相等的内部和外包 24% 主要是外包 32% 完全外包 2% 目标公司遵循所需的证书和网络安全协议,“意大利一家私募股权公司的合伙人谈到其员工的贡献时说。“由于他们的专业知识,我们只需要有限的外部支持即可进行独立审查。 定制解决方案 然而,并不是每个人都对他们的内部能力感到满意 。近一半的 受访者(47%)表示,他们不同意买方内部IT团队拥有足够的专业知识进行全面的网络安全在最近的交易中对目标的评估,其中13%的人强烈认为这是是这样。 您在多大程度上同意以下声明:“在我们参与的最新交易中 ,收购方的内部IT团队拥有足够的专业知识对目标公司进行彻底的网络安全评估。(选择一项) 强烈同意 6% 同意 34% 既不同意也不反对 12% 不同意 34% 强烈反对 13% 在您参与的最近一笔交易中,网络安全尽职调查外包给了哪种类型的组织*?(选择一项) 专业服务公司/“四大”审计 40% 网络安全专家 36% 技术提供商 19% 律师事务所 5% *不包括回答“完全在内部”或“主要是内部”的受访者(第8页)。 不适用/ 网络安全评估完全外包 1% 了解不断变化的外部威胁形势是评估公司网络风险的关键部分。这种风险远非如此静态-它可能因行业而异,并随着攻击媒介变得更加复杂而变化和众多。例如,业务 电子邮件入侵(BEC)入侵呈上升趋势。联邦调查局在2022年报告称,2019年7月至2021年12月期间,BEC攻击增加了65%,使美国公司总共损失了430亿美元。这些社会工程伎俩不涉及ransomware 通过伪装成上级请求的个性化电子邮件来定位特定个人管理要求他们赚钱转移到供应商。 攻击者变得越来越精明,甚至利用Zoom和MicrosoftTeams等视频会议软件,并使用深度伪造技术来说服员工进行这些虚假交易。对于这些 和其他原因,评估目标的达成协议网络培训和意识协议是尽职调查过程中的重要一步。 “外部团队有更多的了解ransomware和恶意软件威胁将如何渗透组织的网络安全措施,“选择外包的英国一家私募股权公司的合伙人说。“内部IT团队没有考虑更多风险复杂的网络攻击。” 尽管如此,相当大比例的受访者同意(34%)或强烈同意(6%)买方的内部IT团队拥有足够的专业知识,可以在最近的交易中进行必要的交易前网络评估。因此,收购方应充分评估其现有专业知识
