„Mis on esimene asi, mida sa teed, kui kuhugi investeerid,“ küsib KPMG Baltics küberturvalisuse teenuste juht Mihkel Kukk. „Due dilligence’i ehk põhjaliku taustauuringu ja tehingueelse analüüsi,“ vastab ta ise ja nendib, et kahjuks jääb ettevõtete ühinemistel ja omandamistel (M&A) küberturvalisuse hindamine sageli vaeslapse ossa.

Kukk räägib, et KPMG poole pöördus hiljuti ühe ettevõtte tegevjuht, kes oli äsja ostnud tehnoloogiasektori idufirma. Esmapilgul tundus kõik ilus: tugev kliendibaas, paljulubav toode ja kasvav turuosa. Kuid juba mõne nädala pärast ilmnesid probleemid, mida keegi ei osanud ette näha. Nimelt oli idufirma infosüsteemidesse aastaid varem tunginud pahalane, kellel oli jätkuvalt ligipääs tundlikele andmetele. „Nii seisis uus omanik ootamatult silmitsi tehniliste tagajärgede, mainekahju ja ka juriidilistele probleemidega,“ nendib Kukk.

Küberturvalisuse riskid saavad selgeks alles siis, kui jama majas on
See pole Kuke sõnul kaugeltki ainus juhtum, kus ostujärgsete turvariskide realiseerumine mõjutab tehingu väärtust, põhjustab ootamatuid kulusid ning õõnestab klientide ja partnerite vahelist usaldust. „M&A maailmas määrab edu sageli kiirus, ent kui kiirustatakse küberturvalisuse hinnangu arvelt, siis võib loodetud edust saada hoopis tagasilöök,“ tõdeb Kukk.
Kukk jagab, et üks levinumaid vigu, mida ettevõtete juhtkonnad M&A protsessis teevad, on eeldada, et tehniline audit või finantshinnang maandab ka küberriskid. „Tegelikkuses jäävad paljud riskid avastamata, kui protsessi ei kaasata küberturbeeksperte. Näiteks võib omandatav ettevõte kasutada aegunud tehnoloogiat, millel on turvaaugud või puudub neil toimiv varundus- ja infoturbepoliitika,“ räägib Kukk ja toonitab, et halvimal juhul võib ettevõte olla juba pahalaste küüsis ja ostja satub enesele teadmata tehinguga juba jamasse.

Üks levinumaid vigu, mida ettevõtete juhtkonnad M&A protsessis teevad,
on eeldada, et tehniline audit või finantshinnang maandab ka
küberriskid.

Küberturvalisus olgu juhtkonna prioriteet, mitte IT-osakonna mure
Kukk selgitab, et küberturbe due diligence ehk tehingueelne analüüs pole pelgalt tehniliste süsteemide läbivalgustamine, vaid terviklik hinnang ettevõtte infoturbe juhtimisele, toimimisele ja haavatavusele. „Riskid võivad olla seotud nii tarkvara, IT-taristu kui ka inimestega, alates ligipääsuõiguste haldusest ja petuskeemidest kuni süsteemsete nõrkusteni,“ räägib ta.
Kukk toob välja, et hea nõustaja ülesanne on küsida õigeid küsimusi. Kas ettevõttel on ülevaade kõikidest oma andmekogudest? Kas andmeid kaitstakse vastavalt nende tundlikkusele? Kas ettevõttel on kriisiolukorra tarbeks plaan? Kui kiiresti suudetakse reageerida turvarikkumistele? Küberturvalisuse due diligence aitab tema sõnul ostjal probleeme tuvastada ning mõista nende tõsidust. „Nii on võimalik ka hinnata, et millised investeeringud on vajalikud peale firma ülevõtmist,“ räägib ta.
Kuke sõnul tuleb sageli välja, et ostetaval ettevõttel on olemas infoturbepoliitikad, kuid need on kas vananenud, praktilise rakenduseta või pole töötajad neist isegi teadlikud. „See viitab juhtimiskultuurile, mis ei väärtusta infoturvet, mis omakorda võib takistada ettevõtte integreerimist või hilisemat kasumlikku tegutsemist,“ rõhutab Kukk, et küberturvalisus peaks alati olema üks juhtkonna prioriteetidest, mitte ainult IT-osakonna mure.

Kuke arvates tasuks ettevõtete ühinemist või ülevõtmist plaanides kaaluda küberturvalisuse partneri kaasamist juba tehingu varajases faasis, sest õigel ajal esitatud õiged küsimused võivad aidata säästa miljoneid eurosid. Mida varem kaasata tehinguprotsessi küberturvalisuse partner, seda paremini saab maandada riske ja valmistuda võimalikeks üllatusteks. See aitab ka hinnata ostetava ettevõtte küpsust turvalisuse mõttes – kas tegemist on lihtsalt kiiresti kasvava äriga või tõeliselt jätkusuutliku, turvalise digitaalse platvormiga.

Loe lähemalt:
https://küberkaitse.ee