5步走，轻松规避并购案中的安全风险

兼并和收购是一种很常见的商业行为。通常，这种协同效应能够为收购方和被收购方带来经济利益，创建一个更新、更大、更强的实体。然而，有些时候并购可能会带来一系列的网络安全风险。

2018年，万豪国际集团披露了一起涉及其喜达屋子公司数据库的黑客攻击事件，此次事件凸显出并购交易中隐藏的网络安全风险。万豪在2016年以136亿美元收购了喜达屋，或许是未对喜达屋进行彻底审查，在两年后，万豪宣布在喜达屋的客户预订数据库中发现了3.39亿名客人的信息被非法访问。

此次事件是由于此前喜达屋的安全架构存在漏洞，黑客组织早在2014年就潜藏在其安全架构中，万豪收购喜达屋时并未发现这一问题，最终导致在收购之后遭到重创，并被处罚1840万英镑。与此同时，受舆论影响，万豪国际美股盘前跌逾5%。

全球技术研究和咨询公司ISG的合伙人兼网络安全联席主管Doug Saylors表示，并购团队的规模通常有限，相对于IT和网络安全，他们更关注于财务和业务运营。因此，并购有可能给组织带来重大的网络安全风险。甚至，很多关于网络连接、‘合理化’IT和网络安全平台和员工的假设是在对每个组织的实际职能和业务了解有限的情况下做出的。

Gartner关于并购和尽职调查过程中网络安全的报告中指出，合并、被收购或进行任何其他并购活动的公司必须能够评估可能影响企业商业战略和风险的安全需求。报告表示，这有助于了解被收购公司的安全状况（在交易前），以保障不会出现突然的冲击，并有助于制定如何安全可靠地解决整合方面的计划。

对此，有五种策略，可以帮助组织在并购过程中管理网络安全风险。

对目标公司进行安全评估

全球专业服务公司Vaco Holdings的安全、合规和风险主管Vladimir Svidesskis表示，在收购之前，收购组织需要对目标公司进行近期的评估，包括并不限于具体的审计、安全态势评估和企业评估，并考虑何时进行评估。

“理想情况下，应该对目标组织最近9个月内的安全状况进行评估。”Svidesskis表示。他认为，任何超过一年以上的评估都是无效的，并应该着重将评估结果，与当下现有的政策和程序以及最新的战略目标匹配。观察其政策、程序、流程是否符合评估结果以及是否支持这些政策和程序。

除此之外，还应向目标公司提供有关可疑和已确认的安全或合规事件、网络相关保险活动等任何信息。Svidesskis表示，这里面还应该包括法律上未提及的内容，例如，即使这只是一个不向政府实体报告的内部事件，也需要提前了解相关信息。

确保目标公司在其软件设计中的安全性

Synopsys黑鸭审计业务总经理Philip Odence专门从事并购交易的尽职调查，他表示，在涉及到主要业务是软件产品或是技术占据重要地位的相关交易中，应该特别关注网络安全。因此，并购前必须确定目标公司是否在其软件中设计了安全性。如果没有，收购公司要准备一系列计划外的未来补救工作。

Odence表示，如果其产品存在着违约的风险，收购公司可能会托管部分资金，以防止违约的发生。如果其软件产品明显不符合行业规范，那么可能会引起二次谈判。

实际上，并非所有收购企业都奢求完美，但如果需要解决的数量超过预期，可能会导致收购企业改变看法。尽职调差并非要扼杀交易，但的确在一定程度上影响交易条款、时间和估值。对此，Odence表示，知识就是力量，收购企业应该充分理由尽职调查，在交割钱尽可能深入了解目标的软件安全情况，最大程度的保护自己免受风险。

让网络安全和IT团队尽早参与并购

Inversion6董事兼CISO Chris Clymer表示，一般情况下，在并购之前很少有网络安全和IT团队的参与，因为其目的是将并购消息封锁在较小的圈子内。然而，很多并购案例中会发现其目标的IT和网络安全状况很差，收购企业往往需要额外话费数百万美元补救。因此，尽早让网络安全和IT团队参与并找到关键的问题是有必要的。

在制造业等监管宽松的行业，被收购的公司通常缺乏基本的补丁和端点安全，更不用说安全信息和事件管理等更先进的控制手段。

公司减轻网络安全风险的最佳方法之一是让IT和/或安全成为审查收购团队的一部分，以避免最后出现昂贵的意外。Clymer表示，除此之外，IT团队还应该准备一个结构化的流程来确保并购的流程，包括早期评估，更改密码以及员工教育等等。

SANS研究所研究员、YL Ventures常驻CISO Frank Kim表示，组织在尽职调查时通常没有考虑的安全相关的流程。尽早的让网络安全团队参与到并购可以避免今后的许多问题。有时候，安全团队或CISO甚至会在即将并购时进行安全审查。

Kim表示，如果网络安全团队或CISO总是在谈判桌上占有一席之地，而不是只有在出现问题时才被关注，那么他们就可以评估目标公司的安全性，并对潜在的网络安全风险提出质疑。

了解数据环境的风险

Gartner分析师Sam Olyaei表示，如果没有对被并购公司尽早地做尽职调查，可能会导致收购企业无法全面了解其所涉及的数据环境类型。Olyaei表示，这些企业可能会涉及到个人信息和可识别信息，亦或是有HIPAA等监管要求的医疗保健信息和有PCI等监管要求或GDPR等地理法规的支付信息等等，因此，从环境和信息的角度肯恩无法全面了解目标对象的数据环境。

这造成的结果是，收购企业不知道目标公司实施了什么类型的安全控制，也不知道他们的环境是否完全安全。同理，处于合并阶段的企业也应该了解其目标公司的数据环境。Olyaei表示，收购企业至少应该对数据环境有一个了解，并确定潜在的风险。或者通过SWOT分析的方式，也可以让收购企业了解应该处理哪些信息和资产。

对目标公司的员工进行技能分析

Planview的CISO兼首席信息官Joe McMorris表示，并购不仅仅是目标公司的技术，还有员工。他表示，组织应该对目标企业的员工进行全面的技能分析，在整合的过程中，双方可能会存在知识和技能差距，这会导致彼此之间的技术很难融合。

值得注意的是，在考察目标组织的员工时，要注意员工情绪。McMorris认为，任何并购过程都需要员工完成大量的工作，这是保证日常运营和并购的基础。实际上，这也会导致倦怠、士气低落和人员流动。因此，并购的过程也是风险最大的过程，因为彼此双方要合并网络、技术和流程。

在此期间，任何员工的离开都可能会影响并购的持续，同时，也可能会忽视某些事件和风险。通过技能分析，就可以保证成员的完整度，以保障其能够在并购的过程中快速运转。

专家观点

对于并购中是否应该对目标企业做网络安全审查以及如何审查等方面的问题，有几位专家给出建议：

乐信集团信息安全总监刘志诚表示，对被并购企业做网络安全审查是非常重要的，可以从以下几个方面进行：

1、网络安全合规审查：需要审查所在业务监管机构网络信息安全的要求，标准规范基础上制度，组织架构，实施和运营机制，合规事件和监管通报处罚情况，确保网络安全体系建设运营合规。

2、网络安全风险体系审查：需要审查被收购企业网络安全风险体系建设情况，对风险评估，分析，决策机制以及风险登记表进行审查，对风险控制措施的建设，运营以及风险控制措施的有效性进行评估，审查，确保具备完善的网络信息安全风险管理体系。

3、网络安全能力建设和运营机制审查：依据风险决策，规范标准，最佳实践，对网络安全的预防，检测，监测，响应，恢复的能力进行检查和验证，对安全风险和事件的评估，分析，响应，恢复能力进行检测和验证，确保具备风险和事件的预防，检测，处置能力。

4、网络安全记录和审计审查：对制度流程以及处置记录，审计记录进行审查，确保记录完整，标准，规范，可以追溯审计。