Вы знаете, как можно проверить кибербезопасность компании за час и на основе результатов вынести вердикт — подходит бизнес для многомилионных инвестиций или нет? Речь идет о сделках, которые могут стоить сотни миллионов долларов и меняют судьбу владельцев навсегда. Около двух лет я работала консультантом по кибербезопасности в компании, предлагающей Due Diligence таким частным инвестиционным фондам, как Rothschild, BlackStone, Houlikan Lokey, Silver Lake и Bridgepoint, на территории Великобритании.

Представьте себе мир, где деньги говорят громче слов, а репутация — это все. Добро пожаловать в закулисье Due Diligence — процесса, который определяет судьбу многомиллионных сделок в элитных инвестиционных кругах Великобритании. Due Diligence, или комплексная оценка, является важным процессом при совершении инвестиционных сделок. Это тщательное исследование потенциальной инвестиции, включающее в себя анализ финансового состояния компании, ее операций, юридического и налогового статуса и, что становится все более актуальным, состояния кибербезопасности.

Кто заказывает услуги Due Diligence? Мир частных инвестиционных фондов

Private Equity houses в Великобритании — это не просто инвестиционные фирмы, это своего рода частный клуб для избранных. Представьте себе выпускников Оксфорда и Кембриджа, с рождения предопределенных для финансовой элиты. Их мир весьма закрытый, но консультанты Due Diligence имеют возможность приоткрыть завесу, а заодно и «банку с червями» (англ. идиома can of worms) — рассмотреть проблемы потенциальной инвестиции под другим углом.

Известные частные инвестиционные фонды очень избирательны в своем подходе и ориентированы на сохранение репутации. Для них важно заранее выявить любые существенные риски, которые могут поставить под угрозу их капиталовложения. Поэтому они нанимают консультантов для проведения Due Diligence перед принятием решений об инвестировании.

Реальность Due Diligence в сфере ИБ: молниеносный спринт

В этом мире нет времени на долгие церемонии — интервью Due Diligence по информационной безопасности представляет собой молниеносный спринт длиной в час, максимум два. Инвесторы хотят максимально быстро понять, есть ли в их намерениях какие-то стоп-факторы со стороны кибербеза, какие технические и/или организационные изменения будут необходимы в первую очередь, сколько это займет времени и, конечно же, сколько это будет стоить. Due Diligence выявляет, какие бросающиеся в глаза факторы могут заблокировать инвестицию или сделать ее неудачной, нежели глубокий анализ.

Никаких скрупулезных проверок настроек, анализа документов, оценки зрелости, проведения пентеста (он, как правило, выполнялся по отдельной договоренности и довольно редко, его заказывали инвесторы «на всякий случай», а именно с посылом «если бизнес станет нашим, то лучше сделать его сейчас, пока предлагают по заманчивой цене, и еще год об этом не думать»). Задача аудитора — выявить бросающиеся в глаза «красные флаги» и возможности для создания ценности (value creation), т.е. оценка потенциала компании или актива для генерирования прибыли, роста и повышения стоимости в будущем. Письменный отчет по Due Diligence не представлял для инвесторов столько интереса и ценности, в приоритете устное объяснение и «экспертное мнение» аудитора. Таблица с приоритизированными рекомендациями, их стоимостью и сроками реализации могла быть единственной частью отчета, в которую в реальности заглядывали инвесторы.

Точки интереса инвесторов

Так что же интересует инвесторов в первую очередь? Когда речь идет о многомиллионных инвестициях, частные инвестиционные фонды не вправе игнорировать потенциальные риски, которые могут поставить под угрозу их капиталовложения. «Красных флагов» может оказаться много, особенно в незрелом бизнесе, но пристальное внимание уделяют следующим:

• зависимость компании от поставщиков и подрядчиков, а также эффективность мониторинга цепочки поставок;

• наличие инцидентов ИБ в прошлом;

• планы непрерывности бизнеса и стратегия выхода из контракта с поставщиками;

• соответствие требованиям законодательства, в частности GDPR;

• безопасное управление облачной инфраструктурой.

Представьте, что вы инвестируете миллионы в успешный стартап, а затем выясняется, что ключевой поставщик программного обеспечения прекратил свою деятельность. Или что компания полностью зависит от одного единственного подрядчика по аутсорсингу, который может в любой момент повысить цены. Такие зависимости могут парализовать бизнес и свести на нет все ваши инвестиции. Поэтому инвесторы стремятся выявить любые критические зависимости на ранней стадии и убедиться, что компания эффективно отслеживает и управляет рисками в цепочке поставок.

Наличие инцидентов безопасности за последние два года может указывать на слабые места в системе кибербезопасности компании. Крупные утечки данных или взломы не только наносят финансовый ущерб, но и могут серьезно подорвать репутацию бренда, что критично важно для инвесторов, нацеленных на долгосрочный рост стоимости активов.

План непрерывности бизнеса и стратегии выхода из отношений с поставщиками демонстрируют, что компания готова к непредвиденным обстоятельствам и сможет быстро восстановить операции в случае сбоев или разрыва контрактов. Для инвесторов это означает снижение рисков и защиту их капиталовложений.

Когда речь заходит о GDPR (General Data Protection Regulation), глаза инвесторов начинают нервно подергиваться. Этот европейский регламент о защите персональных данных — не просто вопрос соблюдения закона, а ключевой фактор оценки рисков и потенциальной стоимости компании, особенно в контексте слияний и поглощений. Нарушения могут привести к огромным штрафам (до 20 млн евро, или 4% годового оборота) и катастрофическому ущербу репутации. Более того, готовность компании к соблюдению GDPR часто рассматривается как показатель общей зрелости ее процессов управления данными и информационной безопасности. В современной реальности, где данные становятся ключевым активом, их надежная защита превращается в существенное конкурентное преимущество, напрямую влияющее на инвестиционную привлекательность бизнеса.

Наконец, если компания использует облачную инфраструктуру, инвесторы хотят убедиться в наличии необходимых компетенций по ее безопасной настройке и управлению. Облако может принести ощутимые преимущества, но только при условии правильной настройки безопасности и соблюдения лучших практик.

Что мы запрашивали и какие стандарты использовали

В ходе проверки мы запрашивали стандартный набор документов, включая:

• схему ИТ-инфраструктуры;

• организационную структуру;

• политику информационной безопасности;

• реестр рисков;

• реестр активов;

• список используемых средств защиты информации;

• доказательства проведения тренингов по информационной безопасности;

• информацию о киберстраховании;

• план реагирования на инциденты;

• план обеспечения непрерывности бизнеса;

• отчеты об инцидентах за последние два года;

• отчеты о пентестах и сканировании уязвимостей, а также планы по их устранению.

И другие свидетельства, которые варьировались в зависимости от сферы деятельности бизнеса, его размера и 50 оттенков корпоративной паранойи инвесторов.

В процессе Due Diligence мы опирались на собственный патентованный фреймворк, вдохновленный принципами, изложенными в системе кибероценки NCSC (CAF), включая их набор структурированных показателей передовой практики (IGP). Цели и принципы CAF написаны с точки зрения результатов, то есть спецификации того, что необходимо достичь, а не контрольного списка того, что необходимо сделать. Чтобы совсем не заскучать, мы приправляли этот коктейль щепоткой искусственного интеллекта и экспертизой моего на тот момент менеджера, который, кажется, родился с калькулятором в одной руке и «Искусством войны» Сунь-цзы в другой и виртуозно избавился от всего, по его словам, bullshit, оптимизировав нашу методику кибероценки под себя инвесторов.

Смотрим шире и добираемся до сути

Проблемы и риски ИБ при проведении Due Diligence порой кроются в областях, напрямую не относящихся к кибербезу, поэтому при анализе компании мы также изучали юридические, ИТ, финансовые, кадровые, Due Diligence отчеты или, при отсутствии доступа, запрашивали по каждой отрасли пару-тройку документов, которые могли быть полезны. Документ с должностями, заработной платой и бонусами не раз заставлял консультантов найти тот недостающий кусочек пазла, который помогал понять, почему у многообещающего бизнеса существенные проблемы в сфере ИБ и отсутствует мотивация что-либо с этим делать.

Например, IT Lead — молодой, но сверхопытный парень, совмещающий в своей роли обязанности как минимум 10 других ролей абсолютно разных подразделений, включая полную ответственность за ИБ, зарабатывающий при этом как junior IT support и последний раз уходивший в отпуск два года назад. При таком раскладе — планов много, критичные риски закрываются крайне медленно, а про последний пентест и спрашивать грех. Некогда. В таком случае при встрече с инвесторами обсуждаются не устаревшие лицензии СЗИ, не тысячи уязвимостей, найденных в системах целевых компаний, не отсутствие контролей для безопасной разработки ПО, а именно перегруженный IT Lead, который может стать стоп-фактором для инвестиции. Ведь если с ним что-то случится уже в день многомиллионного вложения, то полетит огромное количество процессов, а вместе с ними может полететь со своего места сотрудник инвестиционного фонда, за которым была закреплена ответственность за проект. Таких компаний, обладающих большим количеством наград по признанию, подписывающих контракты с самыми большими игроками на рынке, но висящих на волоске из-за не вполне адекватного отношения к сотрудникам, крайне много. Учитывая, что в работе консультанта Due Diligence главная задача — выявить критические риски, то по таким ситуациям, как правило, готовится срочное письмо для инвесторов с рекомендациями незамедлительного решения проблемы.

Рабочая неделя консультанта

Для консультанта весь процесс участия в проекте по Due Diligence может уложиться в несколько дней:

• Сегодня менеджер проекта расскажет тебе о целевой компании.

• На следующий день у тебя уже есть доступ к data room с запрошенными документами, и, вполне вероятно, через несколько часов у тебя состоится интервью (мы называли это workshop) с представителями бизнеса. В этот же день ты и твои коллеги по ИТ Due Diligence обсудите прошедшие интервью, придете к уже окончательному согласию по выявленным гэпам, количеству слайдов, кто что пишет и поставите от одной до пяти звездочек по каждому проанализированному блоку.

• А на следующий день в календаре уже стоит 3-часовая встреча с инвесторами, где будет обсуждаться самое главное — упомянутые ранее red flags и value creation.

Время — деньги для частных фондов, то, что они ценят больше всего. От утвержденного расписания не отклоняются, торможение не имеет место быть, и целевая компания это прекрасно понимает. Любая задержка со стороны целевого бизнеса воспринимается как отсутствие требуемой информации, даже если это не так.

Далее — подготовка и защита того самого не особо нужного окончательного отчета. Хотя порой мы получали наши отчеты с фидбэком, где чуть ли не каждое слово было выделено красным цветом с комментариями сделать формулировки более жесткими или мягкими. Это уже внутренняя кухня инвесторов, которая, как правило, остается закрытой для рядового консультанта и обсуждается только на личных встречах с топ-менеджментом консалтинговых фирм. Подача информации и акценты могут варьироваться в зависимости от стратегических целей инвесторов. Ведь у них часто бывает предварительное видение того, какие проекты перспективны для финансирования, а какие менее привлекательны с точки зрения их инвестиционной стратегии.

Заключение и пара слов о будущем Due Diligence в России

Но не стоит думать, что Due Diligence по ИБ — это просто фарс. Для инвесторов он может стать важнейшим инструментом управления самыми критичными рисками, помогающим принимать обоснованные решения. Они не ожидают от компаний, особенно малых и средних, наличия сложных систем безопасности. Их главная цель — понять, какие изменения необходимы и сколько они будут стоить. В конечном счете Due Diligence — это способ максимизировать инвестиционный капитал и расширить портфолио.

В России, где предпринимательство и новые технологии стремительно развиваются, сфера Due Diligence весьма актуальна и может иметь колоссальный потенциал для развития. Быстрые проверки идеально подходят для динамичной деловой среды, где время — один из главных факторов успеха. Помимо традиционных областей применения, таких как слияния и поглощения (M&A), данная методика может быть эффективно использована в сфере киберстрахования, а также для управления цепочками поставок. Применение спринтовой методики обеспечивает ряд преимуществ: экономичность, оперативность, простоту, универсальность и эффективность. Кто знает, может быть, в ближайшем будущем и российские инвесторы, и другие заинтересованные стороны начнут оценивать стартапы, малый и средний бизнес за рекордные часы, следуя международным традициям.

Работа консультантом по информационной безопасности в Due Diligence — это уникальный опыт, позволяющий познакомиться с сотней бизнесов за год и заглянуть за кулисы инвестиционного мира, где деньги и репутация правят бал, а информационная безопасность начинает играть ключевую роль в принятии решений. Пусть процесс проходит молниеносно, но именно от результатов Due Diligence зависит судьба компаний, и, может быть, именно ваша экспертиза станет решающим фактором для бизнеса, о котором потом услышит весь мир. Сегодня, погрузившись в более традиционные для российского рынка глубокие аудиты информационной безопасности, я особенно ценю приобретенный навык за час-другой прикинуть, где могут таиться ключевые недостатки и куда следует направить основные усилия.

Автор: Дарья Волынская, консультант по информационной безопасности «Инфосистемы Джет»