Вы знаете, как можно проверить кибербезопасность компании за час и на основе результатов вынести вердикт — подходит бизнес для многомилионных инвестиций или нет? Речь идет о сделках, которые могут стоить сотни миллионов долларов и меняют судьбу владельцев навсегда. Около двух лет я работала консультантом по кибербезопасности в компании, предлагающей Due Diligence таким частным инвестиционным фондам, как Rothschild, BlackStone, Houlikan Lokey, Silver Lake и Bridgepoint, на территории Великобритании.
Представьте себе мир, где деньги говорят громче слов, а репутация — это все. Добро пожаловать в закулисье Due Diligence — процесса, который определяет судьбу многомиллионных сделок в элитных инвестиционных кругах Великобритании. Due Diligence, или комплексная оценка, является важным процессом при совершении инвестиционных сделок. Это тщательное исследование потенциальной инвестиции, включающее в себя анализ финансового состояния компании, ее операций, юридического и налогового статуса и, что становится все более актуальным, состояния кибербезопасности.
Кто заказывает услуги Due Diligence? Мир частных инвестиционных фондов
Private Equity houses в Великобритании — это не просто инвестиционные фирмы, это своего рода частный клуб для избранных. Представьте себе выпускников Оксфорда и Кембриджа, с рождения предопределенных для финансовой элиты. Их мир весьма закрытый, но консультанты Due Diligence имеют возможность приоткрыть завесу, а заодно и «банку с червями» (англ. идиома can of worms) — рассмотреть проблемы потенциальной инвестиции под другим углом.
Известные частные инвестиционные фонды очень избирательны в своем подходе и ориентированы на сохранение репутации. Для них важно заранее выявить любые существенные риски, которые могут поставить под угрозу их капиталовложения. Поэтому они нанимают консультантов для проведения Due Diligence перед принятием решений об инвестировании.
Реальность Due Diligence в сфере ИБ: молниеносный спринт
В этом мире нет времени на долгие церемонии — интервью Due Diligence по информационной безопасности представляет собой молниеносный спринт длиной в час, максимум два. Инвесторы хотят максимально быстро понять, есть ли в их намерениях какие-то стоп-факторы со стороны кибербеза, какие технические и/или организационные изменения будут необходимы в первую очередь, сколько это займет времени и, конечно же, сколько это будет стоить. Due Diligence выявляет, какие бросающиеся в глаза факторы могут заблокировать инвестицию или сделать ее неудачной, нежели глубокий анализ.
Никаких скрупулезных проверок настроек, анализа документов, оценки зрелости, проведения пентеста (он, как правило, выполнялся по отдельной договоренности и довольно редко, его заказывали инвесторы «на всякий случай», а именно с посылом «если бизнес станет нашим, то лучше сделать его сейчас, пока предлагают по заманчивой цене, и еще год об этом не думать»). Задача аудитора — выявить бросающиеся в глаза «красные флаги» и возможности для создания ценности (value creation), т.е. оценка потенциала компании или актива для генерирования прибыли, роста и повышения стоимости в будущем. Письменный отчет по Due Diligence не представлял для инвесторов столько интереса и ценности, в приоритете устное объяснение и «экспертное мнение» аудитора. Таблица с приоритизированными рекомендациями, их стоимостью и сроками реализации могла быть единственной частью отчета, в которую в реальности заглядывали инвесторы.
Точки интереса инвесторов
Так что же интересует инвесторов в первую очередь? Когда речь идет о многомиллионных инвестициях, частные инвестиционные фонды не вправе игнорировать потенциальные риски, которые могут поставить под угрозу их капиталовложения. «Красных флагов» может оказаться много, особенно в незрелом бизнесе, но пристальное внимание уделяют следующим:
зависимость компании от поставщиков и подрядчиков, а также эффективность мониторинга цепочки поставок;
наличие инцидентов ИБ в прошлом;
планы непрерывности бизнеса и стратегия выхода из контракта с поставщиками;
соответствие требованиям законодательства, в частности GDPR;
безопасное управление облачной инфраструктурой.
Представьте, что вы инвестируете миллионы в успешный стартап, а затем выясняется, что ключевой поставщик программного обеспечения прекратил свою деятельность. Или что компания полностью зависит от одного единственного подрядчика по аутсорсингу, который может в любой момент повысить цены. Такие зависимости могут парализовать бизнес и свести на нет все ваши инвестиции. Поэтому инвесторы стремятся выявить любые критические зависимости на ранней стадии и убедиться, что компания эффективно отслеживает и управляет рисками в цепочке поставок.
Наличие инцидентов безопасности за последние два года может указывать на слабые места в системе кибербезопасности компании. Крупные утечки данных или взломы не только наносят финансовый ущерб, но и могут серьезно подорвать репутацию бренда, что критично важно для инвесторов, нацеленных на долгосрочный рост стоимости активов.
План непрерывности бизнеса и стратегии выхода из отношений с поставщиками демонстрируют, что компания готова к непредвиденным обстоятельствам и сможет быстро восстановить операции в случае сбоев или разрыва контрактов. Для инвесторов это означает снижение рисков и защиту их капиталовложений.
Когда речь заходит о GDPR (General Data Protection Regulation), глаза инвесторов начинают нервно подергиваться. Этот европейский регламент о защите персональных данных — не просто вопрос соблюдения закона, а ключевой фактор оценки рисков и потенциальной стоимости компании, особенно в контексте слияний и поглощений. Нарушения могут привести к огромным штрафам (до 20 млн евро, или 4% годового оборота) и катастрофическому ущербу репутации. Более того, готовность компании к соблюдению GDPR часто рассматривается как показатель общей зрелости ее процессов управления данными и информационной безопасности. В современной реальности, где данные становятся ключевым активом, их надежная защита превращается в существенное конкурентное преимущество, напрямую влияющее на инвестиционную привлекательность бизнеса.
Наконец, если компания использует облачную инфраструктуру, инвесторы хотят убедиться в наличии необходимых компетенций по ее безопасной настройке и управлению. Облако может принести ощутимые преимущества, но только при условии правильной настройки безопасности и соблюдения лучших практик.
Что мы запрашивали и какие стандарты использовали
В ходе проверки мы запрашивали стандартный набор документов, включая:
схему ИТ-инфраструктуры;
организационную структуру;
политику информационной безопасности;
реестр рисков;
реестр активов;
список используемых средств защиты информации;
доказательства проведения тренингов по информационной безопасности;
информацию о киберстраховании;
план реагирования на инциденты;
план обеспечения непрерывности бизнеса;
отчеты об инцидентах за последние два года;
отчеты о пентестах и сканировании уязвимостей, а также планы по их устранению.
И другие свидетельства, которые варьировались в зависимости от сферы деятельности бизнеса, его размера и 50 оттенков корпоративной паранойи инвесторов.
В процессе Due Diligence мы опирались на собственный патентованный фреймворк, вдохновленный принципами, изложенными в системе кибероценки NCSC (CAF), включая их набор структурированных показателей передовой практики (IGP). Цели и принципы CAF написаны с точки зрения результатов, то есть спецификации того, что необходимо достичь, а не контрольного списка того, что необходимо сделать. Чтобы совсем не заскучать, мы приправляли этот коктейль щепоткой искусственного интеллекта и экспертизой моего на тот момент менеджера, который, кажется, родился с калькулятором в одной руке и «Искусством войны» Сунь-цзы в другой и виртуозно избавился от всего, по его словам, bullshit, оптимизировав нашу методику кибероценки под себя инвесторов.
Смотрим шире и добираемся до сути
Проблемы и риски ИБ при проведении Due Diligence порой кроются в областях, напрямую не относящихся к кибербезу, поэтому при анализе компании мы также изучали юридические, ИТ, финансовые, кадровые, Due Diligence отчеты или, при отсутствии доступа, запрашивали по каждой отрасли пару-тройку документов, которые могли быть полезны. Документ с должностями, заработной платой и бонусами не раз заставлял консультантов найти тот недостающий кусочек пазла, который помогал понять, почему у многообещающего бизнеса существенные проблемы в сфере ИБ и отсутствует мотивация что-либо с этим делать.
Например, IT Lead — молодой, но сверхопытный парень, совмещающий в своей роли обязанности как минимум 10 других ролей абсолютно разных подразделений, включая полную ответственность за ИБ, зарабатывающий при этом как junior IT support и последний раз уходивший в отпуск два года назад. При таком раскладе — планов много, критичные риски закрываются крайне медленно, а про последний пентест и спрашивать грех. Некогда. В таком случае при встрече с инвесторами обсуждаются не устаревшие лицензии СЗИ, не тысячи уязвимостей, найденных в системах целевых компаний, не отсутствие контролей для безопасной разработки ПО, а именно перегруженный IT Lead, который может стать стоп-фактором для инвестиции. Ведь если с ним что-то случится уже в день многомиллионного вложения, то полетит огромное количество процессов, а вместе с ними может полететь со своего места сотрудник инвестиционного фонда, за которым была закреплена ответственность за проект. Таких компаний, обладающих большим количеством наград по признанию, подписывающих контракты с самыми большими игроками на рынке, но висящих на волоске из-за не вполне адекватного отношения к сотрудникам, крайне много. Учитывая, что в работе консультанта Due Diligence главная задача — выявить критические риски, то по таким ситуациям, как правило, готовится срочное письмо для инвесторов с рекомендациями незамедлительного решения проблемы.
Рабочая неделя консультанта
Для консультанта весь процесс участия в проекте по Due Diligence может уложиться в несколько дней:
Сегодня менеджер проекта расскажет тебе о целевой компании.
На следующий день у тебя уже есть доступ к data room с запрошенными документами, и, вполне вероятно, через несколько часов у тебя состоится интервью (мы называли это workshop) с представителями бизнеса. В этот же день ты и твои коллеги по ИТ Due Diligence обсудите прошедшие интервью, придете к уже окончательному согласию по выявленным гэпам, количеству слайдов, кто что пишет и поставите от одной до пяти звездочек по каждому проанализированному блоку.
А на следующий день в календаре уже стоит 3-часовая встреча с инвесторами, где будет обсуждаться самое главное — упомянутые ранее red flags и value creation.
Время — деньги для частных фондов, то, что они ценят больше всего. От утвержденного расписания не отклоняются, торможение не имеет место быть, и целевая компания это прекрасно понимает. Любая задержка со стороны целевого бизнеса воспринимается как отсутствие требуемой информации, даже если это не так.
Далее — подготовка и защита того самого не особо нужного окончательного отчета. Хотя порой мы получали наши отчеты с фидбэком, где чуть ли не каждое слово было выделено красным цветом с комментариями сделать формулировки более жесткими или мягкими. Это уже внутренняя кухня инвесторов, которая, как правило, остается закрытой для рядового консультанта и обсуждается только на личных встречах с топ-менеджментом консалтинговых фирм. Подача информации и акценты могут варьироваться в зависимости от стратегических целей инвесторов. Ведь у них часто бывает предварительное видение того, какие проекты перспективны для финансирования, а какие менее привлекательны с точки зрения их инвестиционной стратегии.
Заключение и пара слов о будущем Due Diligence в России
Но не стоит думать, что Due Diligence по ИБ — это просто фарс. Для инвесторов он может стать важнейшим инструментом управления самыми критичными рисками, помогающим принимать обоснованные решения. Они не ожидают от компаний, особенно малых и средних, наличия сложных систем безопасности. Их главная цель — понять, какие изменения необходимы и сколько они будут стоить. В конечном счете Due Diligence — это способ максимизировать инвестиционный капитал и расширить портфолио.
В России, где предпринимательство и новые технологии стремительно развиваются, сфера Due Diligence весьма актуальна и может иметь колоссальный потенциал для развития. Быстрые проверки идеально подходят для динамичной деловой среды, где время — один из главных факторов успеха. Помимо традиционных областей применения, таких как слияния и поглощения (M&A), данная методика может быть эффективно использована в сфере киберстрахования, а также для управления цепочками поставок. Применение спринтовой методики обеспечивает ряд преимуществ: экономичность, оперативность, простоту, универсальность и эффективность. Кто знает, может быть, в ближайшем будущем и российские инвесторы, и другие заинтересованные стороны начнут оценивать стартапы, малый и средний бизнес за рекордные часы, следуя международным традициям.
Работа консультантом по информационной безопасности в Due Diligence — это уникальный опыт, позволяющий познакомиться с сотней бизнесов за год и заглянуть за кулисы инвестиционного мира, где деньги и репутация правят бал, а информационная безопасность начинает играть ключевую роль в принятии решений. Пусть процесс проходит молниеносно, но именно от результатов Due Diligence зависит судьба компаний, и, может быть, именно ваша экспертиза станет решающим фактором для бизнеса, о котором потом услышит весь мир. Сегодня, погрузившись в более традиционные для российского рынка глубокие аудиты информационной безопасности, я особенно ценю приобретенный навык за час-другой прикинуть, где могут таиться ключевые недостатки и куда следует направить основные усилия.
Автор: Дарья Волынская, консультант по информационной безопасности «Инфосистемы Джет»
Комментарии (9)
Shaman_RSHU
17.07.2024 12:48Сложно бы им было работать в реалиях средних отечественных компаний
схему ИТ-инфраструктуры
Обычно или нет человека, которого бы можно выделить на рисование такой схемы (нечего тратить время на то, что постоянно меняется) или админы просто рисовать не умеют. А использовать специализированное ПО - его надо покупать, если никто пользу схемы не обосновал, то не согласуют закупку.
политику информационной безопасности
Обычно это набор сухих документов, в которых написно минимум того, что необходимо для выполнения требований наших регуляторов. А значит документы бесполезные.
реестр рисков
Реестр рисков перестаёт существовать сразу после того, как запрашиваются ресурсы на митигацию этих рисков. Риски сразу же принимаются и действуют по принципу "пока рак на горе не свиснет"
реестр активов
Опять же у кого ведется реестр всего от мониторов/клавиатур до серверов. Это есть конечно в бухгалтерии на балансе, но всё закрыто в шкафу в папках. CMDB дорого, т.к. реальную пользу не доказать.
доказательства проведения тренингов по информационной безопасности
Где в компаниях разрабатывают планы учений, отчеты по проведению учений и остальную отчетность? Только в крупных, да в тех, где это регламентировано ренулятором (ЦБ РФ).
информацию о киберстраховании
У нас это наверное 0.001% от всех компаний.
план реагирования на инциденты
Укрупненный план наверное есть "Случился инцидент - бери в руки лопату и копай". Обычно если такое необходимо, то инструкции дает SOC (на аутсорсе). А описывать все возможные инциденты, которые могут случиться слишком затратно - не позволят тратить впустую время.
план обеспечения непрерывности бизнеса
Такая штука почему-то запрашивается у ИБшников. Но если у них и сделана своя часть, то по всем бизнес-процессам наверняка и конь не валялся. Почему? См. про риски.
Кончено не во всех компаниях так и есть, где всё отлично, но это среднее по больнице в нашей стране.
Advisers
17.07.2024 12:48"Вы знаете, как можно проверить кибербезопасность компании за час и на основе результатов вынести вердикт — подходит бизнес для многомилионных инвестиций или нет?"
...как говорил один очень известный человек - Неверю! )
brdn1812
17.07.2024 12:48+1Имитация Очень Бурной Деятельности
Наверное, все это жутко полезно. Но как уже выше сказали, за час сделать выводы со стороны - это смело. Впрочем, в статье же было про патентованный framework, да..
Сразу возникает вопрос о статистике ошибок первого и второго рода
JetHabr Автор
17.07.2024 12:48Безусловно смело, но Due Diligence — это лишь инструмент экспресс-оценки, разработанный для решения конкретных задач инвесторов, он не заменит комплексный аудит. Это своего рода "триаж" в сфере кибербезопасности.
brdn1812
17.07.2024 12:48А что насчет ошибок? хотя бы по сравнению с последующим комплексным аудитом? (не говоря уж про упущенные возможности из-за неверно принятых решений)
itsecurity
17.07.2024 12:48Думаю, тут выбор стоит не между комплексным аудитом и экспресс-оценкой, а между экспресс-оценкой и ее полным отсутствием. И по принципу 80/20 смысл в экспресс-оценке всяко есть. Ну и едва ли кто-то делает вывод об инвестициях только на основе результатов оценки ИБ в компании. Просто один из параметров для понимания, насколько здоров бизнес, в который потенциально большие деньги будут вложены.
JetHabr Автор
17.07.2024 12:48+1А что насчет ошибок? хотя бы по сравнению с последующим комплексным аудитом? (не говоря уж про упущенные возможности из-за неверно принятых решений)
Тут важно понимать, что со стороны компании, проводящей Due Diligence, основная ошибка заключается в неспособности выявить критические стоп-факторы, способные существенно повлиять на инвестиционное решение.
Большинство выявленных рисков сами по себе редко являются такими стоп-факторами; они только дают общее представление о целевом бизнесе. Фокус направлен на выявление проблем, требующих значительных финансовых и временных затрат для устранения, что может сделать инвестицию невыгодной по сравнению с альтернативными вариантами на рынке.
Например, грубое несоблюдение GDPR или отсутствие ключевых компетенций в области ИТ могут стать такими факторами, особенно если на рынке есть аналогичные бизнесы с лучшей подготовкой в этих аспектах.
На инвесторах тоже в данном случае лежит ответственность прояснять у целевого бизнеса любые недопонимания или неточности, которые могли возникнуть из-за ограниченного времени проверки.
Стоит также отметить, что и целевой бизнес или его представители иногда имеют возможность оспорить основные заключения, сделанные в ходе оценки. Тем не менее, нельзя отрицать, что неудачные инвестиции, конечно же, имеют место быть в мире, и именно поэтому инвестиционные фонды, как правило, работают только с теми консалтинговыми фирмами, которым они доверяют и которые в целом приносят им больше дохода, чем убытков.
Vadziku
Детсад какой-то.
В смысле оценки безопасности.
Инциденты есть в любой более-менее крупной компании.
Если их нет, то их отсутствие это не "сильное место", а просто отсутствие механизмов их обнаружения.
JetHabr Автор
Действительно, отсутствие зафиксированных инцидентов не всегда является положительным индикатором. В контексте быстрой оценки при Due Diligence мы фокусируемся на выявленных и задокументированных инцидентах как на потенциальных индикаторах рисков.
Однако вы абсолютно правы — отсутствие инцидентов может указывать на неэффективность процессов их обнаружения. Это тоже важный фактор, который учитывается при более глубоком анализе. В рамках ограниченного времени Due Diligence стремятся выявить наиболее критичные риски, но, безусловно, важно рекомендовать дальнейшую тщательную оценку всех аспектов информационной безопасности, включая зрелость процессов обнаружения и реагирования на инциденты.