La cyber due diligence, o due diligence informatica, sta diventando una parte essenziale all’interno del processo di revisione e indagine pre o post acquisizione. Sempre più, le organizzazioni che si preparano a intraprendere un percorso di M&A prendono in considerazione le caratteristiche di cyber security del target oggetto di interesse.
Vediamo quali sono, in questo processo di valutazione, gli aspetti su cui focalizzarsi.
Cyber due diligence nel processo di M&A
La cyber security, ovvero la valutazione della sicurezza dei sistemi informatici delle società coinvolte nel deal, e, conseguentemente, del patrimonio informativo delle stesse, che sempre più può essere considerato un asset primario per ciascuna organizzazione, è uno degli elementi di valutazione che sta acquisendo sempre maggiore importanza nell’ambito di operazioni di tipo M&A.
L’importante processo di digitalizzazione e la necessaria innovazione tecnologica richiesta per far fronte ai rapidi cambiamenti nel modo di lavorare fanno sì che il rischio di sicurezza informatica rappresenti, infatti, sempre più una delle principali preoccupazioni nell’esecuzione di deal in questo nuovo ambiente sempre più virtuale.
Non è un caso se l’80% dei dealmaker globali hanno affermato di aver scoperto problematiche di sicurezza informatica in almeno un quarto dei loro obiettivi per operazioni di M&A nei due anni antecedenti al deal [1].
Il caso Marriott
Uno degli esempi principali a supporto di tale tesi è sicuramente quello del caso Marriott, che nel 2016 ha acquisito Starwood Hotels & Resorts per la cifra di 13,6 miliardi di dollari, senza aver apparentemente eseguito una cyber security due diligence.
L’accordo ha sancito la nascita di una delle più grandi catene alberghiere del mondo, fornendo ai clienti Marriott e Starwood accesso ad oltre 5.500 hotel in 100 paesi. Al momento dell’acquisizione, però, nessuna delle due società era a conoscenza di una importante violazione informatica subita da Starwood nel 2014, che aveva riguardato i dati di milioni di clienti iscritti al programma fedeltà degli hotel Starwood. Poiché tale violazione non è stata rilevata fino a dopo l’acquisizione, Marriott ha dovuto sostenere la perdita di decine di milioni di dollari per gestire le conseguenze collegate al breach, nonché un importante danno di immagine [2].
Inoltre, Marriott deve ora affrontare il pagamento della multa inflitta dall’Information Commissioner’s Office (ICO), l’ente britannico di tutela della privacy, pari a 18,4 milioni di sterline. È chiaro che se Marriot International fosse stata a conoscenza dell’imponente data breach, avrebbe potuto negoziare i costi di gestione collegati alla violazione nelle fasi di acquisizione della Starwood.
Da questo esempio è possibile comprendere come, a seguito di un’operazione di tipo M&A, un’organizzazione possa potenzialmente incorrere in un incremento dell’esposizione al rischio di cyber security, causato a scopo esemplificativo e non esaustivo da:
● estensione della superficie d’attacco: il numero di sistemi da tenere sotto controllo aumenta, così come il numero di nodi della rete, e con essi aumentano anche gli endpoint potenzialmente soggetti a vulnerabilità che un eventuale attaccante può aggredire;
● introduzione di tecnologie obsolete o non allineate con l’infrastruttura tecnologica dell’organizzazione;
● introduzione di nuove modalità di gestione degli aspetti relativi alla cyber security, ad esempio in termini di processi operativi, non allineate a quanto previsto dal modello organizzativo in essere;
● presenza, nella nuova infrastruttura tecnologica, di potenziali falle di sicurezza già sfruttate, con presenza persistente di attaccanti all’interno.
Quale percorso intraprendere
Le organizzazioni che si preparano ad intraprendere un percorso di M&A dovrebbero prendere in considerazione le caratteristiche di cyber security del target oggetto di interesse.
Adottare un approccio di cyber due diligence basato sul rischio è sempre un buon punto di partenza poiché consente di determinare e valutare in modo oggettivo eventuali scenari che potrebbero verificarsi, corredati da probabilità di accadimento e impatto potenziale.
Chiaramente, non tutte le acquisizioni sono uguali, quindi non è sempre possibile definire un modello standard applicabile in tutti i contesti, ma sicuramente è possibile definire una linea guida che possa essere declinata secondo le specifiche esigenze con aspetti dedicati all’operazione in corso.
La prima cosa da prendere in considerazione, quindi, è un processo di valutazione delle minacce, con identificazione dei relativi threat actor, sia esterni all’organizzazione, sia interni, che potrebbero prendere di mira le parti nella transazione, prima, durante e dopo il processo di M&A. Questo panorama può variare in base al settore di riferimento nonché alla regione di appartenenza, e transazioni a rischio elevato, come acquisizioni in determinati paesi o in settori che sono stati presi di mira da campagne di attacchi recenti, richiedono maggiore attenzione in questa fase.
La realtà è che, sebbene l’obiettivo, almeno dichiarato, tra le parti in causa sia sempre la trasparenza, ottenere piena visibilità sulle operazioni della controparte è praticamente impossibile per le aziende impegnate in un deal. Inoltre, il processo di M&A in genere non concede molto tempo per valutare lo stato completo della sicurezza informatica e in alcuni casi, come ad esempio in un’asta, l’accesso alle informazioni che caratterizzano un target può essere notevolmente limitato.
In tali circostanze, ci sono misure che un acquirente può intraprendere per ridurre i potenziali costi derivanti da problemi informatici inaspettati.
Gli aspetti su cui concentrarsi
In particolare, al fine di valutare la cyber security posture dell’organizzazione target, potrebbe essere utile focalizzarsi sui seguenti aspetti:
● Cyber Governance: verificare le modalità con le quali la cyber security è gestita all’interno dell’Organizzazione target, valutando eventuali framework adottati, modelli di controllo in essere, impianti procedurali definiti, etc.
● Valore degli asset informativi: la pervasività e granularità della cyber due diligence dovrebbe essere proporzionata al valore che gli asset informativi rappresentano per l’organizzazione target in percentuale sul valore totale. Se le informazioni costituiscono il vero valore di tale organizzazione, allora i controlli eseguiti dovranno essere accurati e granulari. Al contrario, se l’organizzazione non ha nelle informazioni il proprio core business, potrebbe essere preferibile prevedere un approccio meno pervasivo.
● Piattaforme tecnologiche: cloud, on-premise, mainframe, Windows, linux… ciascuna tecnologia ha un bagaglio di problematiche e potenziali vulnerabilità (note e non note) che devono essere analizzate. A ciascun asset tecnologico corrispondono determinate considerazioni in termini di sicurezza informatica che devono essere tenute presenti e affrontate del processo di Cyber Due Diligence. Ad esempio, nel caso in cui l’organizzazione target faccia largo uso di infrastrutture cloud, è necessario porre particolare attenzione, ad esempio, sui contratti con i cloud provider, su come le responsabilità di security sono suddivise tra l’organizzazione e i provider in base alla tipologia di servizio cloud utilizzato (e.g. SaaS, IaaS, PaaS, etc.), sui meccanismi di autenticazione e di accesso ai dati implementati, etc.
● Rischi connessi alle terze parti: le terze parti sono a tutti gli effetti estensioni dell’organizzazione target e, pertanto, devono essere considerate come tali nel processo di cyber due diligence. Sempre più frequentemente, infatti, gli attaccanti portano attacchi mediante supply chain al fine di infiltrarsi in grandi organizzazioni bersagliando i loro fornitori percepiti come più deboli o meno strutturati in termini di cyber security. In particolare, le terze parti devono essere tenute in forte considerazione quando offrono servizi di base quali hosting di sedi o infrastrutture, sia fisiche sia virtuali, siti web, sviluppo di applicativi, etc.
● Security Operations: verificare l’efficacia e l’efficienza con cui le attività di cyber security sono condotte, ad esempio in termini di aggiornamento e patching di sicurezza dei sistemi, revisione delle regole dei firewall, gestione dell’asset inventory, prevenzione e rilevazione dei possibili attacchi dall’esterno e dall’interno, gestione della risposta in caso di incidente e attività di ripristino intese come disaster recovery e business continuity.
Tutti questi aspetti rappresentano una lista esemplificativa e non esaustiva dei fattori che dovrebbero essere tenuti in considerazione nell’ambito di operazioni di tipo M&A.
Qualora ciò non fosse ritenuto sufficiente, è possibile prevedere ulteriori attività in grado di fornire un grado di assurance ancora superiore.
Le previsioni per le attività M&A nel 2021
ll volume delle attività di Mergers and Acquisitions (di seguito anche “M&A”) si sta nuovamente avvicinando ai livelli pre-pandemici, con previsioni di forte aumento nel numero di operazioni per tutto il 2021. Tale incremento è trainato da una serie di fattori abilitanti che possono essere considerati un epifenomeno della pandemia COVID-19, e in particolare:
- la disponibilità di linee di credito a basso costo, di facile accessibilità e con condizioni di finanziamento di sicuro interesse per molte organizzazioni;
- una forte spinta all’innovazione tecnologica, che sta incoraggiando le aziende a consolidare e a sfruttare nuove competenze, spesso mediante l’acquisizione sul mercato di organizzazioni che possiedono già quelle competenze;
- la presenza sul mercato di opportunità appetibili per le aziende in salute, che possono decidere di acquisire organizzazioni che, al contrario, hanno visto un calo delle performance nel corso del periodo di pandemia.
In particolare, la pandemia Covid-19 ha costretto governi e aziende a un’adozione su larga scala di tecnologie utili a padroneggiare una serie di aspetti critici per la gestione crisi, come ad esempio il coordinamento dei servizi sanitari, il contact-tracing, l’adozione di regimi di telelavoro, la formazione a distanza, l’utilizzo di nuovi sistemi di comunicazione interpersonale, di sistemi di teleconferenza e molti altri.
La rapidità e l’impatto di questi processi di trasformazione innescati dalla pandemia richiedono estrema adattabilità e flessibilità da parte delle organizzazioni che, per perseverare e prosperare in un contesto così mutevole e incerto, possono essere indotte a ricorrere a strategie di acquisizione o fusione con altre organizzazioni al fine di soddisfare rapidamente svariate necessità, tra cui:
- l’acquisizione di nuove competenze;
- il consolidamento del posizionamento nel proprio settore di mercato;
- la necessità di generare nuovi flussi di revenue attraverso il posizionamento su nuovi settori di mercato.
In tutti i casi, il processo di M&A passa sempre per una serie di valutazioni che comprendono sia aspetti di business, in termini di posizionamento e offerta sul mercato, sia aspetti di economicità, che devono condurre necessariamente al raggiungimento di un break even point in tempi prestabiliti, sia di aspetti legali, che da sempre rappresentano una delle fonti di maggiore complessità da gestire nel processo di M&A.
L’utilizzo di tecnologie di tipo EDR / XDR
Una di tali attività consiste nell’utilizzo di tecnologie di tipo EDR / XDR, previo accordo con l’organizzazione oggetto di M&A, al fine di ottenere una “big picture” circa la security posture dell’infrastruttura tecnologica dell’organizzazione. Tali soluzioni, infatti, consentono, mediante l’installazione di agent direttamente sugli endpoint, di raccogliere e monitorare un vastissimo numero di informazioni quali, a scopo esemplificativo e non esaustivo, versione delle patch installate sul software di base, parametri di configurazione, policy di sicurezza implementate, numero e tipologia di comunicazioni sulla rete, etc. Tutte queste informazioni possono essere aggregate e correlate per andare a comporre un quadro piuttosto dettagliato circa lo stato complessivo di “salute” dell’infrastruttura da un punto di vista di cyber security.
È buona prassi inoltre condurre attività di Intelligence finalizzate a verificare il footprint dell’organizzazione target di M&A sia su fonti aperte (OSINT), sia su Deep e Dark Web. Tale attività potrebbe rilevare, ad esempio, l’eventuale presenza di potenziali dati trafugati che potrebbero influire sul valore previsto della proprietà intellettuale dell’organizzazione nel lungo periodo.
Ulteriori esempi di attività che potrebbero essere intraprese includono, infine, attività di Penetration Testing o ethical hacking, finalizzate a verificare la suscettibilità dell’organizzazione target di M&A rispetto ad attacchi portati da threat actor esterni, mediante l’utilizzo di scenari simulati che facciano utilizzo di metodologie e strumenti propri di scenari reali.
Conclusioni
Tutte le iniziative di M&A devono considerare prima del deal la componente cyber, a prescindere dalla grandezza delle organizzazioni/dimensioni dell’operazione e dal settore di mercato considerato. Che si tratti dell’acquisizione di un’azienda target di piccola, media o di grandi dimensioni, essa espone la società acquirente ad una moltitudine di rischi che devono essere attentamente valutati e mitigati prima e dopo il deal. Un approccio adeguato alla cyber due diligence consente dunque di valutare tutti i rischi cyber dell’azienda target, in modo tale da definire la più corretta strategia da intraprendere sia per una corretta impostazione dell’offerta (ad esempio, esiste un rischio significativo nell’acquisizione di un’azienda che ha subito una violazione dei dati dei clienti, con costi che possono potenzialmente rendere sconveniente l’investimento), sia per evitare brutte sorprese una volta concluso l’accordo.
Le attività di cyber due diligence durante un’operazione di M&A assumono infine una rilevanza non solo per la società acquirente, ma anche per la società target. La società acquirente dovrà intercettare tutte le possibili lacune cyber dell’azienda target per evitare di portarsi in casa rischi non considerati ed evitare oneri gestionali ed economici non preventivati. La società target potrà invece dimostrare un livello di maturità cyber adeguato e utilizzarlo come leva strategica durante la trattativa, in taluni casi distinguendosi da altri potenziali target ed ottenendo dunque un vantaggio competitivo non irrilevante.
_________________________________________________________________________________
Sitografia
- When cyber threatens M&A, https://www.pwc.com/us/en/deals/publications/assets/pwc-when-cyber-threatens-m-and-a.pdf
- Mergers And Acquisitions: How To Make Sure You Don’t Purchase A Breach, https://www.forbes.com/sites/forbestechcouncil/2020/09/09/mergers-and-acquisitions-how-to-make-sure-you-dont-purchase-a-breach/?sh=1036212a5a4f
