In het afgelopen jaar hebben we gezien a 437% toename in ransomware
aanvallen, waarbij veel van deze inbreuken plaatsvinden na de aankondiging van een fusie of overname. Typische ransomware-aanvallen kunnen tientallen miljoenen dollars kosten voor een groter bedrijf als gevolg van losgeldeisen, inkomstenderving, juridische kosten, responskosten bij incidenten, vervanging van hardware/software en hogere cyberverzekeringspremies. Bedrijfseigenaren, CEO's en raden van bestuur worden nu ook persoonlijk aansprakelijk gesteld voor een gebrek aan toezicht op de beveiliging na een inbreuk.
Waarom brengen fusies en overnames bedrijven in gevaar?
Criminelen vallen deze bedrijven aan om dezelfde reden waarom mensen vroeger banken beroofden: daar is het geld. Als je een bedrijf hebt verkocht aan een groot bedrijf of een private-equityfirma, hebben ze veel meer middelen om te betalen dan wanneer je een kleinere zelfstandige organisatie zou zijn zonder een sterke balans. M&A creëert ook een overgangsperiode, waarin nieuwe eigendoms- en managementteams hun rol in- of uittreden. Deze overgangsfase biedt cybercriminelen een perfecte gelegenheid om aan te vallen.
Hoe werken ransomware-aanvallers?
De cybercrimineel kan verschillende methoden gebruiken om in het netwerk te komen. Een phishing-aanval via e-mail is een veel voorkomende en effectieve aanpak. Zodra ze de inloggegevens hebben om toegang te krijgen tot systemen, kunnen ze zich verplaatsen in de netwerken en applicaties om te bepalen waar de meest gevoelige gegevens zich bevinden. De doelen van een aanvaller kunnen diefstal van intellectueel eigendom, losgeldeisen of fysieke vernietiging van eigendom zijn als een aanval gericht is op operationele technologie (OT)-systemen.
Als het een aanval op intellectueel eigendom betreft, kunnen ze productontwerpen, prijsinformatie of andere gevoelige bedrijfsinformatie stelen en vertrekken zonder dat iemand weet dat er een inbreuk heeft plaatsgevonden. In het geval van ransomware krijgen ze toegang tot gevoelige bestanden, versleutelen ze deze - zodat applicaties en bedrijfsprocessen niet meer werken - en eisen ze losgeld van het bedrijf om weer toegang tot de bestanden te krijgen. Bij een aanval op een OT-systeem zouden ze mogelijk kunnen knoeien met een fysiek proces, zoals we zagen in de Aanval watervoorziening Florida, of veiligheidssystemen uitschakelen, zoals we zagen in de TRITON/TRISIS-aanval.
Wat kunnen bedrijven doen om een cyberaanval tijdens fusies en overnames te voorkomen?
1. Evalueer het cyberrisico als onderdeel van uw due diligence-proces.
Dit zou een vereiste moeten zijn voor elk bedrijf dat op zoek is naar een doelovername - om ervoor te zorgen dat bestaande cyberbeveiligingsmensen, -processen en -technologie werken en up-to-date zijn voordat de fusies en overnames worden afgerond en aangekondigd. Acquirers moeten de volgende vragen stellen:
- Welke cyberbeveiligingsmaatregelen zijn er momenteel getroffen?
- Heeft u een CISO of een gelijkwaardige CISO-as-a-service?
- Is uw infosec-team goed thuis in het detecteren en oplossen van cyberaanvallen?
- Bestaan er processen om alle werknemers te informeren dat cybercriminelen mogelijk de digitale activa van het bedrijf als doelwit hebben?
Het hebben van een cyber due diligence-proces zal helpen bepalen of er significante hiaten moeten worden verholpen voordat verder wordt gegaan. De verantwoordelijken moeten vragen of er een cyberbeveiligingsprogramma is en hoe het programma voldoet aan een passende norm. Een goede maatstaf om te gebruiken zou de NIST-kader voor cyberbeveiliging of de Centrum voor Internet Security (CIS) Controles.
2. Stel een incidentresponsplan op.
Als u gecompromitteerd bent, kunnen hulpverleners door de prioriteiten van tevoren te kennen het herstelproces sneller en met minder impact doorlopen dan wanneer ze de eerste 24-72 uur moeten besteden aan het uitzoeken wat er moet gebeuren. Maak een checklist van wie verantwoordelijk is voor welke functies. Vaak wordt de simpele handeling van communicatie over het hoofd gezien tijdens een incident, wat kan leiden tot extra verspreiding van malware.
Het hebben van activa- en netwerkgegevens voor kritieke systemen is een ander belangrijk onderdeel van het responsplan. In een crisissituatie heeft u geen tijd om te bepalen of u geschatte facturering kunt doen als u uw realtime gegevens kwijtraakt. Midden in een noodsituatie is niet het ideale moment om te beslissen of u met dit of dat systeem kunt blijven werken.
3. Presenteer de overname niet als een soft target.
Houd er rekening mee dat cyberaanvallers M&A-activiteiten kunnen volgen via openbaar beschikbare informatie en vervolgens onderzoeken welk verdedigingsniveau een doelwitacquisitie heeft. Het is vrij eenvoudig om via internet te profileren hoeveel informatiebeveiligingsmensen er in dienst zijn of welke tools het bedrijf mogelijk heeft.
Als blijkt dat er geen infosec-functie is en er beperkte investeringen in cyberbeveiliging zijn, is het bedrijf mogelijk het doelwit van cybercriminelen. Zorg, indien mogelijk, voor alle cyberverdediging voordat u de fusie openbaar maakt. Dat persbericht voelt misschien goed, maar als de cyberbeveiligingsniveaus ondermaats zijn, is het misschien het beste om te wachten totdat de toekomstige overname zijn verdediging heeft versterkt.
Hier komt het erop neer. Als u tijdens uw due diligence-proces constateert dat een doelacquisitie onvoldoende heeft geïnvesteerd in cyberbeveiliging of geen gedocumenteerd incidentresponsplan heeft, wilt u misschien wachten met het afronden van de deal totdat u kunt bepalen welke middelen nodig zijn om het cyberrisico binnen het bedrijf te verminderen - en dat in uw onderhandelingen in te bouwen.
