Cyberrisico's mitigeren na fusies en overnames

CTO sijthoffmedia 21 / 10 / 2024

Overnames kunnen een grote bedreiging vormen voor de beveiliging. Neem het voorbeeld van het recente Dropbox datalek, een klassiek geval van “inbreuk door overname“volgens experts.

Het is een veel voorkomend thema. Het gebeurt maar al te vaak dat een organisatie een nieuwe service of een nieuw product in gebruik neemt en het slachtoffer wordt van onbekende kwetsbaarheden. In het geval van Dropbox was de boosdoener de e-handtekeningendienst Dropbox Sign, die in 2019 werd overgenomen als HelloSign.

Kan forse boetes opleveren

In 2018 gaf hotelketen Marriott toe. dat een onbekende derde partij illegaal toegang had gekregen tot de reserveringsdatabase van Starwood. De overname van Starwood in 2016 had de hotelgigant in gevaar gebracht, nadat het had nagelaten om het oude reserveringssysteem bij te werken, waardoor het kwetsbaar werd voor malware en datalekken.

Dergelijke nalatigheden op het gebied van beveiliging kunnen leiden tot enorme gevolgen, waaronder boetes. In 2020 kreeg Marriott een boete van 23,8 miljoen dollar (18,49 miljoen pond) voor het niet bijwerken van de IT-infrastructuur van Starwood.

Toen Yahoo in 2016 Verizon overnam, kreeg het bedrijf te maken met een juridisch onderzoek door de Amerikaanse Securities and Exchange Commission (SEC) vanwege het niet bekendmaken van twee datalekken die in 2014 hadden plaatsgevonden. “De boete liep in de tientallen miljoenen, maar de verlaging van de overnamekosten was nog groter”, zegt Sara Boltman, oprichter bij Butterfly Data.

‘Ontmoedigende taak’

De beveiligingsrisico’s bij overnames zijn complex. Problemen kunnen worden verergerd door de “ontmoedigende taak” van het samenvoegen van verschillende beveiligingsinfrastructuren, waardoor gaten kunnen ontstaan waar cybercriminelen misbruik van kunnen maken, zegt Mark Allen, CFO bij Everything Tech Group. “Daarnaast is er de uitdaging om organisatieculturen en -praktijken rondom cyberbeveiliging samen te brengen, wat als het niet zorgvuldig wordt aangepakt, kan leiden tot inconsistenties en zwakke plekken.”

Verouderde, legacy-systemen en ongepatchte software kunnen de problemen voor het overnemende bedrijf vergroten, zegt Todd Renner, senior managing partner in de cyberbeveiligingspraktijk bij FTI Consulting. “Deze potentiële problemen kunnen leiden tot onderbreking van de bedrijfsvoering, schade aan de reputatie van het bedrijf, kritische aandacht van toezichthouders en kostbare rechtszaken.”

Op de loer voor overname

Criminelen liggen vaak op de loer voor overnamemogelijkheden. Jaco Vermeulen, CTO bij BML Ventures, werkte vorig jaar aan een transactie waarbij het doelbedrijf binnen een uur na de aankondiging van de overname te maken kreeg met een aanval – en deze verijdelde.

Hij beschrijft hoe de overname zelf directe beveiligingsrisico’s met zich mee kan brengen. “Bedrijven kunnen risico lopen door phishing pogingen waarbij nu openbare informatie wordt gebruikt, zoals informatie over leidinggevenden, om werknemers die niet op de hoogte zijn om acties te vragen.”

C-level fraude en verantwoordelijkheid

Martin Jartelius, CSO bij Outpost24 beschrijft hoe zijn bedrijf verschillende gevallen heeft waargenomen waarbij de feitelijke overname gerichte aanvallen uitlokte. “Het kan leiden tot CEO- en CFO-fraude, omdat er nu een inherente onzekerheid is over mandaten en validaties tussen delen van de organisatie.”

Het is belangrijk op te merken dat zodra de overname is afgerond, de koper uiteindelijk verantwoordelijk is voor de beveiliging van het bedrijf, onder voorbehoud van de juiste beschermingen in de bedrijfsdocumenten, zegt Lauren Wills-Dixon, senior advocaat en data privacy expert bij advocatenkantoor Gordons. “Daarom worden alle lopende beveiligingsproblemen de last van de koper.”

Het due diligence-proces om de waarde vast te stellen van de gegevens die in het bezit zijn van het bedrijf dat wordt overgenomen, neemt vaak maanden in beslag en kan een groot aantal problemen aan het licht brengen die in het volle zicht verborgen blijven, zegt Boltman. Het kan onder meer gaan om historische niet-naleving van gegevensbeschermingswetten en zelfs eerder niet-aangegeven datalekken. “Voor het overnemende bedrijf kan dit gevolgen hebben in termen van hoeveel risico ze bereid zijn te nemen – en het kan de prijs die ze bereid zijn te betalen verlagen of de fusie helemaal doen ontsporen.”

Lees het hele artikel op AGConnect.nl: Cyberrisico’s mitigeren na fusies en overnames 

RECENTE ARTIKELEN

Maryjo Charbonnier, Kyndryl, jurylid CHRO-award: “HR-leider kan vitale rol spelen bij het aanpakken van polarisatie”

CHRO 28 / 10 / 2024
Het derde en laatste deel van een serie van interviews met de juryleden van de CHRO of the Year Award, tevens oud-winnaars. Wat is hun visie op het vak? Wat maakt een goede CHRO? Maryjo Charbonnier, winnaar in 2019: “De CHRO is uniek gepositioneerd om een cultuur van inclusie en respect te bevorderen.”
Lees verder

Zo werkt het meten van aandacht

CMO 28 / 10 / 2024
Hoe werkt het meten van aandacht en hoe kun je dit integreren in je media-inkopen?
Lees verder

Partners

Buitengewoon inspirerend en verfrissend. Ideaal voor zelfreflectie en om nieuwe ideeën op te doen.