Cyber Due Diligence

Oletpa sitten kohteen myyjä, ostaja, sijoittaja, järjestelijä tai vakuuttaja, Cyber Due Diligence -palvelu kartoittaa, miten hyvin tietoturva- ja tietosuoja-asiat kohteessa on hoidettu. Onko kohteessa kyberriskejä tai järjestelmäpuutteita, jotka olisi syytä ottaa huomioon ja korjata, parhaimmassa tapauksessa ennen järjestelyjen alkamista. Onko havaintoja, että kohteesta olisi vuotanut ulos tietoja, joita voidaan mahdollisesti käyttää kiristykseen tai jotka esimerkiksi vaarantaisivat kohteen tietopääoman arvoa?

Kyberturvallisuuden rooli yritysjärjestelyissä kasvaa koko ajan. Olemme saaneet nähdä kuinka tietoturvallisuuden puutteet ja tietomurrot ovat ajaneet yrityksiä konkurssiin ja saaneet sijoittajat menettämään sijoittamiaan rahoja sekä myyjän omaisuutta on takavarikoitu selvittelyjen ajaksi tai kokonaan sekä tapauksia, jossa ostava osapuoli on vetäytynyt yritysjärjestelyistä tietoturva- ja tietosuojamurtojen, havaintojen tai riskien takia kokonaan.

Tietoturvaan ja henkilötietojen käsittelyyn keskittyvä Cyber DD (kyberturvallisuuden due diligence) on siksi tärkeää niin kohteen myyjän kuin ostajan näkökulmasta.


Cyber DD keskittyy ja kartoittaa, miten hyvin tietoturva- ja tietosuoja-asiat kohteessa on hoidettu. Onko kohteessa kyberriskejä tai järjestelmä puutteita, jotka olisi syytä ottaa huomioon ja korjata, parhaimmassa tapauksessa ennen järjestelyjen alkamista ja näin nostaa kohteen arvoa. Onko havaintoja, että kohteesta olisi vuotanut ulos tietoja, joita voidaan mahdollisesti käyttää kiristykseen tai jotka esimerkiksi vaarantaisivat kohteen tietopääoman arvoa? Tai havaintoja ja riskejä, jotka pahimmassa tapauksessa lopettaisivat koko yritysjärjestelyn toteutumisen.

Kiinnostus Cyber DD -toimeksiantoja kohtaan on lisääntynyt viime vuosina merkittävästi Suomessa ja muualla maailmassa.

 

Cyber DD:n ensimmäinen vaihe on selvittää mitä tietoja kohteesta on mahdollista saada julkisista tai puolijulkisista lähteistä kerättyä. Tässä tiedonkeräysvaiheessa hyödynnetään tyypillisesti automatisoitua- tai manuaalistatiedustelua kohteesta.

Julkisista lähteistä on mahdollista löytää vihjeitä ja faktaa siitä, että tietoturva- tai tietosuoja-asiat eivät ole kunnossa tai tiedon suojaamisessa on puutteita. Kohdeyrityksen IT-järjestelmistä ja arkaluontoisista tiedoista on mahdollista saada selville yllättävän paljon julkisia tai puolijulkisia lähteitä hyödyntäen. Jotkin organisaatiot tuottavat itselleen tällaista tietoa oman kyberturvatilanteensa seuraamiseksi ja kehittämiseksi. Samaa tietoa ja tiedonkeräysmenetelmiä käytetään myös osana Cyber DD -toimeksiantoa.

Esimerkkejä julkisen tai puolijulkisen tiedon perusteella tehdyistä havainnoista esimerkkejä ovat:

  • Verkkoon vuotaneita henkilötietoja, salasanoja, yrityssalaisuuksia tai muuta arkaluonteista.
  • Keskusteluita kohteen tietoturva- ja/tai tietosuojapuutteista.
  • Indikaatioita, jotka kertoisivat kohteen olevan tai aikaisemmin olleen aktiivisen tietomurron kohteena.
  • Tarpeettomasti verkkoon avoinna olevat ja suojaamattomaksi tai heikon suojauksen varaan jätetyt tietoliikenneportit.
  • Tietojärjestelmien asetusvirheet
  • Yhtiöön viittaavat domainit, jotka ovat jonkun muun kuin yhtiön tai sen vaikutusvallassa olevien piirien hallussa.

Cyber DD -prosessissa voidaan kartoitusta syventää haastatteluin, jossa tietoja saadaan myös kohteelta itseltään tai muista lähteistä, kuten palvelukumppaneilta.

Näiden tiedonkeruu ja haastattelu toimenpiteiden lopputuloksena Cyber DD-prosessista syntyy kattava tietoturva- ja tietosuojariskikuvaus.


Cyber DD:n jälkeen voidaan kohteelle laatia kattava korjaussuunnitelma kyberriskien vähentämiseksi sekä valvoa kohteen korjaussuunnitelman etenemistä tai seurata kohteen kyberturvallisuustilannetta myös yritysjärjestelyn aikana tai sen jälkeen.