Kyberturvallisuuden rooli yritysjärjestelyissä

Kyberturvallisuus on ollut yhä enemmän tapetilla erilaisten tietomurtojen, kiristystapausten ja valtiollisten toimien seurauksena. Miten tämä on näkynyt yritysjärjestelyissä ja pitäisikö asian yleensäkään olla yritysjärjestelyiden agendalla?

Kyberturvallisuutta yritysjärjestelyissä voi tarkastella ainakin kohteen myyjän tai ostajan näkökulmasta sekä mitä tietoja kohteesta on mahdollista saada julkisista lähteistä ja mikä vaatii yhteistyötä kohteen kanssa. Toistaiseksi tietoturvaan keskittyvä Cyber DD (kyberturvallisuuden due diligence) tai softaratkaisun koodiin ja arkkitehtuuriin keskittyvä Tech DD eivät vielä ole valtavirtaa. Yleisempää on ollut tehdä tavallisiin IT-järjestelmiin ja organisaatioon kohdistuva IT DD.

IT DD ei kuitenkaan yleensä käsittele tietoturvaa, vaan tyypillisesti se kartoittaa:

  • Tavanomaisten IT-järjestelmien yhteensopivuutta
  • Elinkaarta
  • Ylläpito- ja muita sopimuksia
  • Lisenssejä ja tekijänoikeuksia
  • Ostettavan IT-ympäristön mahdollista arvoa tai kehitysvelkaa
  • IT-organisaation ja kokonaiskustannusten vertailun verrokkeihin

Tech DD puolestaan voi tarkastella kehitettyihin tai ostettuihin ohjelmistoratkaisuihin ja -tuotteisiin liittyviä asioita perinteisen IT:n ulkopuolelta. Siinä voidaan keskittyä esimerkiksi ostettavan teknologian kilpailuetuihin, teknologia-arkkitehtuuriin, koodiin, käytettyihin avoimen lähdekoodin lisensseihin, omistusoikeuksiin ja muihin vastaaviin asioihin.

Cyber DD -toimeksiannot ovat lisääntyneet

Cyber DD keskittyy siihen, miten hyvin tietoturva- ja tietosuoja-asiat kohteessa on hoidettu. Onko riskejä, että kohteesta olisi vuotanut ulos tietoja, joita voidaan mahdollisesti käyttää kiristykseen tai jotka esimerkiksi vaarantaisivat kohteen tietopääoman arvoa? Kiinnostus Cyber DD -toimeksiantoja kohtaan lisääntyi viime vuonna merkittävästi Suomessa ja muualla maailmassa.

Viime aikoina on nähty keskusteluita myös vastuukysymyksistä. Esimerkiksi on teetetty IT DD ja myöhemmin oltu erimielisiä siitä, olisiko tässä pitänyt havaita tiettyjä kyberturvallisuuteen liittyviä ongelmia ja puutteita. Ehkä, mutta perinteisesti IT DD ei ole näihin asioihin juurikaan ottanut kantaa. On myös hyvä ymmärtää, että mikään tietoturva-auditointi ei voi aukottomasti löytää kaikkia ongelmia tai osoittaa asioiden olevan aukottomasti kunnossa.

Julkisista lähteistä löydettävissä olevat tiedot

Myös Cyber DD -prosessissa tietoja voi saada kohteelta itseltään tai muista lähteistä. Julkisista lähteistä on mahdollista löytää vihjeitä ja faktaa siitä, että asiat eivät ole kunnossa. Tässä yhteydessä puhutaan monesti niin sanotusta ”threat intelligence” -toiminnasta. Kohdeorganisaatiosta, sen IT-järjestelmistä, arkaluontoisista tiedoista ja tietoliikenteestä on mahdollista saada selville yllättävän paljon julkisista tai puolijulkisista lähteistä. Edistykselliset organisaatiot tuottavat itselleen tällaista tietoa oman kyberturvatilanteensa valvomiseksi ja kehittämiseksi. Samaa tietoa ja menetelmiä on mahdollista käyttää myös osana Cyber DD -toimeksiantoa.

Oheisessa kuvassa on tiivistetty, mitä ulkoisiin tietolähteisiin pohjautuva uhka-analyysi sisältää ja millaisia lopputuotoksia se tuottaa.

Esimerkkejä julkisen tai puolijulkisen tiedon perusteella tehdyistä havainnoista voisivat olla:

  • Verkkoon vuotaneita henkilötietoja, salasanoja, yrityssalaisuuksia tai muuta vastaavaa.
  • Keskusteluita kohteen tietoturva- ja/tai tietosuojapuutteista.
  • Indikaatioita siitä, että kohteen verkosta suuntautuisi ulospäin sellaista liikennettä, joka kertoisi kohteen olevan tai aikaisemmin olleen aktiivisen tietomurron kohteena.
  • Tarpeettomasti verkkoon avoinna olevat tietoliikenneportit.
  • Suojaamattomaksi tai heikon suojauksen varaan jätetyt tietoliikenneportit.
  • Yhtiöön viittaavat domainit, jotka ovat jonkun muun kuin yhtiön tai sen vaikutusvallassa olevien piirien hallussa.

Sertifikaattien ja tietoturvalausuntojen merkitys

Yhä useammalla organisaatiolla on nykyään tietoturvallisuuden ISO27001-sertifikaatti, palvelun tai tuotteen tietoturvakuvaus sekä jokin muu tietoturvallisuuden tai tietosuojan varmennelausunto tai testausraportti.

Mikään tietoturvasertifiointi tai -testaus ei takaa, että kaikki asiat olisivat varmasti kunnossa. Testauksella voidaan löytää vain sellaiset ongelmat ja puutteet, jotka ovat testauksen piirissä ja jotka ovat löydettävissä sovituilla testaus- ja auditointimenetelmillä sovitun ajan puitteissa. Erilaiset sertifioinnit ja testausraportit kertovat kuitenkin siitä, että organisaatiossa panostetaan tietoturva- ja tietosuoja-asioihin ja panostuksesta on näyttää jotakin konkreettista.

Tietoturva- ja tietosuoja-asioilla on yhä suurempi merkitys yritysten liiketoiminnalle sekä julkisuuskuvalle. Näillä asioilla on siten merkitystä myös yritysjärjestelyissä, kauppahinnassa tai kohteen arvon kehityksessä. Cyber DD ei ole ollut tyypillinen osa due diligence -prosessia, mutta se on merkittävästi yleistynyt ihan viime aikoina. Yleisempää on ollut tehdä IT DD ja on hyvä ymmärtää, että siinä keskitytään korkeintaan rajallisesti tietoturva- ja tietosuoja-asioihin.

 

Kirjoitus on osa DIFin Hallitus ja riskit -teemaa ja sen laaja versio julkaistaan kesäkuussa Boardview 1/2021 -lehdessä.