Wpadki zakupowe
Przekonało się o tym boleśnie wielu gigantów biznesu. Przejęcie Yahoo przez Verizona w 2016 roku jest jedną z najbardziej znanych transakcji M&A, w której cyberbezpieczeństwo odegrało kluczową rolę. Dwa bardzo poważne wycieki danych z Yahoo przyczyniły się do zmniejszenia notowań firmy i obniżenia wartości transakcji o 350 milionów dolarów.
Przypadek Verizon-Yahoo pokazuje, że cyberbezpieczeństwo może wpłynąć nie tylko na zadowolenie klientów, własność intelektualną firmy i produktywność biznesu, ale również na wartość rynkową przedsiębiorstwa.
Konsekwencje zaniedbań przy transakcjach fuzji i przejęć mogą pojawić się wiele lat po zakończeniu tego procesu. Za przykład posłuży inwestycja sieci hoteli Marriott w Starwood. W 2014 roku system służący do rezerwacji padł ofiarą złośliwego oprogramowania. Marriott nie wykonał oceny infrastruktury technicznej Starwood przed zakończeniem dealu w 2016 roku, a zainfekowany system pozostał w użyciu przez wiele lat.
Przez cztery lata atakujący mieli dostęp do korporacyjnych baz danych pełnych wrażliwych informacji o klientach z całego świata. Gdy wreszcie Marriott odkrył infekcję, został zobowiązany do zapłaty kary finansowej za masowe wycieki danych swoich klientów, a jego reputacja znacznie ucierpiała.
Szerokim echem odbił się gorący deal ostatnich lat — przejęcie Twittera przez Elona Muska. Historia transakcji przypomina wielowątkowy serial telewizyjny, w którym znaczną rolę odegrały fake’owe profile użytkowników. Transakcja niemal nie doszłaby do skutku, ponieważ obie strony kwestionowały dane o fałszywych kontach w serwisie. Przykład Twittera, obecnie platformy X, pokazuje, że bezpieczeństwo w Internecie w ostatnich latach ma wiele twarzy.
Firmom zagrażają nie tylko ataki hakerskie, lecz także możliwość dezinformacji i manipulacji na masową skalę. W świetle coraz bardziej zaawansowanych regulacji prawnych i wzrastającego napięcia politycznego, na znaczeniu zyskują kwestie na pograniczu nowych technologii, prawa i polityki.
M&A a infrastruktura krytyczna
Przy fuzjach i przejęciach może dojść do rozszerzenia przestrzeni ataku o infrastrukturę pozyskanej firmy. Jest to szczególnie niebezpieczne, gdy w transakcji uczestniczą przedsiębiorstwa z sektorów krytycznych dla działania państwa. Dodatkowo, przy międzynarodowych dealach M&A pojawiają się wątpliwości co do celu i sposobu przetwarzania danych osobowych obywateli.
W przypadku krajów o niestabilnych relacjach politycznych istnieje prawdopodobieństwo szpiegostwa gospodarczego lub wykorzystania firmy do celów politycznych. Dlatego pojawiły się instytucje i regulacje prawne, których celem jest ochrona bezpieczeństwa państwa w ryzykownych transakcjach M&A.
Przykładem jest CFIUS (Komitet ds. inwestycji zagranicznych), który zwraca uwagę na zagrożenia związane z cyberbezpieczeństwem i ochroną wrażliwych danych obywateli USA. W 2018 roku prezydent Stanów Zjednoczonych podpisał FIRRMA (Foreign Investment Risk Review Modernization Act), w którym zwiększył zakres działania CFIUS i wyznaczył nowe ramy postępowania w przypadku transakcji fuzji i przejęć o potencjalnym wpływie na cybezpieczeństwo państwa.
Unia Europejska nie pozostaje w tyle: 24 stycznia 2024 roku Komisja Europejska zaproponowała reformę podejścia do M&A (EU Foreign Direct Investment Screening Regulation 2019/452), która ma wymuszać na państwach członkowskich obowiązek wprowadzenia regulacji i monitoringu rynku fuzji i przejęć.
Transakcje z polityką w tle
Pieniądze nie uznają napięć politycznych i chciałyby przemieszczać się w korzystniejszym dla siebie kierunku. Przykładem są inwestycje pomiędzy Stanami Zjednoczonymi i Chinami. Pomimo skomplikowanych relacji na poziomie państwowym, inwestorzy patrzą na siebie z zainteresowaniem.
Dotyczy to także wrażliwych sektorów gospodarki, takich jak finanse. W 2017 roku chińska grupa Ant Financial wyraziła zainteresowanie kupnem amerykańskich szybkich transferów pieniężnych Moneygram. Transakcja została wstrzymana przez CFIUS, który zablokował deal ze względu na bezpieczeństwo państwa.
Podobne zastrzeżenia wzbudziły pogłoski o planach przejęcia chińskiej aplikacji Musical.ly przez Facebooka w 2016 roku. Musical.ly to prekursor TikToka, pierwsza próba stworzenia aplikacji do krótkich filmików. Historia miała swój ciąg dalszy w kolejnych latach, kiedy po fuzji z TikTokiem pojawiły się zastrzeżenia co do sposobu przetwarzania danych osobowych, zwłaszcza osób nieletnich.
Podobne kontrowersje wzbudziła próba transakcji pomiędzy Kunlun i Grindr w 2019 roku. Chińska marka Kunlun była zainteresowana amerykańską aplikacją randkową LGBTQ Grindr, w której przetwarzano wrażliwe dane na temat orientacji seksualnej i stanu zdrowia użytkowników.
Jak ograniczyć ryzyko?
Nie bez powodu wyżej wymienione przykłady “wpadek zakupowych” cofają nas do lat sprzed pandemii COVID-19. Przejście na pracę zdalną i cyfryzacja życia zmieniły nastawienie do cybezbezpieczeństwa. Zagrożenie zauważono w gabinetach prezesów najbogatszych firm i na najwyższych szczeblach władzy państwowej.
W procesach M&A jest to na tyle zauważalne, że w grę wchodzą olbrzymie pieniądze. Transakcje fuzji i przejęć to niezwykle skomplikowane procesy, w których bada się prawne, finansowe i technologiczne możliwości kandydata. Standardową procedurą jest wyliczanie ryzyka dla transakcji: również ryzyka cybernetycznego.
Cyber due diligence powinno być bardzo szczegółowym badaniem, w którym cyberbezpieczeństwo rozumiane jest kompleksowo: od bezpieczeństwa publicznie dostępnych aplikacji, po obecność haseł pracowników firm w darknecie.
Wykonując pracę przed zakończeniem transakcji można ochronić się przed skutkami w postaci utraty reputacji i zaufania, wycieku danych, kar finansowych. W skali państwa stawka jest jeszcze wyższa, w związku z tym cyber due diligence staje się nie tyle dobrą praktyką, co ogólnie przyjętym standardem.
Źródła:
- CFIUS Developments: Notable Cases and Key Trends
- FACT SHEET: President Biden Signs Executive Order to Ensure Robust Reviews of Evolving National Security Risks by the Committee on Foreign Investment in the United States
- Cyber Case Study: Marriott Data Breach
- Reform of the EU foreign direct investment screening regulation — hoe might M&A transactions be impacted?
- Epic Yahoo Data Breaches Lead to Big Drop in Value Prior to Planned Acquisition By Verizon
- Elon Musk’s Shadow Rule