Cybersecurity in M&A: niet langer te negeren

Laatst gewijzigd: 20 juli 2023 13:00
Waarom is cyber security geen standaard onderdeel in due diligence processen? Afgelopen november meldde PayPal een datalek bij TIO Networks, dat het vier maanden eerder voor USD 238 miljoen had overgenomen.

Naar aanleiding van dit lek, dat zich mogelijk uitstrekt tot de persoonsgegevens van 1,6 miljoen klanten, besloot PayPal tot onmiddellijke staking van de activiteiten van deze dochteronderneming. Eerder dat jaar wist Verizon de overnameprijs voor Yahoo alsnog met USD 350 miljoen te verlagen, nadat Yahoo zelf tussen signing en closing twee grote datalekken ontdekte. Als zelfs tech-reuzen zich laten verrassen, is cyber security dan iets waar investment professionals en hun adviseurs zich druk om moeten maken? En zo ja, hoe dan?

Incidenten zoals Wannacry en NotPetya laten zien dat elke sector inmiddels kwetsbaar is voor digitale dreigingen. Dagelijks zien ondernemingen zich geconfronteerd met concrete gevallen van diefstal, verstoring van bedrijfsprocessen of bedrijfsspionage. En hoewel steeds meer organisaties aandacht besteden aan hun digitale weerbaarheid, neemt ook het dreigingsniveau toe. Statelijke actoren en cybercriminelen gaan steeds geavanceerder te werk, aanvalsmethodieken veranderen continu en worden steeds breder beschikbaar. Cybercriminaliteit heeft zich ontwikkeld tot een lucratieve industrie, waarmee voor het bedrijfsleven een relevante risicofactor is ontstaan. Als een logisch gevolg hiervan komt cybersecurity dan ook steeds prominenter in beeld bij fusie- en overnameprocessen.

Aangezien een geslaagde hack gemiddeld pas na honderd dagen wordt ontdekt, is het niet ondenkbaar dat aanvallers op het moment van verkoop al ongemerkt zijn binnengedrongen. Daar komt bij dat een succesvolle aanval aanzienlijke gevolgen kan hebben en daarmee, naast juridische repercussies, substantiële invloed kan hebben op het uiteindelijke succes van een investering. 

Grote incidenten rondom transacties zijn in Nederland vooralsnog niet publiekelijk bekend. Niettemin groeit ook onder Nederlandse investment professionals het besef dat cybersecurity een relevante factor is geworden bij de beoordeling van overnametargets. Dit geldt niet alleen voor ondernemingen die zwaar leunen op data, intellectueel eigendom of aanbestedingsprocedures en daarmee kwetsbaar zijn voor doelgerichte aanvallen. Veel aanvallen zijn of beginnen ongericht, maar kunnen door langdurige verstoring van bedrijfsprocessen (ransomware) of door directe financiële schade (CxO fraude) een grote impact hebben. Strategische informatie kan in verkeerde handen vallen. Een nog onontdekt datalek kan, naast directe boetes, leiden tot langdurige reputatieschade. Fundamentele gebreken in techniek en infrastructuur kunnen aanleiding zijn voor majeure investeringen. De financiële gevolgen zijn vaak aanzienlijk, terwijl de kosten van goede preventie, detectie en respons in verhouding beperkt zijn. Dergelijke kwesties wijzen dan ook niet zelden op bredere problemen, bijvoorbeeld op het gebied van compliance en risicomanagement. 

De huidige hoogconjunctuur in M&A verhoogt de competitieve druk in verkoopprocessen. Die druk kan biedende partijen ervan weerhouden om hun due diligence te verbreden naar nieuwe onderzoeksgebieden. Toch kan het belang van een goed uitgevoerd cybersecurityonderzoek moeilijk worden overschat. Of het gaat om het opsporen van nog onbekende incidenten, beoordelen van de digitale weerbaarheid of inschatten van benodigde investeringen, een gericht onderzoek focust op de echte ‘red flags’. Zo’n onderzoek kan in elke transactie worden ingepast, ongeacht de aard van de target en de dynamiek in de deal en is daarmee een waardevolle toevoeging op het bestaande due diligence pallet. 

Romano Herrie, Fox-IT     

         

Gerelateerde artikelen