«Проверка безопасности при сделках M&A, это не протоколы и сканеры уязвимостей. Это поиск скрытых обязательств, которые могут превратить выгодное приобретение в многолетний судебный процесс или в бесконечную дыру для бюджета. Часто реальные риски лежат не в технических системах, а в контрактах, культуре и устаревших процессах.»
Что такое кибер-диллидженс и почему он важен
В сделках по слиянию и поглощении (M&A) due diligence, это комплексная проверка компании-цели. Кибер-диллидженс — её специализированная часть, фокусирующаяся на информационной безопасности, защите данных и цифровых рисках. Его цель — не просто составить список уязвимостей, а оценить, как существующие пробелы в безопасности могут повлиять на стоимость сделки, будущие интеграционные затраты и репутацию покупателя.
Пропуск этого этапа чреват серьёзными последствиями. Обнаружение масштабного инцидента уже после закрытия сделки может привести к прямым финансовым потерям, судебным искам от клиентов, штрафам от регуляторов и катастрофическому падению доверия. В российском контексте с учётом 152-ФЗ и требований ФСТЭК это также означает риск несоответствия регуляторным нормам, что может заблокировать интеграцию бизнес-процессов или потребовать многомиллионных вложений в их приведение в соответствие.
Этапы проведения кибер-диллидженса
Эффективная проверка строится по многоуровневой модели, от общего обзора к глубокому анализу.
1. Предварительный анализ и планирование
На этом этапе формируется команда (внутренние специалисты по ИБ, юристы, финансисты, часто привлекаются внешние аудиторы) и определяется объём проверки. Ключевой вопрос: насколько бизнес цели зависит от цифровых активов и данных? Для SaaS-компании или fintech-стартапа проверка будет максимально глубокой, для производственного предприятия с унаследованными системами — сфокусированной на ключевых рисках.
Составляется чек-лист и запрашивается у продавца пакет первоначальных документов: политики ИБ, отчеты о прошлых аудитах и пентестах, описание ИТ-архитектуры, данные об инцидентах за последние несколько лет.
2. Документарная проверка
Этот этап — основа. Анализируется не столько техническое состояние, сколько зрелость процессов управления ИБ.
- Политики и процедуры: Существуют ли формализованные политики безопасности? Когда они в последний раз пересматривались? Есть ли регламенты по реагированию на инциденты, управлению доступом, обновлению ПО?
- Соответствие регуляторным требованиям: Проверяется наличие необходимых сертификатов ФСТЭК (например, на СЗИ), документов по выполнению требований 152-ФЗ (модели угроз, акты классификации ИСПДн). Отсутствие этих документов для компании, работающей с персональными данными, — прямой сигнал о высоком риске.
- Договоры и обязательства: Изучаются контракты с клиентами (пункты об ответственности за утечки данных), SLA с облачными провайдерами, лицензионные соглашения на ПО. Важно выявить скрытые обязательства, например, требование хранить данные только на территории конкретной страны.
- Кадровая безопасность: Проверяются документы о проведении инструктажей по ИБ, наличие подписанных соглашений о конфиденциальности (NDA) с сотрудниками.
3. Техническая оценка
Если договорённости позволяют, команда переходит к практической оценке инфраструктуры. Это не полноценный пентест, а скорее экспресс-оценка.
- Архитектура и периметр: Анализируются схемы сетей, используемые межсетевые экраны, системы обнаружения вторжений. Оценивается сегментация сети — смешаны ли критичные системы с общедоступными.
- Управление активами и уязвимостями: Есть ли реестр информационных активов? Как часто проводится сканирование на уязвимости и как обрабатываются результаты? Проверяются отчёты о последних сканированиях.
- Защита данных: Как организовано шифрование данных на rest и in transit? Используются ли DLP-системы? Как реализовано резервное копирование и восстановление?
- Мониторинг и логирование: Настроены ли системы централизованного сбора и анализа логов (SIEM)? Как долго хранятся логи? Есть ли выделенная команда SOC или это outsourced-услуга?
4. Оценка инцидентов и устойчивости
Изучается история инцидентов информационной безопасности. Важны не только факты, но и то, как компания на них реагировала.
- Были ли зафиксированы утечки данных, атаки вымогателей (ransomware), DDoS-атаки?
- Каков был механизм реагирования? Включалось ли руководство, уведомлялись ли регуляторы и клиенты в соответствии с 152-ФЗ?
- Проводились ли учебные тренировки по отработке инцидентов?
- Существует ли и актуален ли план обеспечения непрерывности бизнеса (BCP) и аварийного восстановления (DRP)?
Ключевые риски, на которые стоит обратить особое внимание
Некоторые проблемы имеют особенно высокий вес при оценке.
- Наследие (Legacy): Критичные бизнес-процессы, завязанные на устаревшее, неподдерживаемое ПО (например, старые версии 1С, самописные системы на deprecated-фреймворках). Их модернизация может стоить дороже, чем вся сделка.
- Теневая ИТ (Shadow IT): Отделы, использующие неутверждённые облачные сервисы для хранения рабочих данных, создают неконтролируемые каналы утечек и точки несоблюдения compliance.
- Человеческий фактор и культура: Если руководство компании-цели не воспринимает ИБ как приоритет, все формальные политики будут бесполезны. Высокая текучка в ИТ-отделе — тоже тревожный сигнал.
- Недооценка интеграционных рисков: Проблемы возникнут при попытке объединить две ИТ-системы с разными уровнями безопасности, разными политиками доступа и несовместимыми стандартами шифрования.
Формирование отчёта и переговоры
Результатом диллидженса является структурированный отчёт, который переводит технические находки на язык бизнес-рисков и финансов.
Отчёт должен чётко разделять выявленные проблемы по категориям:
| Категория риска | Пример | Потенциальное влияние | Рекомендуемые действия |
|---|---|---|---|
| Критичный / Блокирующий сделку | Текущий нераскрытый инцидент с утечкой базы данных клиентов | Немедленные штрафы по 152-ФЗ, судебные иски, репутационный коллапс | Требовать раскрытия и устранения до закрытия сделки; заложить существенную сумму в escrow |
| Высокий | Отсутствие необходимых сертификатов ФСТЭК для основной ИС | Невозможность легальной эксплуатации системы после сделки, приостановка деятельности | Скорректировать цену сделки на стоимость получения сертификатов и доработок |
| Средний | Слабая политика паролей, отсутствие MFA | Повышенный риск компрометации учётных записей, потенциальные инциденты | Включить мероприятия по усилению в план интеграции на первые 100 дней |
| Низкий | Устаревшие, но изолированные системы, не влияющие на основной бизнес | Минимальное влияние на стоимость или интеграцию | Запланировать вывод из эксплуатации в долгосрочной перспективе |
На основе этого отчёта покупатель может:
- Скорректировать цену сделки в сторону уменьшения.
- Внести в договор специальные условия (representations and warranties) о состоянии ИБ.
- Создать фонд на escrow-счёте, который покроет будущие расходы на устранение найденных проблем.
- Разработать детальный план интеграции и усиления безопасности на первые 100 дней после закрытия сделки.
После сделки: интеграция и первые 100 дней
Закрытие сделки — не конец, а начало самого сложного этапа. План интеграции в области ИБ должен быть готов заранее.
Приоритетные задачи на первые месяцы:
- Быстрое устранение критичных уязвимостей, выявленных в ходе диллидженса.
- Унификация управления доступом: Интеграция каталогов (например, Active Directory), внедрение единых правил аутентификации и авторизации.
- Расширение мониторинга на активы поглощённой компании, включение их в единый центр управления инцидентами (SOC).
- Объединение политик: Поэтапный переход сотрудников новой компании на корпоративные политики и стандарты безопасности покупателя.
- Проведение углублённого аудита и пентеста уже в качестве полноправного владельца, когда доступ к системам и людям становится полным.
Кибер-диллидженс, это не бюрократическая формальность, а мощный инструмент управления рисками и стоимостью. В российской реальности, где регуляторное давление в области ИБ и защиты данных только растёт, его грамотное проведение становится не просто рекомендацией, а обязательным условием для любой серьёзной M&A-сделки. Он позволяет заглянуть за фасад финансовых отчётов и увидеть реальную цифровую ценность — и цифровые долги — приобретаемого бизнеса.