网络安全尽职调查——未来投资交易的必选项

网络安全尽职调查

网络安全尽职调查——未来投资交易的必选项


投资者在进行投资决策时,需要纳入尽职调查范围的因素有很多,网络安全就是其中重要一块。在数字时代,数据信息已经成为不少企业的核心资产,在企业估值中扮演着重要角色。如果投资对象存在网络安全方面的漏洞,可能导致的风险是多样的:数据资产的流失自是首当其冲;除此以外,随着相关法律体系的日益完善,合规风险亦是不容忽视的重要问题。

数据资产增值,风险凸显

近年来,我们经常可以听到对于“技术驱动商业”这一模式的讨论。从根本上来说,它代表着企业搜集、处理、分析和货币化数据的能力。这种能力的重要性不仅针对于科技企业。事实上,农业、矿业等第一产业中的许多企业也在搜集和分析大量数据,从而获得更大竞争优势。

数据信息目前已经成为企业资产的一部分,甚至可以在投资交易中予以估值。微软在2016年收购领英就是一个很好的例子。当时,微软斥资262亿美元,收购了这家商务社交网络企业数以百万计的简历和人际关系数据。类似的情况也不仅局限于社交网站。2015年博彩集团凯撒娱乐申请破产时,审计师对其忠诚客户数据库的估值达到10亿美元。此外,设计、品牌、技术等企业传统意义上的知识产权很多也已转化为电子形式,并储存于在线平台上,这些都已成为数据资产的一部分。

上述的分析和实例都表明,数据资产已经日益成为企业和市场经济中重要的组成部分。然而在实际操作中,不少企业正面临数据资产遭诉讼、盗窃和监管的风险——这在一定程度上与其网络安全管理机制不够健全息息相关。如果一家企业的网络安全状况不佳,那么因欺诈而导致财务损失,因滥用、遗失或传输数据而导致违规乃至罚款,以及因知识产权遭窃而导致其它损失的风险就相对较高。一旦相关信息被披露,企业还可能面临声誉方面的损失。如果该企业恰好是投资交易的被投对象,那么投资方无疑也将处于较高的风险之中。

网安风险趋紧,观念待更

尽管数据资产对企业非常重要,但却很少有投资方对投资对象的网络安全状况或数据的使用和控制方式等进行尽职调查。化险集团通过对亚洲地区资产管理金额近1万亿美元的私募股权投资公司进行调研,发现大部分公司仅会偶尔对投资对象的信息安全进行尽职调查,其中仅有一家公司会通过正式的流程进行调查来了解数据保护情况、是否曾违规操作、以及未来违规的可能性等。

在如今网络勒索病毒泛滥、大量个人数据因网络入侵而泄露的背景下,这一结果着实令人惊讶。许多投资者仍未对投资对象的数据使用和保护情况予以足够重视。简单来说,网络安全尽职调查仍处于起步阶段。

我们可以用反腐尽职调查来做个类比。15年前,投资者对于反腐尽职调查的态度也不够积极,相关调查通常局限于在特别敏感的国家和行业所进行的投资活动。当时,投资者虽然担忧腐败问题,但并不认为腐败问题会给企业带来长期影响,而且即使出现问题也可临时解决。但在2005年前后,美国《反海外腐败法》(FCPA)开始全面影响企业,带来数十亿美元的合规治理成本;英国、德国等也相继进行反腐败立法,中国也开始加大反腐法规的执行力度。这些立法和监管在一定时间内可能会增加企业的应对成本,但从长远来看,是以规范和制度来更好地帮助企业正视和缓解相应风险,维护市场秩序。反腐如此,网络安全亦然。

基本网络安全工作包括保护信息免受犯罪、间谍等活动的威胁,并应对监管压力。目前不少人对于这项工作的认识与十几年前人们对于反腐合规工作的认识一样存在偏差,即认为无碍大局、问题可在事后解决,也无需披露。但事实上,就像当年的《反海外腐败法》促使投资者将反腐尽职调查正式化一样,如今全球对于网络安全的要求也在迅速发生根本变化。欧盟的《一般数据保护条例》(GDPR)和中国的《网络安全法》,以及全球一系列新出台的数据保护法规,都开始凸显网络安全尽职调查工作的重要性。恶劣的网络安全环境不再仅是一个抽象的问题,而是可能导致巨额罚款、声誉损失或带来法律成本,且必须向监管机构、合作伙伴、客户等进行披露。

关于网络安全尽职调查的几点建议

那么应该如何对投资对象的网络安全进行尽职调查呢?我们建议:首先明确需要保护的关键信息,然后了解相关的人员配置、流程和技术,最后确定是否符合监管标准和最佳实践。一般而言,尽职调查的主要任务是审查企业在网络安全方面的业务实践,如评估企业是否有违反响应计划的行为等。对于复杂且价值较高的投资项目,则可以进行较为全面的安全审计,包括漏洞评估、渗透测试等。

在反腐尽职调查中,人们担心的可能是无法获得有用的财务和销售信息。同样的担心也可能出现在网络安全尽职调查中,即如何充分获得网络和数据安全方面的信息?事实上,网络安全尽职调查的数据获取可能更加直接,例如在入侵级别的评估方面,就可以针对外部资产的不良安全行为和实践进行直接识别。

虽然网络安全尽职调查尚在起步阶段,但我们有理由相信,如同十余年来反腐尽职调查所走过的历程,网络安全尽职调查必将很快成为企业投资交易过程中的另一个必选项,而最先认识到这一点并付诸实践的企业将取得先机。而这次,中国从网络安全技术到立法,一直紧跟国际趋势,那么在尽职调查这种实操理念的落实上,相信也会走在前列。

 

联系我们
如您希望获得更详细的信息,或针对某一话题与我们进行更深入的交流,请联系我们

control-risks-wechat-qrcode

关注化险集团微信公众号。我们将持续与您分享及时的全球风险动态和前沿的深度洞察报告,助您妥善应对风险,把握市场机遇