لماذا يجب عليك تقييم أمن بيانات الشركة قبل عملية الاستحواذ عليها؟

عندما استحوذت شركة ماريوت إنترناشونال (Marriott International) على شركة ستاروود (Starwood) في عام 2016 مقابل 13.6 مليار دولار، لم تكن أي من الشركتين على علم بموضوع تقييم أمن بيانات الشركة أو بالهجوم الإلكتروني على نظام الحجز الخاص بشركة ستاروود والذي يعود إلى عام 2014. ويعد هذا الاختراق الذي كشف البيانات الشخصية الحساسة لما يقرب من 500 مليون زبون من زبائن ستاروود مثالاً مميزاً حول ما نطلق عليه "ليمون البيانات"، وهو مفهوم مستمد من عمل الخبير الاقتصادي جورج أكيرلوف بشأن عدم تناسق المعلومات ومشكلة "الليمون".  كانت فكرة أكيرلوف تنطوي على عدم معرفة المشتري بجودة المنتج الذي يقدمه البائع، وبالتالي يخاطر المشتري بشراء الليمون – فكّر في السيارات.

ووسّعنا بدورنا هذا المفهوم اليوم ليشمل نشاط الدمج والاستحواذ، إذ توجد معلومات غير متناسقة حول جودة الشركة الهدف في أي صفقة بين الشركة المستحوذة والشركة الهدف، أي البائع.  وفي حين أدرك المدراء هذا المفهوم منذ فترة طويلة، سلّطت الأحداث الأخيرة الضوء على فارق مستجد في عمليات الدمج والاستحواذ والمتمثل في ليمون البيانات. أي أن جودة الهدف قد تكون مرتبطة بقوة الأمن السيبراني وامتثاله لتشريعات خصوصية البيانات. عندما لا تحمي الشركة المستحوذة نفسها ضد ليمون البيانات، ولا تسعى للحصول على معلومات كافية حول خصوصية البيانات والامتثال الأمني للشركة الهدف، فقد تجد الشركة المستحوذة نفسها أمام معضلة ليمون البيانات المتمثلة في الانتهاك الأمني والعقوبات الحكومية المتولدة، إلى جانب تلف العلامة التجارية وفقدان الثقة. وهذا هو الوضع الذي تتعامل معه شركة ماريوت الآن، إذ تواجه الشركة 912 مليون دولار من غرامات التشريعات العامة لحماية البيانات في الاتحاد الأوروبي، كما تلقى سعر سهمها ضربة قاسية. ولا تنتهي المشكلة هنا، حيث "قد تواجه الشركة ما يصل إلى مليار دولار من الغرامات التنظيمية وتكاليف التقاضي"، وفقاً لشركة بلومبرغ.

اقرأ أيضاً: ما الذي يميّز حقاً الشراكات عن عمليات الاندماج والاستحواذ؟.

وليست شركة ماريوت الشركة الوحيدة التي واجهت وضعاً كهذا. إذ قامت شركة فيرايزون (Verizon) في عام 2017 بتخفيض سعر شراء شركة ياهو الأصلي الذي بلغ 4.8 مليار دولار بمقدار 350 مليون دولار بعد علمها عقب عملية الاستحواذ بتعرض شركة ياهو لعملية اختراق للبيانات. وبالمثل أعلنت شركة أبوت (Abbott) في شهر أبريل/ نيسان عام 2016 عن استحواذها على شركة سانت جود ميديكال (St. Jude Medical)، وهي شركة تصنيع أجهزة طبية ومقرها في ولاية مينيسوتا، لتدرك في وقت لاحق من عام 2017 مخاطر اختراق 500,000 جهاز من أجهزة ضبط نبضات القلب التي تصنّعها شركة سانت جود. واضطرت شركة أبوت في النهاية إلى سحب الأجهزة من الأسواق. واستحوذت شركة دايتشي سانكيو اليابانية على مصنع رانباكسي الهندي للمستحضرات الصيدلانية. ولجأت شركة دايتشي سانكيو في وقت لاحق إلى المحاكم بزعم تحريف الشركة الهدف لبيانات الامتثال بالتدابير الأمنية المحددة من قبل إدارة الدواء والغذاء الأميركية التي قدمتها لشركة لدايتشي،من بين مشاكل أخرى.

إذاً ما الذي يجب فعله حيال ليمون البيانات؟ يمكنك ببساطة عقد الصفقة على أي حال، وخاصة إذا كانت القيمة المتولدة بموجب الصفقة تفوق المخاطر. أو يمكنك أن تتّبع مسار فيرايزون وتعيد تقييم الثمن بعد الاستحواذ. ونقترح خياراً ثالثاً يتمثل في اتخاذ إجراءات لإرضاء المتطلبات على صعيد البيانات المالية للشركة المستهدفة، وعلى مواطن الضعف التنظيمية خلال مناقشة عمليات الدمج والاستحواذ. وتنطوي الفكرة على تحديد خروقات البيانات المحتملة ومشاكل الأمن السيبراني قبل أن تصبح مسؤولاً عن هذه المشاكل.

حدد المشكلة قبل امتلاك الشركة

نستلهم في هذا النهج من معايير الامتثال المحددة التي تهدف إلى الحماية من الرشوة والقضايا البيئية، حيث ستقوم الشركة المستحوذة بالتحقيق في انتهاكات البيانات السابقة للشركة المستهدفة، ويتطلب ذلك الإفصاح عن عمليات التدقيق السابقة المتعلقة بالبيانات وأي تحقيقات أخرى معلّقة في جميع أنحاء العالم. وستقوم الشركة المستحوذة أيضاً بإجراء مراجعة لعمليات الشركة الهدف وإجراءاتها فيما يتعلق بأمن المعلومات، مثل الاستخدام المقبول للبيانات وتصنيف البيانات ومعالجتها. ويجب على الشركة المستحوذة أيضاً تقييم مدى امتثال الشركة الهدف بأطر الأمن السيبراني المحددة من قبل المعهد الوطني للمعايير والتكنولوجيا (NIST) ومركز أمن الإنترنت (CIS) والمنظمة الدولية للمعايير (ISO) والمعهد الأميركي للمحاسبين القانونيين (AICPA).

وفي حال اكتشاف بعض المخاطر خلال إجراءات إرضاء المتطلبات، ينبغي على الشركة المستحوذة الانخراط في تدقيق أكثر صرامة حول سياسات الشركة الهدف. على سبيل المثال، هل تلتزم الشركة الهدف بأي نوع من معايير البيانات أو الشهادات؟ وتشمل الأمثلة على ذلك قانون جرام ليتش بليليو  قانون قابلية نقل نظام التأمين الصحي وإخضاعه للمساءلة. وأخيراً، يجب أن تتضمن إجراءات إرضاء المتطلبات أيضاً مراجعة لمتطلبات خصوصية البيانات في عقود الأطراف الثالثة.

لاحظ أيضاً إمكانية أن تنطوي مستندات نقل الملكية بين الشركة الهدف والشركات المستحوذة على مخاطر "تسرب المعلومات"، بمعنى الإفصاح غير المقصود عن البيانات الحساسة. وهذا ما يجعل كل من الشركة الهدف والشركة المستحوذة عرضة للهجوم بشكل خاص من قبل القراصنة أثناء اتخاذ إجراءات إرضاء المتطلبات لعمليات الدمج والاستحواذ، ويحصل ذلك أحياناً عن طريق اختراق جهات خارجية مثل البنوك أو مكاتب المحاماة أو شركات المحاسبة أو الأطراف الثالثة المتمثلة في البائعين الخارجيين المشاركين في عمليات الدمج والاستحواذ. لذلك من المهم أن تزيد من أمن هذه المعلومات وأن تقوم بمراجعة ممارسات الأطراف الثالثة للحد من هذه المخاطر.

بعد أن تجني ليمون البيانات

حتى لو فعلت كل ما سبق، قد لا تزال عرضة للوقوع في معضلة ليمون البيانات. ماذا يجب عليك أن تفعل بعد ذلك؟ من الضروري في هذه المرحلة وضع استراتيجية للاستجابة للحوادث لمعالجة المخاطر، بما في ذلك المخاطر القانونية أو التنظيمية أو المخاطر التي تواجه الزبائن في طبيعتها. ويجب أن تكون استراتيجية الاستجابة للحوادث هذه سريعة وحاسمة، وأن تتبنى نهجاً متعدد التخصصات، ويجب إشراك مجلس الإدارة فيها. ويجب أن تكون عمليات إدارة العلاقات العامة والتواصل مع صانعي السياسة شفافة. وهذه ليست سوى خطوات فورية، حيث تحتاج الشركة المستحوذة إلى مراجعة الممارسات التي أدت إلى الاختراق وتحديد التدابير اللازمة لتحسين برنامج الامتثال لخصوصية البيانات والمضي قدماً.

وفي نهاية الحديث عن تقييم أمن بيانات الشركة بشكل دقيق، كلما اتخذت الشركات المستحوذة نهجاً استباقياً وعالجت هذه المشكلة من خلال التنظيم الذاتي الفعال، أو من خلال تنظيم قائم على الصناعة تدفعه الشركات الأقران، قلّ احتمال وضع التشريعات الحكومية الأكثر تشدداً موضع تنفيذ كرد فعل.

اقرأ أيضاً: متى يجب على الشركات التحالف ومتى يجب عليها الاستحواذ؟.