Cyber Due Diligence Best Practices cho M&A: Giám sát Liên Tục thay vì Kiểm Tra Một Lần

Hơn 60% các vụ M&A bị thiệt hại nặng nề hậu deal do rủi ro an ninh mạng. Đáng sợ hơn, trong 9 trên 10 trường hợp đó, người mua đã thực hiện đầy đủ cyber due diligence theo đúng checklist tiêu chuẩn. Họ đã tick đủ ô MFA, xác nhận có chứng chỉ ISO 27001, và đảm bảo tuân thủ GDPR. Nhưng cuối cùng, họ vẫn rơi vào hố tử thần.

Bởi vì đa số đang hiểu nhầm một điều chết người: cyber due diligence không phải là một bức ảnh tĩnh chụp một lần trước khi đóng deal. Đó không phải là việc kiểm tra xe cũ trước khi xuống tiền. Đó là việc theo dõi nhịp tim liên tục, từ ngày bắt đầu đàm phán, xuyên qua quá trình sáp nhập, cho đến ít nhất 12 tháng sau khi hệ thống đã vận hành chung.

Checklist chỉ là ảnh đã qua filter. Đừng quá tin vào nó

Mọi bài hướng dẫn về cyber due diligence best practices trên Google sẽ đưa cho bạn một bảng 50 dòng: kiểm tra MFA, kiểm tra vá lỗi, kiểm tra backup. Bạn tick hết và cảm thấy yên tâm. Đây là sự thật mà không ai nói với bạn: trong 70% các tổ chức khai báo đã bật MFA toàn hệ thống, ít nhất một nửa tài khoản quản trị cấp cao vẫn cho phép đăng nhập bằng SMS hoặc có tùy chọn bypass dành riêng cho bộ phận IT.

Tương tự với việc vá lỗi. Bên bán có thể gửi báo cáo tỷ lệ vá lỗi đạt 98%. Nhưng bạn sẽ không biết rằng con số đó thường chỉ tính cho máy tính Windows. Nó không bao gồm firmware của switch mạng, không bao gồm máy chủ kế toán cũ chạy từ năm 2017 mà không ai dám khởi động lại, và càng không bao gồm các thiết bị IoT điều khiển hệ thống tòa nhà vốn đã lỗi thời từ lâu.

Đừng chỉ hỏi “có cái này không”. Hãy yêu cầu: “Gửi tôi log tỷ lệ vá lỗi đúng hạn trong 6 tháng gần nhất, phân theo loại thiết bị. Gửi tôi kết quả test phishing nhân viên quý trước. Gửi tôi báo cáo thử nghiệm thâm nhập (pentest) cuối năm bản gốc đầy đủ lỗi, không phải bản tóm tắt sạch đẹp gửi cho ban giám đốc”. Nếu họ không có, cái checklist kia chỉ là một bức ảnh selfie đã qua chỉnh sửa quá đà.

Đừng mua giấy tờ, hãy mua khả năng phản ứng lúc 2 giờ sáng

Một sai lầm phổ biến khác là đánh đồng tuân thủ quy định (compliance) với bảo mật thực thụ. Họ đưa cho bạn chứng chỉ GDPR, báo cáo audit DORA, và bạn nghĩ mình an toàn. Thực tế, pass audit chỉ có nghĩa là họ có đủ tài liệu để trình cho kiểm toán viên. Nó không đồng nghĩa với việc các quy trình đó được thực thi trong thực tế.

Bạn có thể gặp trường hợp: dữ liệu khách hàng được mã hóa đúng quy định, nhưng khóa giải mã lại đặt ngay trong cùng một máy chủ. Hoặc quy trình xử lý sự cố được viết cực kỳ chuyên nghiệp trên 15 trang giấy, nhưng chưa bao giờ được diễn tập thực tế một lần nào.

Câu hỏi đắt giá nhất khi phỏng vấn đội ngũ kỹ thuật bên bán là: “Kể tôi nghe về sự cố bảo mật nghiêm trọng nhất trong 2 năm qua. Các bạn phát hiện lúc mấy giờ? Ai nhận cảnh báo đầu tiên? Mất bao lâu để cô lập hệ thống? Sau đó có ai bị kỷ luật hay quy trình nào được thay đổi không?”. Nếu họ ngẩn ngơ hoặc khẳng định “chưa bao giờ có sự cố”, hãy cân nhắc giảm ngay ít nhất 15% giá trị deal vì những rủi ro tiềm ẩn chưa được phát hiện.

Hãy nhớ vụ Marriott mua Starwood. Họ có mọi chứng chỉ hợp lệ, pass mọi kiểm tra. Nhưng 2 năm sau khi đóng deal, họ mới phát hiện cơ sở dữ liệu đặt phòng đã bị hacker chiếm giữ từ 4 năm trước đó. Tổng thiệt hại đến nay đã vượt mốc 1 tỷ đô la.

Dừng cảm tính: Đổi rủi ro an ninh mạng thành con số cụ thể

Đến nay, quá nhiều quyết định M&A vẫn dựa trên cảm giác: “CEO bên đó trông đáng tin” hay “Họ có ISO rồi chắc ổn”. Trong cyber due diligence best practices hiện đại, mọi rủi ro phải được định lượng bằng tiền để thương lượng giá hoặc từ bỏ deal.

Công thức không quá phức tạp: Lấy chi phí trung bình cho mỗi bản ghi dữ liệu bị lộ (theo báo cáo IBM Ponemon), nhân với số lượng khách hàng của mục tiêu, nhân với xác suất tấn công trung bình của ngành. Cộng thêm chi phí nâng cấp hệ thống để đạt tiêu chuẩn của bên mua và các khoản phạt quy định tiềm ẩn. Đó chính là số tiền rủi ro tối thiểu bạn đang gánh trên vai.

Khi Verizon mua Yahoo, sau khi phát hiện vụ rò rỉ 1 tỷ tài khoản, họ đã thương lượng giảm trực tiếp 350 triệu đô la giá trị thương vụ. Họ không làm việc dựa trên cảm tính, họ làm việc dựa trên tính toán rủi ro tài chính. Công việc của bạn không chỉ là tìm ra lỗ hổng, mà là tính xem cái lỗ hổng đó đáng giá bao nhiêu tiền.

Dark web monitoring: Cần con người thay vì chỉ dùng công cụ

Nhiều người tin rằng chỉ cần đăng ký một công cụ quét Dark web giá rẻ là đủ. Kết quả là bạn nhận được hàng trăm cảnh báo mỗi ngày và rơi vào trạng thái hoảng loạn giả tạo. Thực tế, 92% cảnh báo từ các công cụ tự động là rác hoặc dữ liệu cũ từ nhiều năm trước.

Bạn cần một chuyên gia thực thụ — người có kinh nghiệm nằm vùng trên các diễn đàn ngầm — để phân biệt đâu là kẻ lừa đảo và đâu là kẻ đang nắm giữ dữ liệu thật của công ty mục tiêu. Họ sẽ biết cách kiểm tra mẫu dữ liệu, xác định thời điểm rò rỉ và đánh giá mức độ tàn phá của thông tin đó đối với thương vụ. Đừng bao giờ đưa ra quyết định triệu đô dựa trên một alert tự động chưa qua kiểm chứng.

Rủi ro thực sự bắt đầu sau khi đóng deal

Đây là điểm cốt yếu mà nhiều quy trình cyber due diligence bỏ qua: 80% tổn thất xảy ra trong giai đoạn sáp nhập hệ thống. Khi hai thực thể khác nhau về văn hóa bảo mật, công nghệ và quy trình trộn lẫn vào nhau, bề mặt tấn công sẽ tăng gấp ba lần.

Bên mua dùng Splunk, bên bán dùng QRadar. Bên mua vá lỗi hàng tuần, bên bán vá lỗi hàng quý. Sự xung đột này tạo ra những kẽ hở chết người. Do đó, bạn không thể làm due diligence một lần rồi thôi. Bạn cần một lộ trình giám sát liên tục từ lúc đàm phán cho đến khi việc tích hợp hoàn tất hoàn toàn.

Mọi thứ đều có thể làm giả: báo cáo, chứng chỉ, thậm chí cả kết quả quét lỗ hổng tự động. Chỉ có hai thứ không bao giờ nói dối: Log hệ thống và hành động thực tế của con người khi đối mặt với sự cố. Nếu bạn thực hiện cyber due diligence đúng cách, bạn không chỉ mua một công ty, bạn đang mua một tầm nhìn minh bạch về những rủi ro và cơ hội trong tương lai.

Nếu bạn đang xây dựng tài nguyên nghiên cứu chuyên ngành về quản lý rủi ro, M&A hay an ninh mạng và muốn nội dung được tiếp cận đúng đối tượng ra quyết định, bạn có thể tham khảo dịch vụ xây dựng backlink chất lượng cao của Backlink Cafe. Họ hoạt động 8 năm, phục vụ hơn 1700 khách hàng, thực hiện 100% link thủ công mũ trắng trên domain DR > 75, có các gói Ahrefs, A+ và GEO phù hợp với mọi quy mô chiến lược SEO.