Nočná mora po podpise zmluvy: Ako Marriott doplatil na minulosť inej firmy a prečo je prevzatý systém časovanou bombou pre váš biznis

Akvizície a fúzie sú v biznisovom svete vnímané ako kľúčové míľniky na ceste k trhovej dominancii a expanzii. Keď sa v roku 2016 hotelový gigant Marriott International rozhodol pohltiť sieť Starwood Hotels & Resorts, zdalo sa, že ide o strategický ťah storočia. O dva roky neskôr sa však tento sen zmenil na technologickú a právnu nočnú moru, ktorá odhalila jednu z najväčších bezpečnostných slabín moderného podnikania: neviditeľné hrozby ukryté v prevzatých systémoch. Tento príbeh nie je len o uniknutých údajoch miliónov hostí, ale predovšetkým o kritickom zlyhaní v procese preverovania digitálneho dedičstva. Ukazuje nám, že pri kúpe inej spoločnosti nekupujete len jej značku a klientelu, ale aj každú jednu chybu v kóde, ktorú kedy urobili ich programátori, a každé jedno opomenutie ich bezpečnostných technikov.

Prípad Marriott: Keď miliardová akvizícia prinesie nečakané dedičstvo

V novembri 2018 svet obletela správa, ktorá otriasla dôverou v digitálnu bezpečnosť cestovného ruchu. Spoločnosť Marriott International oznámila, že hackeri získali prístup k rezervačnému systému siete Starwood, pričom únik sa týkal približne 500 miliónov hostí. Šokujúce však nebolo len samotné číslo, ale fakt, že útočníci mali prístup k infraštruktúre už od roku 2014. To znamená, že Marriott kúpil firmu, ktorá bola v čase podpisu zmluvy už dva roky kompromitovaná, bez toho, aby o tom vedel.

Tento incident demonštruje fenomén, ktorý kybernetickí experti nazývajú „technický dlh s vysokým úrokom“. Pri integračnom procese sa Marriott sústredil na biznisovú synergiu, no podcenil hĺbkovú analýzu (IT Due Diligence) cieľovej infraštruktúry. Hackeri v systéme Starwood nerušene operovali, zatiaľ čo manažéri oslavovali úspešné spojenie firiem. Medzi uniknutými údajmi sa nachádzali:

• Mená a kontaktné údaje zákazníkov.
• Čísla pasov v nezašifrovanej podobe.
• Informácie o vernostných programoch.
• Dáta o platobných kartách (hoci boli šifrované, existovalo podozrenie na krádež dešifrovacích kľúčov).

Prečo sú prevzaté systémy „časovanou bombou“ pre váš biznis

Prevzatie cudzej technologickej infraštruktúry je v podstate ako nasťahovanie sa do domu, o ktorom neviete, či nemá v základoch termity alebo v stenách skrytý odposluch. Existuje niekoľko dôvodov, prečo sú tieto systémy pre nového majiteľa mimoriadne nebezpečné. Prvým je nedostatok transparentnosti. Pôvodná firma mohla roky zanedbávať aktualizácie (patching) alebo používať softvér, ktorý je už dávno po dobe životnosti (End-of-Life).

Ďalším rizikom je rozmanitosť bezpečnostných kultúr. Zatiaľ čo vaša spoločnosť môže dodržiavať prísne štandardy kybernetickej bezpečnosti, akvirovaná firma mohla mať voľnejšie pravidlá pre prístup zamestnancov k citlivým dátam. Akonáhle tieto dva svety prepojíte, vytvoríte most, cez ktorý môžu hrozby zo slabšej siete preniknúť do vašej doteraz bezpečnej pevnosti. Marriott doplatil práve na to, že integroval toxický systém do svojej štruktúry bez toho, aby ho predtým izoloval a podrobil dôkladnej očiste.

Netreba zabúdať ani na integračný chaos. Počas spájania firiem sa pozornosť sústredí na to, aby veci „fungovali“. Bezpečnostné nastavenia sa často dočasne oslabujú, aby sa uľahčil prenos dát medzi platformami, čo vytvára ideálne okno príležitosti pre útočníkov, ktorí už v systéme sú alebo na takúto príležitosť čakajú.

3 kľúčové chyby v procese IT Due Diligence, ktorým sa musíte vyhnúť

Ak sa chystáte na akvizíciu, musíte sa pozerať za hranicu finančných výkazov. Marriott nás naučil, že povrchná kontrola IT oddelenia nestačí. Tu sú najčastejšie chyby, ktoré vedú k post-akvizičnej katastrofe:

1. Spoliehanie sa na dokumentáciu predávajúceho: Firmy, ktoré sú na predaj, majú tendenciu prikrášľovať realitu. Ich správy o stave IT môžu uvádzať, že všetko je zabezpečené, no realita v serverovni môže byť úplne iná. Vlastný audit s využitím externých penetračných testerov je nevyhnutnosťou.

2. Ignorovanie histórie incidentov: Mnohé firmy taja menšie bezpečnostné incidenty, ktoré považujú za vyriešené. Avšak malý únik v minulosti môže byť indikátorom toho, že v sieti stále existujú „zadné vrátka“ (backdoors), ktoré nikto neodstránil.

3. Podcenenie nákladov na modernizáciu: Často sa stáva, že firma kúpi konkurenciu a až potom zistí, že ich systémy sú nekompatibilné a ich zabezpečenie na modernú úroveň bude stáť milióny eur. Tento neplánovaný výdavok môže úplne vymazať očakávaný zisk z akvizície.

Právne a finančné následky, ktoré môžu potopiť firmu

Následky kauzy Marriott neostali len pri poškodenej reputácii. Spoločnosť čelila masívnym sankciám zo strany regulačných orgánov. Britský úrad pre ochranu osobných údajov (ICO) pôvodne navrhol pokutu vo výške viac ako 99 miliónov libier. Hoci bola suma po odvolaniach a s prihliadnutím na pandémiu znížená, stále išlo o bolestivý zásah do rozpočtu.

Okrem pokút musí firma počítať aj s:

• Nákladmi na forenzné vyšetrovanie: Identifikácia rozsahu škôd a spôsobu prieniku vyžaduje špičkových expertov, ktorí si účtujú tisíce eur denne.
• Hromadnými žalobami: Zákazníci, ktorých súkromie bolo narušené, sa čoraz častejšie spájajú a žiadajú odškodné, čo vedie k dlhoročným súdnym sporom.
• Poklesom hodnoty akcií: Trhy reagujú na správy o únikoch dát veľmi citlivo. Marriott stratil bezprostredne po oznámení značnú časť svojej trhovej hodnoty.

Ako eliminovať riziká pri preberaní cudzej infraštruktúry

Aby ste sa vyhli osudu Marriottu, je nevyhnutné implementovať stratégiu „Zero Trust“ už počas fázy vyjednávania. Nikdy nepredpokladajte, že sieť, ktorú preberáte, je čistá. Prvým krokom by mala byť úplná izolácia systémov cieľovej firmy od vašej hlavnej siete až do momentu, kým neprebehne hĺbková analýza.

Odporúča sa nasadiť pokročilé monitorovacie nástroje, ktoré sledujú odchádzajúcu prevádzku (egress filtering). Ak systém, ktorý práve kupujete, komunikuje so servermi v krajinách s vysokým rizikom kyberkriminality, je to jasný varovný signál. Taktiež je rozumné trvať na tom, aby súčasťou kúpnej zmluvy boli záruky a odškodnenia (Warranties & Indemnities) špecificky zamerané na kybernetickú bezpečnosť a ochranu dát.

V neposlednom rade zvážte stratégiu „vypáliť a postaviť nanovo“. V mnohých prípadoch je bezpečnejšie a z dlhodobého hľadiska lacnejšie migrovať dáta zo starého systému do vašej overenej infraštruktúry, než sa pokúšať opravovať a zaplátať deravý softvér prebratej firmy. Marriott sa pokúšal o integráciu, no nakoniec musel systém Starwoodu úplne vyradiť, čo by bolo bývalo efektívnejšie urobiť hneď na začiatku.

Prípad spoločnosti Marriott International zostáva jedným z najvýraznejších mement v dejinách digitálneho biznisu. Jasne nám ukazuje, že v ére GDPR a sofistikovaných kybernetických útokov už nie je IT bezpečnosť len technickou záležitosťou, ale kľúčovým prvkom strategického riadenia a riadenia rizík. Marriott doplatil na to, že pri akvizícii videl len tabuľkové zisky a expanziu trhového podielu, pričom prehliadol technologickú hnilobu, ktorá sa šírila pod povrchom rezervačného systému Starwood. Pre moderného podnikateľa z toho vyplýva jasné ponaučenie: každá akvizícia je len taká úspešná, nakoľko bezpečná je jej najslabšia časť.

Investícia do dôkladného technologického auditu pred podpisom zmluvy nie je zbytočným nákladom, ale poistkou, ktorá môže zachrániť vašu firmu pred likvidačnými pokutami a stratou dôvery zákazníkov. Akvizícia by mala byť motorom rastu, nie kotvou, ktorá vás stiahne ku dnu kvôli chybám, ktoré urobil niekto iný pred rokmi. V dnešnom prepojenom svete preberáte s každým novým serverom a každou databázou aj zodpovednosť za minulosť, ktorú ste nespôsobili, ale za ktorú budete musieť niesť následky. Buďte preto pri preberaní cudzích systémov nekompromisní, podozrievaví a predovšetkým dôkladní, pretože v digitálnom priestore sú časované bomby v podobe starých bezpečnostných dier skutočnejšie, než si mnohí manažéri pripúšťajú.