לאבטח כדי להבטיח - הקשר שבין סייבר ל-M&A

חשיבות אבטחת המידע מתבטאת גם בצורת החשיבה של מנהלים כפי שעולה מסקר שפורסם ב-2016 ונערך בקרב דירקטורים ונושאי משרה ב-276 חברות ציבוריות בארה"ב. במסגרת הסקר השיבו 85% מהנשאלים כי "קרוב לוודאי" או "קרוב מאד לוודאי" שגילוי חולשות אבטחה משמעותיות ישפיעו על החלטתם הסופית לגבי סגירת עסקה. כמו כן, 22% מהנשאלים השיבו כי ייסוגו לחלוטין מעסקה ו-52% השיבו כי יסכימו להמשיך בעסקה אך ורק במחיר נמוך משמעותית, במקרה שהחברה הרלוונטית נפלה לאחרונה קרבן לפרצת אבטחה מתוקשרת.

אילוסטרציה צילום: שאטרסטוק

כזכור, בחודשים ספטמבר ודצמבר אשתקד, זמן קצר לאחר שנחתמה עסקה למכירת יאהו לורייזון תמורת 4.83 מיליארד דולר, התגלו שתי פרצות אבטחה מתוקשרות בחברת יאהו במסגרתן נחשפו חשבונותיהם ופרטי הזיהוי של למעלה ממיליארד לקוחות (לאחרונה עדכנה יאהו כי על פי ממצאים אחרונים, מתברר כי חשבונות המייל של כל המשתמשים נחשפו בצורה כזו או אחרת, דהיינו פגיעה בכ-3 מיליארד לקוחות). אירועים אלו הובילו את יאהו להסכים לשתי פשרות דרמטיות על מנת לסגור את עסקת המכירה: הנחה של 350 מיליון דולר במחיר הרכישה וחלוקה באחריות כלפי תביעות עתידיות שתאלץ יאהו לספוג, בין היתר עקב ירידת ערך החברה.

אירועים אלו כאמור, הובילו בשנה האחרונה לכך שנושא הסייבר מקבל מקום מרכזי בעסקאות M&A וגיוסים וזאת במגוון היבטים. ראשית, משקיעים, רוכשים וחתמים, בין אם בחברה ותיקה ובין אם בחברת הזנק, כוללים במסגרת בדיקות הנאותות, גם בדיקות של איכות וחוסן מערכות אבטחת המידע של העסק ומצפים כי אלו יתאמו את הסטנדרט הנוהג בענף הספציפי (industry-standard) ויעמדו בדרישות הרגולציה הרלוונטית, לרבות רגולציה ספציפית לענף מסוים (למשל NERC CIP בתחום האנרגיה, HIPAA בתחום הרפואה ושירותי הבריאות ו-PCI DSS בכל הנוגע לשימוש וסליקת כרטיסי אשראי) ובדרישות הרגולציה החלה במדינות ואזורים גאוגרפיים בהם

פעילה החברה. כמו כן, מקובל כיום יותר ויותר, לדרוש מהחברה או המוכר, לכלול במסגרת סעיפי המצגים המקובלים הניתנים בעסקה, גם מצגים הנוגעים באופן ספציפי להיבטי סייבר ואבטחת מידע, לרבות מצגים על התקפות ופרצות אבטחה שנתגלו בעבר ועל איכות מערכות אבטחת המידע ואמצעי האבטחה הננקטים, כולל מול ספקי שירות חיצוניים. בנוסף, יתבקש המוכר לאשר כי מדיניות האבטחה והאמצעים הננקטים בחברה הינם סבירים ומספקים ועולים בקנה אחד עם המקובל בענף ועם דרישות הרגולציה הרלוונטיות.

לא זו אף זו, על המוכר להיות ערוך להתחייב לשאת בנזק, ככל שייגרם, אם יתברר שהמצגים היו מוטעים. נזקים כאמור יכולים לנבוע בין היתר, מקנסות שיושתו ע"י הרגולטור, מעלויות הטיפול בפרצת האבטחה ובעדכון ושיפור מערכת אבטחת המידע, מתביעות נזיקין ממי שפרטיהם נחשפו ומתביעות ייצוגיות מטעם בעלי מניות עקב ירידה בערך החברה. יש לציין כי בפרצות בהיקפים גדולים, ייתכן שיחלפו חודשים ארוכים עד שיסתיימו הבדיקות וכל השפעות הפרצה יתגלו ומימדי הנזק יהיו ניתנים להערכה (כפי שאכן ארע במקרה יאהו). מטבע הדברים, עצם חוסר הוודאות המתמשך נושא בחובו השפעות חמורות ולעתים אף סופניות על עסקת M&A, שכן כידוע, במקרים רבים, הינה עניין של מומנטום.