Cyber Due Diligence Process Prototype
Raunio, Petri (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024120332351
https://urn.fi/URN:NBN:fi:amk-2024120332351
Tiivistelmä
Idea työlle tuli Case Vastaamosta jossa 40 000 henkilön henkilökohtainen data sisältäen nimi, sosiaaliturvatunnus sekä potilasteristeri varastettiin Vastaamoon tehdyssä tietomurrossa. Tietomurto tapahtui ennen yrityskauppoja ja myyjä ei kertonut tietomurrosta ostajalle ja asia ei tullut esille yrityskaupan due diligence prosessissa.
Tutkimuksen tavoitteena on löytää keinoja tunnistaa tietoturvaan liittyviä riskejä due diligence prosessissa ja kehittää prosessiprototyyppi joka helpottaisi identifioimaan ja tunnistamaan tietoturva riskejä yrityskauppa prosessissa. Työ on tehty rahoitusalan näkökulmasta, jossa Euroopan keskuspankin regulaatio asettaa omat haasteet ja vaatimukset tietoturvalle rahoitussektorilla.
Prototyyppi perustuu kirjallisuuskatsaukseen sekä asiantuntijoille tehtyyn kyselyyn jossa yrityskauppojen tietoturvahaasteita ja puutteita kartoitettiin. Kirjallisuuskatsaus ja asiantuntija kysely antoi hyvän pohjan prototyypin kehittämiselle. Prototyyppi perustuu NIST Security Framework (CSF) ja se kattaa European Banking Authority (EBA) vaatimukset informaationteknologian ja tietoturva riskien hallintaan.
Prototyyppi keskittyy tukemaan yrityskauppaprosessia ja helpottaa identifioimaan ja löytämään tietoturvariskejä sekä suunnittelemaan korjaavia toimenpiteitä riskeille.
Tulevaisuuden tutkimuksen tulisi keskittyä kuinka regulaatio, kuten Network and Information Security Directive (NIS2) ja Digital Operational Resilience Act (DORA) vaikuttaa yrityskaupan tietoturvaprosessiin. Toinen aihe tulevaisuuden tutkimukselle olisi miten tekoäly (AI) tulee muuttamaan yritysten tietoturvan uhkakuvaa sekä riskejä ja miten se vaikuttaa yrityskauppojen due diligence prosessiin. The idea of the work came from Case Vastaamo where almost 40 000 persons personal data including name, social security number and patient record was stolen, and company went bankruptcy after some time due to this data leakage. Data breach happened before company investment company bought Vastaamo and the data leakage and cyber security related risks was not found and identified properly in the merger due diligence.
The study was to find ways to identify cyber security related risk in due diligence process and develop process prototype which would help to ensure that all needed cyber security related topics are covered in the merger process. The work was done from financial sector point of view which means highly regulated environment where European Central Bank set the rules for compliance in Europe.
Building the prototype process was based on literature review and subject matter expert survey where challenges in M&A and cyber security was collected and identified. This combination gave strong foundation for building of the prototype. Prototype based NIST Security Framework (CSF), and it cover European Banking Authority (EBA) guidelines on ICT and Security Risk Management.
Prototype focus on supporting projects on M&A and ensure that risks and issues are captured correctly with mitigation actions.
Future research should focus on how regulation like Network and Information Security Directive (NIST2) and Digital Operational Resilience Act (DORA) would with cyber due diligence. Other research line could be how AI will change companies risk picture when there are new threats in operational environments and how that impact to due diligence in M&A.
Tutkimuksen tavoitteena on löytää keinoja tunnistaa tietoturvaan liittyviä riskejä due diligence prosessissa ja kehittää prosessiprototyyppi joka helpottaisi identifioimaan ja tunnistamaan tietoturva riskejä yrityskauppa prosessissa. Työ on tehty rahoitusalan näkökulmasta, jossa Euroopan keskuspankin regulaatio asettaa omat haasteet ja vaatimukset tietoturvalle rahoitussektorilla.
Prototyyppi perustuu kirjallisuuskatsaukseen sekä asiantuntijoille tehtyyn kyselyyn jossa yrityskauppojen tietoturvahaasteita ja puutteita kartoitettiin. Kirjallisuuskatsaus ja asiantuntija kysely antoi hyvän pohjan prototyypin kehittämiselle. Prototyyppi perustuu NIST Security Framework (CSF) ja se kattaa European Banking Authority (EBA) vaatimukset informaationteknologian ja tietoturva riskien hallintaan.
Prototyyppi keskittyy tukemaan yrityskauppaprosessia ja helpottaa identifioimaan ja löytämään tietoturvariskejä sekä suunnittelemaan korjaavia toimenpiteitä riskeille.
Tulevaisuuden tutkimuksen tulisi keskittyä kuinka regulaatio, kuten Network and Information Security Directive (NIS2) ja Digital Operational Resilience Act (DORA) vaikuttaa yrityskaupan tietoturvaprosessiin. Toinen aihe tulevaisuuden tutkimukselle olisi miten tekoäly (AI) tulee muuttamaan yritysten tietoturvan uhkakuvaa sekä riskejä ja miten se vaikuttaa yrityskauppojen due diligence prosessiin.
The study was to find ways to identify cyber security related risk in due diligence process and develop process prototype which would help to ensure that all needed cyber security related topics are covered in the merger process. The work was done from financial sector point of view which means highly regulated environment where European Central Bank set the rules for compliance in Europe.
Building the prototype process was based on literature review and subject matter expert survey where challenges in M&A and cyber security was collected and identified. This combination gave strong foundation for building of the prototype. Prototype based NIST Security Framework (CSF), and it cover European Banking Authority (EBA) guidelines on ICT and Security Risk Management.
Prototype focus on supporting projects on M&A and ensure that risks and issues are captured correctly with mitigation actions.
Future research should focus on how regulation like Network and Information Security Directive (NIST2) and Digital Operational Resilience Act (DORA) would with cyber due diligence. Other research line could be how AI will change companies risk picture when there are new threats in operational environments and how that impact to due diligence in M&A.