Regulação e Novas Tecnologias

Regulação e novas tecnologias

Mind the (cyber) gap

A importância da avaliação de cyber segurança nas operações de fusões e aquisições

Imagem: Pixabay

A transformação digital tem se tornado uma busca cada vez mais frequente e, ao mesmo tempo, preocupante para as empresas. O que a experiência recente demonstra, em virtude dos crescentes e cada vez mais violentos ataques cibernéticos, é que o avanço tecnológico é uma faca de dois gumes: por um lado, a tecnologia é fundamental para o crescimento e manutenção das empresas no mercado, e, por outro, ela expõe o negócio a sérias ameaças no mundo virtual. No ditado popular do mundo da tecnologia, demoram vinte anos para construir uma reputação e poucos minutos de incidentes cibernéticos para arruiná-la1.

As ameaças podem ser deflagradas de qualquer lugar, seja por agentes internos – como os casos efetivos de vazamento de dados acidental ou incidental ligada a um funcionário da empresa – ou, ainda, por agentes externos que invadem a infraestrutura de segurança, tornando as empresas cada vez mais vulneráveis.

Incidentes de violação de segurança, propositais ou não, podem afetar severamente as negociações em operações de fusões e aquisições, impondo um risco adicional que, no entanto, é frequentemente desconsiderado nas etapas da auditoria legal. Enquanto a análise de riscos cíveis, trabalhistas e fiscais é obrigatória e corriqueira, a due dilligence de exposição cibernética costuma ser leviana ou, até mesmo, inexistente.

Além dos possíveis prejuízos e riscos inerentes à transação, companhias envolvidas em crises de vazamento de dados estão sujeitas à persecução governamental e privada, perdas significativas de market share decorrentes de prejuízos reputacionais e perda de receita propriamente dita. Afinal, comumente, o incidente danifica, à reboque, relações comerciais e a confiança do consumidor.

Nas operações societárias, escândalos pretéritos de vazamento de dados podem diminuir o valor precificado da empresa ou até implodir o negócio. Para além dos efeitos negociais, não é exagero dizer que o comprador herda falhas de segurança que comprometem sua própria infraestrutura. No mais, considerando que vazamentos de dados podem demorar anos para serem identificados, o comprador pode adquirir, sem saber, danos reputacionais e comerciais futuros. É uma verdadeira ameaça fantasma que, se não for identificada, voltará para assombrar as partes quando elas menos esperam.

Entre os tipos de ataques virtuais conduzidos por terceiros, incluem-se acessos ilegais, a divulgação não autorizada e adulteração de bancos de dados, entre eles, aqueles gerados por hacktivists, ativistas cibernéticos movidos por motivações políticas e sociais, e por criminosos buscando uma pura e simples compensação financeira. Esses assaltos virtuais podem ter um fim específico, como obter informações de uma operação em particular, ou, ainda, um objetivo genérico de saquear ou danificar.

Em 2016, por exemplo, às vésperas da conclusão da venda de sua operação para Verizon Comunications Inc., a Yahoo! noticiou três vazamentos de dados ocorrido entre 2013 e 2015, tendo, como resultado, uma depreciação de US$ 350 milhões no preço da aquisição, que foi concluída pelo total de US$ 4,8 bilhões2.

Para a conclusão do acordo, a Yahoo! comprometeu-se a absorver metade do custo relativo às investigações governamentais que decorreram do vazamento, e das ações movidas por terceiros lesados. Além disso, uma vez que inexistia qualquer seguro cyber, a Yahoo! tornou-se integralmente responsável pelos custos relativos aos litígios com seus então acionistas e investigações em curso instauradas pela Securities and Exchange Commission (SEC), a comissão de valores mobiliários americana.

O primeiro ataque ocorreu em agosto de 2013, afetando cerca de um bilhão de usuários, o que representava, na época, praticamente toda sua base. O vazamento foi iniciado pelo acesso indevido, chegando ao conhecimento da Yahoo! em 2016, por parte das autoridades que receberam os dados de um terceiro. Já em 2014, dados de cerca de 500 milhões de contas foram roubados. A Yahoo! atribuiu o ataque a um agente supostamente financiado por um Estado nacional, sem, no entanto, especificar o país que havia patrocinado o ataque.

A empresa de segurança InfoArmor relatou que, aparentemente, o ataque foi conduzido por hackers profissionais da Europa Ocidental, também ligados ao roubo de dados do LinkedIn, MySpace e Tumblr, os quais, posteriormente, vendiam as informações progressivamente em pequenos pacotes. De acordo com o relatório da empresa, o ataque não foi coordenado por um Estado, porém uma das operações de venda conduzidas envolvia um ente soberano3.

Na sequência, também foi informado que, entre 2015 e 2016, um número desconhecido de contas do Yahoo! foram acessadas indevidamente através de cookies, pequenos arquivos de dados que podem permitir acesso contínuo a uma conta por determinado período.

Outro caso relevante envolveu a famosa rede de hotéis Marriot. No mês de novembro de 2018, a gigante hoteleira tornou pública uma quebra de segurança que afetou cerca de 500 milhões de titulares de dados, cujo fato gerador foi a aquisição de uma empresa em 2016. Isso mesmo. A companhia adquirida utilizava uma rede de segurança precária, a qual veio a ser integrada à sua infraestrutura4. Além de enfrentar uma ação coletiva (class action) decorrente do dano gerado, a Marriot sofreu uma queda de 5,6% no valor de suas ações5.

Alguns ataques visam a propriedade intelectual da empresa podendo ocorrer roubo de segredos industriais, softwares, e outros ativos intangíveis, que, em determinados casos, são cruciais para estipulação do valor da transação. Quando o efetivo vazamento de dados ocorre, há também um significativo impacto no valuation da marca e, consequentemente, no preço.

O comprador deve refletir no negócio compensações financeiras e obrigacionais para cobrir riscos futuros que, no entanto, podem vir a ultrapassar a quantia mensurada. Neste cenário, pode-se obter respaldo através das garantias estabelecidas no contrato de compra e venda das ações.

Essas garantias, as chamadas declarações do vendedor, objetivam, por um lado, delimitar as informações relevantes que possam afetar o valor da empresa ou a decisão de adquiri-la e, por outro lado, proteger o vendedor caso as informações prestadas não reflitam a verdadeira situação do negócio. O diabo é que nem sempre é fácil precificar o custo de uma exposição cibernética.

A boa notícia é que muitos casos podem ser facilmente evitados, caso seja dada a devida atenção à análise dos protocolos e parâmetros de segurança adotados. Especificamente no que tange aos protocolos de segurança6 e parâmetros adotados por empresas em operações societárias de compra e venda7, torna-se imprescindível a realização de due diligence para que se possa compreender, avaliar e mensurar os riscos atrelados a uma pretensa negociação. A cyber segurança deve ser tratada como um aspecto central da auditoria moderna nas fusões e aquisições8.

Certamente, através de uma escorreita avaliação de riscos, será possível identificar quais tipos de dados confidenciais existem, onde eles são armazenados e como eles podem ser protegidos. Identificar previamente as ameaças ou vulnerabilidades é crucial.

Nesse aspecto, os relatórios de conformidades, elaborados por meio de auditorias, devem ser realizados com frequência para documentar o arcabouço histórico e procedimental da informação e que esteja pronta e facilmente acessível para todas as partes. É muito difícil sinalizar qualquer ataque cibernético se não é possível, ao menos, identificar o que está em risco de ser violado.

Não é por outro motivo que é imprescindível que as empresas em negociação não só divulguem seus ativos e passivos, mas que saibam localizá-los, sejam eles físicos ou virtuais. Esse rastreamento de ativos, tangíveis e intangíveis, pode ser constatado diretamente através da elaboração de inventários – ativos de hardware, de aplicativos e de dados. Um dos principais problemas cibernéticos da atualidade é a inexistência de um inventário dos ativos digitais da empresa e a falta de controle sobre o acesso a informações, rastreamento e visibilidade de aplicativos corporativos e pessoais, e conexões digitais por parte de terceiros.

A quantidade de informações armazenadas pelas empresas, entretanto, exige programas estruturados de segurança cibernética e de rigorosa proteção de dados – áreas que nem sempre recebem os investimentos devidos. Tal como é feito na análise de governança durante a due dilligence, é importante que seja avaliado também se a empresa vendedora fornece treinamento atualizado e contínuo de segurança de redes para seus funcionários, testando sua compreensão através de casos simulados. Há uma política de segurança interna? Se a resposta for negativa, este é outro sinal vermelho para a operação.

Ocorre que, muitas empresas orçam seus investimentos em segurança cibernética de maneira precária, direcionando baixos investimentos à área e, muitas vezes, sem prévia definição e detalhamento de seus recursos. Isso, sem dúvidas, deve ser levado em conta na operação. Segundo a Pesquisa Global de Segurança da Informação, a 21º realizada pela PwC9, foi constatado que quase metade dos executivos entrevistados sequer definiram uma estratégia para a área de segurança da informação.

Igualmente importante é que haja um plano de responsabilização e de gestão de crise, considerando o cenário de ataques cibernéticos ou vazamentos de dados, a classificação dos tipos de incidentes que poderão acionar o plano e como se dará o procedimento de remediação e contenção.

A incorporação das políticas de segurança cibernética aqui tratadas representa algumas formas de detectar vulnerabilidade de infraestrutura de rede que podem interferir ou bloquear uma possível aquisição corporativa. E, por isso, torna-se crucial identificar sinais de alerta para o sucesso de qualquer due diligence e o desfecho de qualquer operação de fusões e aquisições segura. Assim, havendo um panorama transparente, será possível tomar uma decisão final sobre a operação, pautada nos riscos calculados.

Deve-se compreender, contudo, que não há uma única receita de bolo, uma análise taxativa de medidas de combate e prevenção de ataques cibernéticos, mas sim sugestões que, além de deverem ser constantemente atualizadas, serão aplicadas, caso a caso, adequando-se ao panorama específico de cada operação.

————————————-

1 NCCU. October is National Cyber Security Awareness Month. North Carolina Central University. Disponível em: http://www.nccu.edu/news/index.cfm?ID=7E277F80-15C5-F8D8-3A679A0CD0647264 – Acesso em 14 de mar. 2019.

2 Bank Information Security. Yahoo Takes $ 350 Million Hit in Verizon Deal. Disponível em: https://www.bankinfosecurity.com/yahoo-takes-350-million-hit-in-verizon-deal-a-9736 – Acesso em 14 de mar. 2019.

3 Bank Information Security. Yahoo Takes $ 350 Million Hit in Verizon Deal. Disponível em: https://www.bankinfosecurity.com/yahoo-takes-350-million-hit-in-verizon-deal-a-9736 – Acesso em 14 de mar. 2019.

4 Forbes. Don´t Buy A Breach: Tem Cybersecurity Red Flags To Look For During M&A Due Diligence. Forbes Technology Council. Disponível em: https://www.forbes.com/sites/forbestechcouncil/2019/02/12/dont-buy-a-breach-ten-cybersecurity-red-flags-to-look-for-during-ma-due-diligence/#6fb57fe6406e – Acesso em 14 mar. 2019.

5 Forbes. Marriott Breach Exposes Far More Than Just Data. Disponível em: https://www.forbes.com/sites/davidvolodzko/2018/12/04/marriott-breach-exposes-far-more-than-just-data/#6c9b11ea6297 – Acesso em 14 mar. 2019.

6 Forbes. Don´t Buy A Breach: Tem Cybersecurity Red Flags To Look For During M&A Due Diligence. Forbes Technology Council. Disponível em: https://www.forbes.com/sites/forbestechcouncil/2019/02/12/dont-buy-a-breach-ten-cybersecurity-red-flags-to-look-for-during-ma-due-diligence/#6fb57fe6406e – Acesso em 12 de março de 2019.

7 Lexology. Cyber Risk a Modern Concern for M&A Dealmakers. Disponível em: https://www.lexology.com/library/detail.aspx?g=dd690b65-dd0d-4c54-b5a3-c4c09e9185a0 – Acesso em 7 de março de 2019.

8 Freshfields Bruckhaus Deringer. Dealmakers neglect cyber due diligence. Disponível em: https://www.freshfields.com/en-gb/our-thinking/campaigns/cyber-security/cyber-security-in-ma/ – Acesso em 11 de mar. 2019.

9 Diário do Comércio. Ameaça Cibernética é Grande Preocupação das Empresas. Disponível em https://diariodocomercio.com.br/sitenovo/ameaca-cibernetica-e-grande-preocupacao-das-empresas/ – Acesso em 7 de mar. 2019.


Faça o cadastro gratuito e leia até 10 matérias por mês. Faça uma assinatura e tenha acesso ilimitado agora

Cadastro Gratuito

Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito