Đảm bảo an ninh mạng cho việc mua lại Chevron/REG

Ngày 17 tháng 5 năm 2023, Hoạt động của Accenture: Hội nghị thượng đỉnh về an ninh mạng 23 OT tiếp theo đã thảo luận về ưu tiên bảo vệ, phòng thủ và khả năng phục hồi. Mối quan tâm đặc biệt là việc Chevron mua lại Renewable Energy Group Inc (REG) gần đây.

Jim Guinn, giám đốc quản lý cấp cao và lãnh đạo an ninh mạng tại Accenture đã nói chuyện với Chris Lukas, CISO tại Chevron trong cuộc thảo luận có tiêu đề, “Mở rộng năng lượng: Biên giới rủi ro mới.” Cuộc thảo luận đã thảo luận chi tiết về việc tăng tốc tính bền vững một cách an toàn, cân bằng giữa rủi ro bảo mật với phần thưởng kinh doanh cũng như sự an toàn và bảo mật theo kịp sự đổi mới.

Chevron đã mua lại REG có trụ sở tại Ames, Iowa—một trong những nhà sản xuất nhiên liệu sinh học lớn nhất ở Bắc Mỹ—vào tháng 2 năm 2022. REG là một trong những nhà sản xuất nhiên liệu sinh học tái tạo hàng đầu thế giới, đặc biệt là dầu diesel sinh học. Lukas đã chia sẻ những gì anh ấy học được và đưa ra lời khuyên trong cuộc thảo luận này. Ông nói: “Có rất nhiều điều để học hỏi từ việc mua bán và sáp nhập (M&A) khi mua lại REG. “Với REG, chúng tôi đã có được 13 địa điểm sản xuất khác nhau.”

Lukas giải thích rằng đây là một loại hình sản xuất khác cùng với các nguyên liệu mà REG mang lại. “Nó đang mang đậu, ngô và chất thải rắn vào để chuyển đổi thành nhiên liệu sinh học, sau đó thành dầu diesel. Đó là một mô hình rất khác để chúng tôi học hỏi và phản ứng từ góc độ an ninh mạng.”

Với bất kỳ nỗ lực M&A nào, điều quan trọng là phải hiểu văn hóa của tổ chức được mua lại. Lukas giải thích rằng với bất kỳ hình thức mua lại nào, “bạn sẽ thích tất cả các công nghệ xếp hàng khi bạn bước vào cửa, điều này thường không xảy ra. Bạn đang sử dụng các loại công nghệ khác nhau; bạn thường sống ở hai thế giới khác nhau cùng một lúc trong một thời gian. Chúng tôi muốn đảm bảo rằng chúng tôi đang cho phép [REG] để đổi mới, cho phép họ mang nền văn hóa tuyệt vời đó vào gia đình Chevron và rằng chúng tôi không dập tắt khả năng đổi mới của họ. Từ góc độ an ninh mạng, chúng tôi muốn hiểu văn hóa của họ và cách chúng tôi thực sự có thể hỗ trợ họ,” ông nói.

cân nhắc chính

Lukas cho biết có rất nhiều điều cần tập trung khi xem xét một doanh nghiệp phức tạp như REG với nhiều địa điểm sản xuất, văn hóa khác nhau, quy mô và độ phức tạp khác nhau. “Đầu tiên, hãy hiểu bạn đang thu được gì từ CNTT [information technology] và OT [operational technology] quan điểm bởi vì chúng sẽ trông khác đi, chúng sẽ hoạt động khác đi, và sẽ có những công nghệ khác nhau. Điều thực sự quan trọng là phải hiểu bức tranh rủi ro hoàn chỉnh từ quan điểm mua lại. Hiểu mô hình hoạt động vì bạn có thể có hai mô hình hoạt động khác nhau; có thể có một bộ công cụ và quy trình khác tồn tại từ góc độ an ninh mạng.”

Lukas cũng khuyến nghị tập trung vào ứng phó sự cố. “Đó là nơi chúng tôi áp dụng cách tiếp cận chủ động để đảm bảo chúng tôi có các giao thức ứng phó sự cố [in place] một cách nhanh chóng, bất kể công cụ là gì [in position]” anh ấy nói. “Chúng tôi cần đảm bảo rằng chúng tôi có thể ứng phó với bất kỳ sự cố nào bởi vì ngay từ ngày đầu tiên, bạn sẽ phải gánh chịu rủi ro đó. Nếu có sự cố xảy ra, bạn phải phát hiện, ứng phó và phục hồi.”

Chevron đã áp dụng phương pháp đánh giá chủ động ngay từ đầu trong quy trình xung quanh việc đánh giá các khu vực có rủi ro cao hơn trong môi trường doanh nghiệp. Lukas ủng hộ việc hiểu rủi ro về phía CNTT và OT để bạn có thể thực hiện các hành động chủ động trước khi tích hợp. “Bạn muốn hòa nhập nhanh chóng. Điều thực sự quan trọng là phải có sự hợp tác giữa an ninh mạng và doanh nghiệp để giúp hiểu rủi ro, cách bạn có thể quản lý rủi ro đúng cách, xây dựng lịch trình tích hợp đáp ứng nhu cầu của cả hai doanh nghiệp và sau đó là hồ sơ rủi ro mà bạn đang cố gắng quản lý .”

Ransomware tiếp tục là một vấn đề mà tất cả các công ty phải giải quyết tại một số điểm. “Đó không nhất thiết chỉ là các quốc gia dân tộc, mà còn có cả tội phạm; họ đang tìm cách kiếm một đô la,” Lukas nói. “Đó là điều mà chúng tôi rất quan tâm. Nơi tôi thấy một quá trình chuyển đổi là trong sở hữu trí tuệ [IP] trộm cắp. Hành vi trộm cắp tài sản trí tuệ vẫn diễn ra. Chúng tôi biết rằng các quốc gia khác đang xem xét các công nghệ trong không gian năng lượng mới và tái tạo. Tại sao phải đầu tư vào R&D nếu bạn chỉ có thể ăn cắp?”

Chiến lược an ninh mạng của Chevron đã phát triển kể từ khi mua lại REG. Lukas nói: “Chúng tôi tập trung rất nhiều vào việc tích hợp. “Chúng tôi cần đảm bảo rằng chiến lược của chúng tôi bao gồm sự tham gia kinh doanh rất mạnh mẽ xung quanh việc tích hợp. Một trong những điều quan trọng chúng tôi phải thảo luận là ai có quyền quyết định [making] quyền. Ai có quyền quyết định khi chúng tôi tích hợp các hệ thống này ở cả phía CNTT và phía OT?”

Lukas khuyến khích các chuyên gia mạng biết càng nhiều về doanh nghiệp càng tốt. Ông nói: “Bằng cách đó, chúng ta thực sự có thể bảo vệ họ tốt hơn, như khi hợp tác với nhau. “Từ góc độ chiến lược, nó thu được kiến ​​thức về cách thức hoạt động của doanh nghiệp đó để chúng tôi trong lĩnh vực an ninh mạng có thể thực sự hỗ trợ họ.”
Theo Lukas, con người là nền tảng của an ninh mạng. Ông nói: “Có một sự thiếu hụt trên toàn thế giới về các chuyên gia an ninh mạng. “Điều quan trọng là phải đảm bảo các chuyên gia mạng mà chúng tôi có được trang bị để đối phó với những thách thức an ninh mạng hiện đại ngày nay. Trong không gian tái tạo, đó là một lĩnh vực kinh doanh khác, đó là một bộ công nghệ khác. Hãy chắc chắn rằng bạn đang đầu tư vào kiến ​​thức của họ. Đầu tư vào con người là rất quan trọng—đặc biệt là vào các kỹ sư OT và các chuyên gia đánh giá rủi ro của chúng tôi. Điều thực sự quan trọng là an ninh mạng không được coi là thứ làm chậm sự đổi mới hoặc làm chậm quá trình hội nhập.”

điểm chính

Cuộc thảo luận giữa Lukas và Guinn đã đưa ra một số cân nhắc chính liên quan đến việc mua lại một công ty mới như một phần của chiến lược mở rộng:

• Hiểu những gì bạn đang thu được từ cả quan điểm CNTT và OT.
• Hiểu bức tranh toàn cảnh về rủi ro bao gồm cả những người chơi xuôi dòng.
• Hiểu mô hình hoạt động, đặc biệt là trong 90 ngày đầu tiên.
• Biết các giao thức ứng phó sự cố; công ty lớn hơn không phải lúc nào cũng có quy trình tốt hơn.
• Vào sớm. Bạn có thể tham gia vào các cuộc thảo luận về phát triển kinh doanh càng sớm thì càng tốt. Điều này cung cấp cho bạn khả năng hiển thị toàn bộ phạm vi của việc mua lại để xây dựng phương trình rủi ro của bạn.
• Có một vở kịch. Sau khi bạn biết về một thương vụ mua lại, hãy chuẩn bị sẵn cẩm nang M&A của bạn và liên tục cập nhật cũng như cải thiện nó sau mỗi lần sử dụng.
• Được chuẩn bị. Khi các công nghệ mới được giới thiệu, những lo ngại về tổn thất tài sản trí tuệ được khuếch đại do mối quan tâm ngày càng tăng trên toàn cầu đối với không gian năng lượng mới và tái tạo.
• Đào sâu. Để bảo vệ tổ chức của mình, bạn cần biết càng nhiều càng tốt về cách thức hoạt động của doanh nghiệp. Hồ sơ rủi ro của một công ty được mua lại có thể thay đổi đáng kể khi bạn hiểu tác động về sức khỏe, an toàn và môi trường (HSE) của công ty đó.