Jeszcze kilka lat temu w wielu procesach due diligence IT traktowano jako dodatek. Sprawdzało się, czy firma ma system księgowy, czy działa serwer plików i czy ktoś robi kopie zapasowe. Dzisiaj takie podejście potrafi bardzo drogo kosztować, bo większość ryzyk technologicznych nie siedzi w serwerowni. Siedzi w internecie, w publicznie dostępnych zasobach, w historii incydentów i w informacjach, które można znaleźć o firmie bez logowania się do jej sieci.

Sporo problemów wychodzi właśnie na etapie weryfikacji zewnętrznej. Firma deklaruje jedno, a ślady cyfrowe pokazują coś zupełnie innego. Niby wszystko działa, pracownicy pracują, sprzedaż się kręci, ale wystarczy kilka godzin analizy OSINT i nagle okazuje się, że firma ma słabe punkty, które w przyszłości zamienią się w koszt.

Dobrym przykładem tego, jak brak precyzyjnej weryfikacji może doprowadzić do bardzo kosztownych decyzji, była historia Builder.ai, o którym pisało wiele serwisów. Firma była przedstawiana jako zaawansowana technologicznie platforma oparta o sztuczną inteligencję. Dopiero później wyszło na jaw, że duża część pracy była wykonywana ręcznie przez setki osób, a deklarowana automatyzacja nie wyglądała tak, jak prezentowano ją inwestorom. Problem polegał na tym, że najprawdopodobniej nikt nie sprawdził wystarczająco dokładnie, co tak naprawdę stoi za deklaracjami firmy.

Właśnie dlatego cyberbezpieczeństwo powinno być jednym z kluczowych elementów due diligence, a jego pierwszym krokiem powinna być weryfikacja zewnętrzna.

Co inwestor powinien sprawdzić zanim podpisze umowę

Zanim zacznie się rozmowa o serwerach, backupach czy firewallach, trzeba odpowiedzieć na jedno podstawowe pytanie: co o tej firmie widać z internetu i jak wygląda jej cyfrowy ślad.

Warto zacząć od rzeczy, które każdy może znaleźć, jeśli wie gdzie szukać. Publiczne domeny, subdomeny, usługi dostępne z internetu, certyfikaty, adresy IP, historia zmian infrastruktury. To daje bardzo szybki obraz tego, czy firma zarządza swoją obecnością w sieci świadomie, czy raczej reaguje dopiero wtedy, gdy coś przestaje działać.

Często już na tym etapie wychodzą rzeczy, które powinny zapalić lampkę ostrzegawczą. Na przykład stary system dostępny z internetu, którego producent nie wspiera od kilku lat. Albo panel administracyjny wystawiony bez ograniczeń dostępu. Zdarzało się znaleźć publicznie dostępne kopie zapasowe, które ktoś zostawił na serwerze po migracji. Nikt o nich nie pamiętał, ale były widoczne dla całego świata.

Drugi krok to sprawdzenie reputacji technologicznej firmy. Nie chodzi tylko o opinie w internecie. Chodzi o historię incydentów, wycieki danych, informacje o podatnościach, które były powiązane z domenami albo adresami IP organizacji. Jeśli firma miała wcześniej incydenty bezpieczeństwa, to trzeba wiedzieć, jak na nie reagowała. Czy zostały naprawione, czy tylko zamieciono sprawę pod dywan.

Ukryte ryzyka widoczne z zewnątrz

Jednym z największych błędów w procesach inwestycyjnych jest założenie, że problemy technologiczne będą widoczne dopiero po uzyskaniu dostępu do środowiska firmy. Tak naprawdę, bardzo dużo można zobaczyć bez żadnych uprawnień.

Wyobraźmy sobie firmę, która deklaruje wysoki poziom bezpieczeństwa danych klientów. Dokumentacja przygotowana wzorowo. Polityki bezpieczeństwa napisane, procedury w porządku. A może okazać się, żę problem polega na tym, że kilka ich usług było dostępnych z internetu bez aktualizacji od lat. Wystarczyło sprawdzić wersje oprogramowania i porównać je z listami znanych podatności.

Albo firma, która chwali się wykorzystaniem nowoczesnych systemów chmurowych. Na papierze wygląda to świetnie. W praktyce część infrastruktury może być nadal utrzymywana na starych serwerach w biurze, a dostęp do nich może odbywać się przez nieszyfrowane połączenia. Nie zawsze jest tak, że firma ukrywa to celowo. Po prostu może nikt nie spojrzał na środowisko z zewnątrz.

Takie rzeczy nie wychodzą w analizie finansowej. Nie wychodzą w rozmowach z zarządem. Wychodzą dopiero wtedy, gdy ktoś zacznie zadawać konkretne pytania techniczne i sprawdzać odpowiedzi.

Przykłady kosztownych decyzji inwestycyjnych

Historia Builder.ai dobrze pokazuje, jak bardzo można polegać na deklaracjach firmy i jak kosztowne bywa ich niezweryfikowanie. Inwestorzy opierali się na informacjach o zaawansowanej automatyzacji i wykorzystaniu sztucznej inteligencji. W praktyce okazało się, że duża część pracy była wykonywana ręcznie przez ludzi, a technologia nie działała tak, jak przedstawiano ją w materiałach sprzedażowych.

To przykład technologiczny, ale bardzo podobne sytuacje widziałem w mniejszych firmach. Nie na poziomie globalnych inwestycji, tylko lokalnych przejęć albo partnerstw biznesowych.

Jedna z firm produkcyjnych przejęła mniejszego dostawcę komponentów. Na pierwszy rzut oka wszystko wyglądało dobrze. Po podpisaniu umowy okazało się, że system produkcyjny działał na przestarzałym oprogramowaniu, którego nikt nie aktualizował od lat. Migracja do nowego systemu kosztowała całkiem sporo.

W innym przypadku firma usługowa kupiła spółkę razem z jej infrastrukturą IT. Dopiero po kilku miesiącach odkryto, że kopie zapasowe nigdy nie były testowane. Były robione, ale nikt nie sprawdził, czy da się je odtworzyć. Pierwsza awaria pokazała, że backupy były uszkodzone od miesięcy.

Takie sytuacje nie są rzadkością. One po prostu nie trafiają do mediów.

Checklista przed inwestycją

Zanim zapadnie decyzja inwestycyjna, warto przejść przez zestaw podstawowych pytań. Nie jako formalność, tylko jako narzędzie do oceny ryzyka technologicznego.

Najpierw sprawdziłbym, jak firma wygląda z zewnątrz. Jakie domeny posiada, jakie usługi są dostępne z internetu i czy są aktualne. Czy w historii pojawiały się incydenty bezpieczeństwa i jak zostały rozwiązane.

Następnie warto przeanalizować zależności technologiczne. Z jakich systemów firma korzysta, czy są wspierane przez producentów i czy istnieją plany ich aktualizacji.

Kolejny krok to weryfikacja kopii zapasowych. Nie tylko ich obecności, ale też jakości i możliwości odtworzenia danych.

Na końcu dobrze jest sprawdzić sposób zarządzania dostępami oraz dokumentację środowiska IT. Jeśli nikt nie potrafi szybko wyjaśnić, jak działa infrastruktura, to znak, że w przyszłości pojawią się problemy.

Dlaczego warto zrobić to przed podpisaniem umowy

Najdroższe problemy technologiczne to te, które wychodzą dopiero po podpisaniu umowy. Wtedy nie ma już miejsca na negocjacje, a koszty naprawy spadają na inwestora.

Zewnętrzna weryfikacja firmy pozwala zobaczyć rzeczy, które nie są widoczne w raportach finansowych. Pozwala ocenić dojrzałość technologiczną organizacji i przygotować się na koszty, które pojawią się w przyszłości.

Nawet kilka dni dobrze przeprowadzonej analizy potrafi zaoszczędzić miesiące pracy i bardzo duże pieniądze. Jest tak, dlatego, że pozwala to podjąć decyzję świadomie.

Sprawdź firmę zanim podejmiesz decyzję

Jeśli planujesz inwestycję, przejęcie albo nawiązanie współpracy z nowym partnerem, warto wcześniej sprawdzić, jak wygląda jego środowisko technologiczne z zewnątrz i jakie ryzyka mogą się z nim wiązać.

Weryfikacja cyfrowego śladu firmy, analiza dostępnych usług internetowych oraz ocena podstawowych elementów infrastruktury IT pozwalają zobaczyć to, czego nie widać w dokumentach i prezentacjach.

Jeżeli chcesz sprawdzić firmę przed podpisaniem umowy albo po prostu ocenić jej poziom ryzyka technologicznego, odezwij się. Taka analiza często trwa krócej, niż się wydaje, a potrafi uchronić przed decyzjami, które później trudno odwrócić.