最新新闻:

避开耸人听闻的话题–网络安全事件真的会影响估值吗?

时间:2020-12-15 11:04:17来源:

对于那些对网络安全事件对资产估值的影响感兴趣的人来说,2016年是有趣的一年。雅虎在被Verizon收购期间披露了几起网络安全事件后,将3.5亿美元(7.2%)的交易价格划掉。

Muddy Waters Capital在发布有关其心脏起搏器产品中若干严重安全漏洞的信息之前,使医疗植入物制造商St Jude Medical(STJ)做空。圣裘德的股价盘中一度下跌超过10%,而Muddy Waters Capital年底则上涨16%。

网络安全事件对资产评估的影响显然是我们的客户所感兴趣的,这两个例子似乎表明存在很强的相关性。但是,这些都是孤立事件,样本量很小,因此在得出此类结论时应格外小心。

多项研究着眼于更大的样本量,旨在提供更多明确的见解。其中一项“数据泄露的市场影响” 1得出结论,数据泄露后的前三天(-1.13%)产生了很小的影响,到第14天已经完全反弹。另一个“网络价值连接” 2得出的结论是,公司股价平均下跌1.8%,但这是永久性的。更进一步,“数据泄露对声誉和股票价值的影响” 3表明,对股价的直接影响实际上接近5%。

这里缺乏充分的共识,应该指出的是,具有更重要标题的结论的报告是由安全技术提供商发起的。(请参阅“网络攻击使FTSE股价下跌数百万美元”)

但是,这三个人都回避了耸人听闻的想法,但在一个方面却达成了共识–最初的股价下跌,在某些情况下相当大。Lange and Burger研究似乎是三者中更为彻底的研究,也表明这些损失随后已被完全弥补。这非常适合网络安全事件的典型新闻周期。最初知之甚少,市场预计最糟糕的情况。随着时间的流逝,随着更多信息的发布和影响的充分评估,通常认为它的重要性不如最初担心的重要。

Lange and Burger研究进一步得出了有趣的结论。如果网络事件影响了公司的核心业务,例如,如果VISA付款处理器丢失了大量信用卡详细信息,则对股价造成的影响可能是灾难性的。当他们做空St Jude时,显然Muddy Waters Capital理解了这一点:

“ Muddy Waters Capital是St Jude Medical,Inc(STJ US)的简称。STJ几乎有一半的收入将在大约两年内消失的可能性很大。在我们看来,STJ的起搏器,ICD和CRT可能会被召回和修复。” 4

这使我们回到了传统的资产评估方法。分析收入流的损害,以及网络安全事件成本对获利能力的影响。Ponemon Institute有用地对网络违规成本进行年度研究5。对于那些想要更全面了解的人,我非常鼓励您完整阅读该报告,但是,目前有两个主要收获:

每个国家/地区的成本各不相同,例如美国的违约成本比印度和巴西的违规成本高3.4倍,每个行业的成本各不相同,金融方面的违规成本比零售方面高1.7倍,而卫生方面的违规成本则高3.5倍。

除其他因素外,Ponemon将这些巨大差异归因于各个国家和行业的相对监管力度,例如,金融和卫生等高度监管的行业可能会产生更高的成本。牢记这一点,我们可以肯定地预计,由于GDPR的引入,欧盟和英国的网络事件成本将上升,在分析网络安全风险投资组合时考虑这一点可能是明智的。

但是,对成本的了解只是等式的一半,需要从营业额和利润的角度来看待。显然,营业额和利润较大的公司比营业额和利润较小的公司可以更好地吸收网络安全事件的成本。

2015年10月臭名昭著的Talk Talk事件就是一个明显的例子。此次违规事件估计造成了6,000万英镑的损失,而上一年的营业利润仅为5,400万英镑。这是导致股价下跌19%的因素之一。

导致股价下跌的另一个因素是,这是Talk Talk当年遭受的第三次事件。这表明网络安全治理非常严重,网络安全防御能力不足。Ponemon IBM报告和Ponemon Centrify报告都还强调了不良的网络安全治理,网络防御和事件响应能力不足,这些都是加剧成本/负面股价影响的因素,显然,这一因素不容忽视。

总体而言,这表明对网络安全对资产估值的影响的分析要比一些头条新闻更为清醒。总之,应考虑五个关键因素:

网络安全事件与长期资产价值之间几乎没有直接关联。对资产价值的初始影响可能被夸大了,并且中长期价格通常会回升。传统的估值模型分析了网络事件成本对当前和未来收益的影响。确定价值影响的有用工具直接影响核心业务并进而影响营业额的网络事件将比没有影响的事件对价值的影响要大得多。组织的网络安全成熟度–其检测,响应和控制网络事件的能力–对事件对资产价值的影响程度产生重大影响

最后一点。如果一家公司在交易过程中遭受严重的网络安全事件(如Yahoo所做的那样),则可能没有或几乎没有时间从最初的影响中恢复过来,并且售价可能会受到重大影响。因此,强烈建议采取防止这种情况发生的策略!


 

1罗素·朗格(Russell Lange)和埃里克·伯格(Eric Burger)博士– 2016年12月(https://s2erc.georgetown.edu/sites/s2erc/files/documents/breachwriteup_pdf_final.pdf)2牛津经济学–由CGI赞助(https://www.cgi-group .co.uk / sites / default / files / files_uk / pdf / cybervalueconnection_full_report_final_lr.pdf)3 Ponemon Institute-由Centrify赞助(https://www.centrify.com/media/4737054/ponemon_data_breach_breach_impact_study.pdf)4 http:// www.muddywatersresearch.com/research/stj/mw-is-short-stj/5数据泄露成本研究–由IBM赞助(https://www.ibm.com/security/data-breach)

声明:文章仅代表原作者观点,不代表本站立场;如有侵权、违规,可直接反馈本站,我们将会作修改或删除处理。

图文推荐

热点排行

精彩文章

热门推荐