KKR将网络风险评分纳入对公司的评估 - 彭博社

网络安全对投资者有多重要？私募股权公司KKR刚刚对此给出了自己的答案，为其投资组合中的公司增加了网络风险评分。

大约一年前，KKR的官员们决定他们需要找到一种方法来了解他们所投资公司的当前安全状态，正如首席信息官埃德·布兰德曼所说。这个目标听起来很简单，但如何实现对于90家来自不同产业和地区的公司来说并不明显。

“考虑到我们拥有的公司的广泛性和范围，你无法对90家不同的公司进行深入的干预和调查，”布兰德曼说。

KKR与BitSight Technologies合作，提出了一种相当于网络风险信用评分的方法。

BitSight，总部位于马萨诸塞州剑桥，收集数以万计公司的互联网流量。其工作人员分析风险行为，例如与垃圾邮件网络或已知由黑客和网络犯罪分子控制的服务器的通信，以得出网络风险评分，评分范围从250（最差）到900（最好）。该服务的订阅者利用它来帮助评估他们可能共享敏感数据的第三方的安全性，并基准自己的表现，BitSight的首席技术官斯蒂芬·博耶说。

Bitsight 对 KKR 的 70 个私募股权投资进行了同样的评估——排除了一些 KKR 即将出售或刚刚购买的投资组合。

Brandman 说，只有三家公司在“红色类别”中得分非常高，显示出极高的网络风险。KKR 没有发布任何具体公司的得分。它将数据和评级提供给所有公司以及管理每个公司的 KKR 团队，并表示：“我们需要共同努力解决这个问题，”Brandman 说。

该指标使 KKR 能够跟踪和评估网络安全，而不需要强迫公司使用稀缺资源进行监控。Brandman 计划随着时间的推移跟踪这些得分，可能是每季度一次，并每年进行更深入的评估。

“这是一种非常创新的模型，可以获取不具侵入性的但在进行高层次分析时非常有用的数据，并判断我们在公司是否存在问题，”他说。“当 KKR 的领导层说‘嘿，这个分析结果对我们很重要，也需要对你们重要’时，这就提供了影响力。”

KKR 也得到了自己的网络风险得分，Brandman 说他对此“感到满意”。查看自己公司的数据验证了 BitSight 的方法；Brandman 说，KKR 的得分在他与网络实际攻击相关的时间段内下降。