大由马特·斯托勒

欢迎来到BIG，这是有关垄断和金融政治的新闻通讯。如果您想注册，可以在这里进行。或继续阅读...

新年快乐。今天，我要写的文章是关于俄罗斯对美国核设施的入侵，以及为什么一位刚刚在《华尔街日报》（Wall Street Journal）上被描述为交易高手的亿万富翁私募股权高管负责。加上一些简短的内容：

大约一个月前，首要的网络安全公司FireEye警告当局，俄罗斯黑客已经入侵了该公司，他们利用用于保护全球公司和政府设施的关键工具进行了窃取。

受害者是美国最重要的机构权力中心，从联邦调查局到财政部再到商务部，以及私营部门巨头思科系统公司，英特尔，英伟达，会计巨头德勤，加利福尼亚州的医院，以及成千上万的其他机构。随着更多有关发生的事情的信息出现，情况看起来越来越糟。俄罗斯人可以访问微软的源代码，并可以进入联邦机构来监督美国的核储存。他们可能已经在美国电网中插入了代码，或者获得了敏感的税收信息或重要的技术和政治秘密。

网络安全是一个非常奇怪的领域，通常不可见，但可能非常致命。匿名组织可以关闭发电厂，电信网或破坏武器实验室，就像以色列在2010年使用网络武器削弱伊朗的核设施时所做的那样。银行监管机构现在必须就存款保险是否涵盖事件向最高军事领导人咨询。黑客在哪里销毁所有银行记录，这在操作上意味着什么。这种东西到底是战争还是普通的间谍活动并不明显，但是每个人都知道，下一次战争将充斥着新的战术，这些新战术是基于黑客的对手系统，也许是在和平时期使用放置在这些系统中的代码。

即使我们现在看不到这种影响，这也使这种骇客感到非常恐怖。马克·华纳（Mark Warner）是机敏的民主党参议员之一，也是情报委员会的最高民主党人。他说：“这看上去比我最初担心的要糟得多，而且还差得多，”他还指出“它的规模还在不断扩大。”政治领导人正在考虑对俄罗斯进行报复，尽管他们很可能不会进行表面上可见的大量报复。这是自2016年以来最大的黑客袭击，当时一个身份不明的团体偷走了国家安全局的“皇冠上的珠宝”间谍工具。正如Wired所说，这是“历史混乱”。

直流电和网络安全界都在就发生的事情和原因进行很多指责。军事和网络律师都喜欢所有标准问题，例如这种黑客行为是战争，间谍活动还是法律上模棱两可的东西。政策制定者正在重新审视长期的政策，即让国家安全局专注于进攻性黑客活动，而不是确保防御能力。

网络安全问题中最有趣的部分是，这完全不只是政府的能力。私营企业维护着“战场”中的关键基础设施。像微软这样的私营公司正受到严格​​审查。从去年1月开始，我有一个来宾来信，关于该公司为什么不能很好地管理其安全性问题，以及关于如何利用其市场力量以劣等产品垄断网络安全市场的另一篇客座文章。但是这些公司没有实际的公共义务，或者至少没有正式的义务。他们是营利性实体，对其所做的选择不承担任何责任，因为这样做可能会给其他人带来成本。

确实，网络安全风险类似于污染，企业本身并不能完全承担成本，而其他社会却可以承担。网络安全中的私人角色现在正在挑战许多决策世界的自由主义假设。在私有软件公司负责国防的世界中，国家安全根本无法与我们的垄断和金融主导的公司机构长期共存。

所有这些使我想到了这个故事中最引人注目的部分。这次重大黑客攻击的切入点不是微软，而是一家私募股权拥有的IT软件公司SolarSods。该公司的产品在其利基市场中占主导地位； 《财富》 500强企业中有425家使用太阳风。正如路透社报道的十月份最后一次投资者拜访时，该首席执行官告诉分析师说：“那里没有数据库或IT部署模型，[他们]没有提供某种程度的监控或管理。”尽管这个市场存在竞争，但SolarWinds确实具有市场支配力。 IT系统很难迁移，这种锁定效应意味着客户将忍受价格上涨或质量下降，而不是更换提供商。而且它确实有很大的市场份额；正如首席执行官所说：“我们管理每个人的网络设备。”

SolarWinds销售一种称为Orion的网络管理软件包，正是俄罗斯人通过Orion入侵了这些系统，将恶意软件放入该公司发送给客户的更新中。现在，俄罗斯黑客是非常老练的侦探，但入侵该公司并不需要天才。不仅是罪犯交换了有关如何破解SolarWinds系统的信息；一位安全研究人员去年警告该公司，“任何人都可以使用密码“ solarwinds123”来访问SolarWinds的更新服务器。”

在电影《太空球》中使用撕破密码是一回事，但是看来公司的安全性松懈做法是普遍的，系统的和长期的。该公司将工程技术交给便宜的东欧编码员，俄罗斯工程师可以更轻松地渗透他们的产品开发。直到2017年，SolarWinds才开始费心雇用高级官员来关注安全问题，然后直到欧洲法规强制这样做为止。即使在那时，SolarWinds首席执行官Kevin Thompson仍然忽略了这一风险。正如《纽约时报》指出的那样，“ SolarWinds的一位安全顾问”说，他在当年警告管理层，除非对内部安全采取更积极的方法，否则网络安全将是“灾难性的”。负责安全的高管沮丧地辞职了。即使遭到黑客入侵，该公司仍继续搞砸。被发现后几天，SolarWinds甚至没有停止提供受感染的软件。

这种愚蠢的态度似乎是行不通的，但并不是说首席执行官是愚蠢的。离得很远。 “员工们说，在汤普森先生的领导下，”《泰晤士报》继续说道，“通过培训一名会计师和一名前首席财务官，对企业的每个部分进行了成本节省检查，并避免了因费用引起的常规安全惯例。”从2010年到2019年，该公司的利润增长了三倍。汤普森（Thompson）计算出，如果它选择向客户开放黑客的风险，他的业务可以运营得更高，他是正确的。

但是，并不是每个软件公司都像SolarWinds那样运作。大多数人试图赚钱，但很少有人通过恶意，贪婪和白痴的结合来赚钱。是什么使SolarWinds与众不同？答案是过去十五年来入侵软件行业的特定财务模型，这是一种鲁particularly的鲁strain行为，通常被称为私募股权。

我写了很多有关私募股权的文章。我所说的“私募股权”是指金融工程师，金融家，他们筹集大量资金并借入更多资金来收购公司并对其进行抢劫。这些类型的私募基金大亨不是专门为有用的产品和服务提供融资的专家，他们从事的是千篇一律的交易，针对的公司是他们认为有市场力量来抬高价格，可以解雇工人或出售资产，和/或具有某种能力的公司。法律漏洞的优势。通常，它们会破坏基础业务。从黑石到阿波罗，这个行业的巨头都是1980年代垃圾债券之王和欺诈者迈克尔·米尔肯的孩子。他们本质上是超大型流氓，他们为了保险钱而烧毁企业。

在软件的私募股权收购中，要旨是相同的，而参与者则有所不同。不是Apollo和Blackstone，而是Vista Equity Partners，Thoma Bravo和Silver Lake，但它们具有相同的曲奇切割风格交易流程，相同的融资安排和相同的商业模式风险。但是在这种情况下，SolarWinds的私募股权所有者被烧毁的不仅仅是公司。

10月，《华尔街日报》（Wall Street Journal）描绘了拥有SolarWinds的男子，他是波多黎各人出生的亿万富翁，他是Thoma Bravo合伙人的奥兰多·布拉沃（Orlando Bravo）。 Bravo的PR游戏表现出色；他被拍了精美的照片，一个略带灰色的健美男子，在现代艺术面前穿着一件蓝色衬衫和米色粗，的裤子，一个巨大的花瓶和壁炉，这显然是一间非常昂贵的公寓。尽管它主要是亿万富翁的银狐，但该文章确实描述了布拉沃的商业模式。

Thoma Bravo认为软件公司拥有忠实的客户群，但利润适中，并通过重新定价，关闭无利可图的业务线并在廉价劳动力市场中增加员工来将其转变为赚钱的引擎。

然后，该公司指导其公司利用其产生的利润进行附加收购，通过可能花费数月和数百万美元试图复制的产品来抢购较小的竞争对手。

就像我当时所说的那样，Bravo的商业模式是购买利基软件公司，将它们与竞争对手合并，进行离岸工作，削减任何力所能及的价格。投资论点很明确：力量。软件公司对客户具有巨大的定价权，这意味着他们可以提高锁定客户的价格或降低质量（就公司的经济而言，这是同一回事）。正如他在软件PE游戏中的竞争对手之一罗伯特·史密斯（Robert Smith）所言：“软件合同比第一留置权债务更好。您了解到，只有在公司支付了软件维护或订阅费之后，公司才会支付其第一留置权的利息。我们先得到钱。谁的信用更好？没有我们的软件，他将无法经营自己的业务。”

SolarWinds完美地代表了这一论点。该公司成立于1999年，旨在帮助公司监控其网络性能。它从一开始就盈利，但它在2007年开始演变为金融集团，当时它更换了CEO并从原始的PE帮派贝恩资本（Bain Capital）筹集资金进行“战略性收购”，也就是扩大了其运营所在的软件领域。两年后，在大萧条期间，该公司公开募集了更多资金。在上诉法院推翻了微软的分手令以及最高法院一致通过的Trinko判决之后，SolarWinds制定了其战略，这使得提起垄断诉讼变得异常困难。甲骨文首席执行官拉里·埃里森（Larry Ellison）概括了这一转变的含义，他说：“我们必须加快行业发展。”

首次公开募股后，SolarWinds遵循了埃里森的建议，成为了一家合并机器，在2011年至2014年期间收购了Pingdom，Confio和N-Able Technologies等十几家公司。 2015年，Thoma Bravo Partners（与Silver Lake一起）收购了该公司，并为其背负了20亿美元的债务以为收购提供资金。 （是的，这是私募股权购买者用公司自有资金购买公司的购买之一。）在Bravo的控制下，SolarWinds进行了更多的合并，购买了制造威胁监控软件，电子邮件安全性，数据库性能监控的公司，和IT支持公司。 SolarWinds试图在其利基市场中成为一站式商店，虽然质量不是特别出色，但是可以满足客户的所有需求。当然，联邦贸易委员会和欧洲竞争委员会允许这些交易。就在黑客被发现之前一个月，联邦贸易委员会批准了SolarWinds的另一笔收购。

这次收购狂欢和公司战略行得通吗？好吧，这取决于您的观点。它当然增加了会计利润。但是，从不同的角度来看，答案是否定的。会计利润掩盖了公司战略正在转移风险，从而使公司能够入侵FBI和美国核设施。从用户和员工的角度来看，该策略也是有问题的。很难说，但是如果您查看软件反馈评论论坛，就会发现很多IT专业人士不喜欢SolarWinds，他们将公司视为一个财务项目，它基于无数次收购中的随机产品。 （如果您在SolarWinds或其他Thoma Bravo公司，或使用他们的产品，请给我有关您的经历的注释。）

现在，IT专业人员是一堆善变的人，但是总的来说，讨厌的IT安全专业人员是一个沮丧的人，因为他必须处理公司中其他人看不到或不在乎的风险。 SolarWinds的安全主管警告即将来临的灾难，并在他被忽视后辞职并不是偶然的。

换句话说，这样的大规模黑客攻击是不可避免的。它发生在SolarWinds，但可能发生在许多其他类似实践的软件公司中。因为事实证明，Bravo软件供应商构成了整个企业和政府领域的关键供应链。 Bravo（以及他的竞争对手，例如Vista Equity Partners）已经散布了自己的触角，从建筑工资软件到汽车和银行工具，从安全，医疗IT和电子记录保存到抵押数据的垄断提供商（Ellie Mae），一应俱全。他的影响力不断扩大。 Bravo今年完成了40多笔交易，其中四笔交易价值均超过20亿美元。

这些私募股权拥有的软件公司在从瑜伽工作室软件到汽车经销商IT到运行小型银行和信用合作社的噩梦般的“核心”软件，折磨着糟糕的用户体验和糟糕的客户支持的专业人士，使他们接近Office自动化空间。但是，它们还会因解雇或不尊重好工人，对良好安全实践的投资不足，或将工作转移到国外并付出高昂的报酬而降低了产品质量，这意味着他们的产品更容易遭到间谍活动。换句话说，相同的草率和腐败行为使这种大规模的网络安全黑客活动使Bravo成为了亿万富翁。从某种意义上说，只要像Bravo这样的人发财致富，就会为不法之徒利用安全漏洞，这种黑客以及更多类似的黑客将会继续发生。

对我来说，尚不清楚Bravo对他造成的任何损害负责，但他确实犯了一个错误。布拉沃（Bravo）被发现从事与黑客有关的内幕交易。这是发生在《金融时报》上的事情：

在美国就该软件公司产品之一的“民族国家”黑客事件发出紧急警告之前不久，私募股权投资者向他们自己的长期金融支持者出售了3.15亿美元的SolarWinds股份。

交易减少了Silver Lake和Thoma Bravo在遭受打击的软件公司在其股价下跌前几天的风险，因为该产品被多个联邦机构和几乎所有财富500强公司所使用的产品中发现了漏洞。

但是，对于总部位于门洛帕克的银湖及其竞争对手托马·布拉沃（Thoma Bravo）而言，这笔交易可能会令人尴尬，后者跻身全球最大的以技术为重点的私募股权公司之列。

布拉沃（Bravo）和银湖（Silver Lake）否认他们在出售股票时就知道黑客入侵，因此这可能只是运气的极大，或者正如英国《金融时报》所说，这是“令人尴尬的”意外利润。现在，我不是一个出色的词匠，但是总的来说，当我想到“尴尬”时，我会想到诸如将汤洒在领带上或在电话会议中第三次被告知“您被静音”的事情，而不是在有关关键软件的危险黑客的重大信息公开之前就通过出售股票来赚钱的私募股权亿万富翁。我通常将其称为“可能是内幕交易”。

但是，在这种情况下，真正的内幕交易并不是问题。尽管我讨厌这句话，但真正的丑闻不是非法的，而是合法的。 Bravo降低了软件的质量，这通常意味着人们不得不处理效果不佳的东西，但在这种情况下，地缘政治紧张局势出现了怪异的增长，并为外国对手赢得了间谍胜利。这是国家安全专家卢卡斯·昆斯（Lucas Kunce）指出的又一个例子，即将其他人的风险大规模转化为利润，这全都损害了美国社会。

7月，我采访了《工作中的私募股权》一书的作者Eileen Appelbaum：《华尔街管理大街》。艾琳是一位安静的经济学家，多年来一直领导与私人股本大亨的政治斗争。她告诉我，私人股本的关键问题不是金融家进行投资的想法，因为投资是任何商业部门蓬勃发展所必需的。问题在于这些金融机构（通常是那些从事小甜饼交易的大型金融机构）如何将风险转移给员工，贷方，投资者和公众本身。

一个关键的变化将是通过《制止华尔街掠夺法》，这将使利用债务为掠夺性收购筹集资金变得更加困难，以及纯粹为了裁员而停止购买公司。加强反托拉斯执法也将有所帮助，因为这将使使用汇总策略来收购整个行业变得更加困难，并且将阻止对市场力量的原始利用以产生现金。我还要补充一个想法。网络安全分析师和政策制定者在进行政府采购时需要开始考虑商业模型；在董事会中承担太多风险意味着在IT部门遭受黑客攻击，并最终在多年后的战场上蒙受损失。

有很多方法可以看到这种大规模的黑客攻击。这是一个地缘政治问题，一个网络安全政策问题以及一个外国大国在法律上模棱两可的侵略行为。但是在某些方面，它并不那么复杂；问题不在于俄罗斯人擅长黑客攻击，而美国的防御能力薄弱，不是美国的金融家通过破坏关键基础设施而不是通过建设基础设施来赚更多的钱。

他们为此而庆祝。如果西方国家具有连贯的政治制度，那么造成这一混乱局面的人将被拖到立法委员会面前，并被掠夺商业惯例，使我们所有人都处于危险之中。取而代之的是，五天前，Pitchbook颁发了私募股权奖，并命名为“年度最佳交易商”。

Shopify与旧老板一样？在线商务领域的许多人都希望亚马逊竞争对手Shopify能够节省空间。 Shopify基本上是为在线零售商提供后台服务，但没有自己面向消费者的品牌和网站来与他们竞争，从而消除了亚马逊与其商家之间的利益冲突。这个领域的竞争是好的，尤其是在提供中立性作为差异化元素的企业中。然而，即使存在竞争，垄断的法律环境仍在塑造Shopify的业务战略。这是11月在《纽约时报》上写的关于该公司的Lu Yiren。

在我们采访即将结束时，[Shopify总裁Harvey] Finkelstein发表了一份声明，说明Shopify如何使公司最适合以“拥有企业家身份”的方式拥有Facebook拥有社交网络和Google拥有搜索的方式。

果然，我最近收到了读者关于Shopify的说明。 “我们正在商店中实施Shopify作为我们的新POS系统。它们是订阅模式，每月30美元起。但与当今企业不道德的气候相吻合

......