Startupi in mali podjetniki pogosto iščejo »low-hanging fruit«, hitijo izdajati svoje produkte in storitve v prepričanju, da morajo biti prvi, ter verjamejo v podobne sodobne poslovne pristope. Za vzornike si jemljejo največje uspešne korporacije ter hrepenijo po uspehu in zvenečih hitrih odkupih. Zdi pa se mi, da jih večina na tej poti zaide in namesto zvenečega ogromnega odkupa doživi bolj ali manj zveneč napad in zelo verjeten konec.
»Nizko viseče sadje«
Startupi in mali podjetniki radi zasledujejo »low-hanging fruit«. Zadnje čase zelo priljubljena prispodoba predstavlja lahek denar in hitre zmage. Zaslepljeni pogledujejo naokoli in mrzlično iščejo »nizko viseče sadje«. Vendar se večina ne zaveda, da sadje iščejo v povsem napačni smeri.
Vse skupaj me spominja na zanimiv rek izkušenega prijatelja v pokru: »Pri pokru se »striže ovce«. Če za mizo ne opaziš nobene ovce, si to ti.«
Velike ribe se prehranjujejo z malimi
Startupi in mala podjetja radi pozabljajo na osnovna pravila narave. Velike ribe preganjajo male, zato je prioriteta malih osredotočanje na varnost in preživetje.
Vendar mladi in neizkušeni podjetniki pogosto poskušajo – kot pravijo pri pokru – »premagati hišo« oziroma prelisičiti sistem. Zaradi tega ogromno pozornosti posvečajo iskanju bližnjic in »nizko visečega sadja« po okolici.
Kako velike ribe gledajo na startupe?
Delno lahko vpogled v to dobimo s primeri (poskusov) uvajanja (ne)eksponentnih novih tehnologij, kot je na primer vpeljava digitalne fotografije pri Kodaku, primer MOTOROLE in njenega zgrešenega projekta IRIDIUM. Še posebej zanimiv primer pa je NOKIA in kako je startup Waze botroval njihovemu kolapsu po ogromni investiciji v tehnologijo izrisovanja cest NAVTEQ.
Takšnih zgodb o pogorelih velikanih zaradi garažnih startupov z eksponentnimi idejami ni malo. In po teh velike ribe postanejo precej bolj pozorne in želijo imeti kontrolo nad malimi. Če postane katera od malih zelo uspešna (in nevarna), jo hočejo požreti. Previdne poskusijo odkupiti, neprevidne pa se večinoma same ujamejo v kakšno od pasti.
Osredotočanje na sadeže v napačni smeri
To torej pomeni, da se startupi večinoma ozirajo za »nizko visečimi sadeži« v čisto napačni smeri. Če se preveč fokusirajo navzven, postanejo neprevidni. Kot taki pa so sami »nizko viseči sadeži« (ali, če želite – »ovce«). Verjetno je tudi po tej analogiji narave smiselno predvidevati, da je velikim bolj enostavno loviti male in počasi prerasti tekmece, kot pa se z njimi neposredno spopadati.
Vsaka nova ideja startupa v rokah velikega podjetja lahko pomeni izjemno prednost pred konkurenco, saj tako (kot bi lahko uvidel Kodak) vodi in kontrolira napredek te ideje ali (potencialno eksponentne) nove tehnologije.
Če prej omenjene nepozornosti startupov kombinirate še s sodobnim priljubljenim poslovnim pristopom »Release First, Fix Later – šolskim primerom, kako v svoj sistem navrtati še dodatne luknje – dobite sadje, zrelo za obiranje.
Slednji pristop iz varnostne perspektive že sam po sebi izgleda precej samodestruktivno in kar kliče po nevšečnostih. Tako izdatno pripomore k ustvarjanju nestabilnega organizacijskega okolja, ki poleg mnogih internih tveganj in groženj hekerjem ponuja izjemno ugodne pogoje za vdor.
Hekerji pa se tega vse bolje zavedajo. Število hitrorastočih startupov, ki polnijo sezname največjih informacijsko-varnostnih vdorov, medtem strmo narašča. Glede na trenutno globalno ekonomsko situacijo pa lahko pričakujemo precejšnji porast tovrstnih dogodkov.
Startup inkubatorji/pospeševalniki
Po ogromnem vdoru sem se pridružil hitro rastoči mednarodni kripto finančni instituciji kot vodja informacijske varnosti. Vpogled v podrobnosti okolja in vdora so bili zame neprecenljiva izkušnja, ki mi je odprla oči in spremenila pogled.
Ugotovil sem, da se določene specifike precej podobno ponavljajo tudi pri drugih odmevnih vdorih. Ker sem želel stvar raziskati, sem kontaktiral nekaj evropskih inkubatorjev/pospeševalnikov, da bi preveril, če in koliko informacijsko-varnostne podpore nudijo startupom.
Naslednjič o tem, kaj informacijska varnost NI, o vlogi inkubatorjev/pospeševalnikov in zakaj bi bilo komu mar, če se nekaj startupov sesuje.
Borut Kmetič
Po formalni izobrazbi sem diplomirani varstvoslovec informacijske varnosti, sicer pa imam precej izkušenj s področja vodenja in presoje ISO sistemov, svetovanja s področja informacijske varnosti, varstva osebnih podatkov, vodenja kakovosti, procesov in organizacijske kulture.
Kot sistemski inženir imam veliko operativnih izkušenj v IT-ju in na navedenih področjih. Pri zadnji zaposlitvi sem bil v vlogi vodje informacijske varnosti (cISO) v večji mednarodni kripto finančni instituciji. Tej sem se pridružil pri sanaciji ogromnega hekerskega vdora in postavljanju učinkovitega sistema informacijske varnosti.
Po naravi sem precej (samo)kritičen in vedno v iskanju novih izboljšav. Izzive rešujem s širšim celovitim sistemskim pogledom, s katerim lažje ocenim posamezno situacijo ter tako najdem bolj učinkovite strateške dolgoročne rešitve.
Ker verjamem v medsebojno pomoč in temu posledično osebno rast, vedno iščem priložnosti, da lahko pomagam drugim. Ker na probleme drugih lahko gledam bolj objektivno, tako tudi lažje najdem rešitve, ki se včasih skrivajo tik pred očmi.
