Startupi in mali podjetniki pogosto iščejo »low-hanging fruit«, hitijo izdajati svoje produkte in storitve v prepričanju, da morajo biti prvi, ter verjamejo v podobne sodobne poslovne pristope. Za vzornike si jemljejo največje uspešne korporacije ter hrepenijo po uspehu in zvenečih hitrih odkupih. Zdi pa se mi, da jih večina na tej poti zaide in namesto zvenečega ogromnega odkupa doživi bolj ali manj zveneč napad in zelo verjeten konec.
V pogovorih z inkubatorji se mi je posvetilo, kje bi lahko bil poglavitni problem. Zato bi v tem delu za začetek rad razjasnil dve stvari:
1. Information security ≠ IT security ≠ Cybersecurity
Da bo bolj jasno: informacijska varnost se ne vrti le okoli digitalnih informacij in IT-ja – ter, kar je še posebej pomembno, ni odvisna od nakupa drage IT opreme. Menim, da je to eden izmed poglavitnih razlogov, zakaj se startupi informacijski varnosti raje na daleč izognejo.
2. Vloga inkubatorjev/pospeševalnikov
V enem inkubatorju so mi odgovorili, da njihov IT oddelek uspešno obvladuje vse z varnostjo povezane stvari. Startupom so ponudili informacijsko varnost. Ker pa je bilo zanimanje slabo, so ponudbo opustili.
Če so si inkubatorji že nadeli ta izraz, potem njihova vloga in naloga ni ponujati in prodajati možnosti preživetja, ampak te nesamostojnim zagotoviti. Nekako tako, kot jim zagotavljajo pomoč pri osnovnih zahtevah zakonodaje, financ (in celo socialnega mreženja?!?).
Pri drugem mednarodnem inkubatorju so mi med intervjujem za vlogo vodje varnosti na finančno-tehničnem projektu pojasnili, da bi poleg ciljnega projekta lahko prevzel tudi vodenje tega področja v inkubatorju. Tega do zdaj sicer nihče ne počne, ker v inkubatorju ni potreb po informacijski varnosti. Saj sem pričakoval podobno, vendar sem bil kljub temu pri njihovi velikosti (+200 večjih startupov) vseeno malce presenečen.
Inkubatorji startupom torej pomagajo preživeti. S pomočjo pri upoštevanju davčne in druge zakonodaje, računovodstva, marketingu in tudi upravljanju socialnih medijev. Nihče pa ne razmišlja o (informacijski) varnosti?
Predvidevanja sem preveril še z več EU inkubatorji/pospeševalniki. Eden, ki deluje pod okriljem občinske uprave, je ponosno potrdil, da uporabljajo njihov sistem informacijske varnosti. Ostali o tem niso razmišljali, večina povpraševanja sploh ni argumentirala. Iz gole radovednosti pa so se odzvali iz skandinavskega inkubatorja, ki deluje v sklopu lokalne univerze, ter prosili za podrobnejša pojasnila.
Po predstavitvi problematike iz moje perspektive so priznali, da tega res niso predvidevali in da morajo na tem področju nujno nekaj storiti. Še vedno torej lahko sklepam, da so moji dvomi glede širšega zavedanja informacijske varnosti in podpore startupom upravičeni.
Zakaj bi bilo komu mar, če se nekaj startupov sesuje?
Ali nihče od inkubatorjev ni opazil, da je vdorov v startupe vse več? Nihče ni podvomil, da bi prej omenjeni pristopi lahko k temu prispevali? Se milijoni ukradenih evrov, dolarjev in osebnih podatkov ne štejejo za dovolj resne?
Naslednjič o tem, kaj pričakovati v prihodnje, kakšna je (tudi lokalna) realnost in kako (za)varovati investicije v startupe.
Borut Kmetič
Kot sistemski inženir imam veliko operativnih izkušenj v IT-ju in na navedenih področjih. Pri zadnji zaposlitvi sem bil v vlogi vodje informacijske varnosti (cISO) v večji mednarodni kripto finančni instituciji. Tej sem se pridružil pri sanaciji ogromnega hekerskega vdora in postavljanju učinkovitega sistema informacijske varnosti.
Po naravi sem precej (samo)kritičen in vedno v iskanju novih izboljšav. Izzive rešujem s širšim celovitim sistemskim pogledom, s katerim lažje ocenim posamezno situacijo ter tako najdem bolj učinkovite strateške dolgoročne rešitve.
Ker verjamem v medsebojno pomoč in temu posledično osebno rast, vedno iščem priložnosti, da lahko pomagam drugim. Ker na probleme drugih lahko gledam bolj objektivno, tako tudi lažje najdem rešitve, ki se včasih skrivajo tik pred očmi.
Borut@Medium
Borut@Quora
