Startupi in mali podjetniki pogosto iščejo »low-hanging fruit«, hitijo izdajati svoje produkte in storitve v prepričanju, da morajo biti prvi, ter verjamejo v podobne sodobne poslovne pristope. Za vzornike si jemljejo največje uspešne korporacije ter hrepenijo po uspehu in zvenečih hitrih odkupih. Zdi pa se mi, da jih večina na tej poti zaide in namesto zvenečega ogromnega odkupa doživi bolj ali manj zveneč napad in zelo verjeten konec.
V prejšnjem drugem delu sem v povezavi z informacijsko varnostjo pisal o tem, kaj informacijska varnost ni, o vlogi inkubatorjev in zakaj bi bilo komu mar, če se nekaj startupov sesuje.
Tokrat bom nadaljeval o tem, kaj lahko pričakujemo v prihodnje, kakšna je (tudi lokalna) realnost, o previdnosti in kako bi investitorji morali (za)varovati svoje investicije.
Kaj pričakovati v prihodnje
Nimam zanesljivih informacij o dejanski podpori, ki bi startupom zagotavljala informacijsko varnost. So pa med nedavnimi vdori tudi nekateri med največjimi ponudniki oblačnih storitev pokazali kritično pomanjkanje osnovne informacijsko varnostne higiene. Zakaj bi torej startupi in inkubatorji, ki se zgledujejo po teh velikih, na situacijo gledali kaj drugače?
Vsak podjetnik se na neki točki zave pomena zasebnosti in varnosti svojih podatkov. Večina na žalost šele po tem, ko ugotovijo, da miselnost »zakaj bi pa kdo nas napadel« ni zdržala. Najbolj pa mi je ob tem zanimivo, da so podjetniki v lokalni skupnosti kronično nezaupljivi. Bojijo se še svoje sence – da ja ne bo kdo kaj preveč videl. Ko pa jim omenim hekerske vdore, pa se samo mirno nasmehnejo – ah, znanstvena fantastika.
Vam povem res zaskrbljujočo novico? Izsiljevalski virusi (ransomware) so nedavno nazaj postali franšizni posel. Ključke z zlonamerno kodo in celotno storitev (vključno s 24/7 podporo naročnikom in napadenim) lahko na internetu enostavno naročite za nekaj deset evrov. Ključek samo »izgubite« v bližini vhoda v ciljano podjetje. Za odkupnino in vse ostalo poskrbijo strokovnjaki.
Če to podkrepim še z lanskoletnim eksperimentom slovenske fakultete za varnostne vede z nastavljenimi »najdenimi« USB ključki, je 84 % različnih slovenskih podjetij na tem testu socialnega inženiringa gladko »padlo«. Zakaj se torej vodje naših lokalnih podjetij tako bojijo razkrivati svoje poslovne skrivnosti, obenem pa so povsem mirni pred vdori v njihove sisteme?
Vaše konkurenčno podjetje lahko za nekaj deset evrov pridobi USB ključke in jih pusti na nekaj vidnih mestih pred vašim podjetjem. Na ključek napiše ime vašega podjetja in naziv »plače«. Obstaja nekje 84 % možnosti, da bo eden od vaših zaposlenih ključek vtaknil v svoj službeni računalnik in tako hekerjem omogočil vstop v omrežje.
Od tam naprej pa je vse v njihovih rokah – poslovne skrivnosti, osebni podatki, odkupnina za zaklenjene podatke, …
Ne, ni znanstvena fantastika, ampak preverjena in testirana realnost.
Metanje denarja ali previdnost
V prejšnjem delu sem omenil razliko med informacijsko varnostjo ter IT in Cyber varnostjo. Glavna napaka, ki jo pri tem dela večina startupov in malih podjetij je v tem, da v strahu pred ogromnimi stroški informacijsko varnost v celoti zanemarijo. Že samo s tem je dovolj pogojev za katastrofo in tega se zaveda vse več hekerjev.
Mnogi managerji informacijsko varnost vidijo kot neutemeljen in nepotreben strošek, za pomanjkanje zavedanja in s tem povezane napake pa krivijo zaposlene same. Miselnost »zakaj bi kdo hotel napasti prav nas« pa je eden izmed ključnih predpogojev za katastrofalen izid.
Preventivno vlaganje v varnost je kratkoročno videti kot metanje denarja stran in mnogi raje igrajo na srečo, iščejo bližnjice in tako poskušajo varčevati.
(Za)varovanje investicije
Upam, da se o teh stvareh motim, vsi trendi in novice pa žal kažejo ravno nasprotno.
Kakorkoli, če inkubatorji – kot pravijo pri enemu – startupom ponujajo informacijsko-varnostno podporo, so zgrešili svojo vlogo v poslovnem ekosistemu. Seveda je to odvisno od tega, kakšni so njihovi interesi, vendar osnovna informacijsko-varnostna higiena ne more biti opcijska. Tako kot osnove financ, računovodstva, davčne in zaposlitvene zakonodaje.
Če ne drugega, bi investitorjem moralo biti bolj mar v kako rizično okolje vlagajo svoj kapital (in druge vire).
Ko svetu okoli sebe priznate svojo ranljivost, se ta šele zave, da (in kako) vam lahko sploh pomaga. Če potrebujete pomoč, jo poiščite. Ne poskušajte prelisičiti sistema.
V nadaljevanju bom zaključil z namigom za zainteresirane in pozivom k ukrepanju.
Borut Kmetič
Po formalni izobrazbi sem diplomirani varstvoslovec informacijske varnosti, sicer pa imam precej izkušenj s področja vodenja in presoje ISO sistemov, svetovanja s področja informacijske varnosti, varstva osebnih podatkov, vodenja kakovosti, procesov in organizacijske kulture.
Kot sistemski inženir imam veliko operativnih izkušenj v IT-ju in na navedenih področjih. Pri zadnji zaposlitvi sem bil v vlogi vodje informacijske varnosti (cISO) v večji mednarodni kripto finančni instituciji. Tej sem se pridružil pri sanaciji ogromnega hekerskega vdora in postavljanju učinkovitega sistema informacijske varnosti.
Po naravi sem precej (samo)kritičen in vedno v iskanju novih izboljšav. Izzive rešujem s širšim celovitim sistemskim pogledom, s katerim lažje ocenim posamezno situacijo ter tako najdem bolj učinkovite strateške dolgoročne rešitve.
Ker verjamem v medsebojno pomoč in temu posledično osebno rast, vedno iščem priložnosti, da lahko pomagam drugim. Ker na probleme drugih lahko gledam bolj objektivno, tako tudi lažje najdem rešitve, ki se včasih skrivajo tik pred očmi.
