Startupi in mali podjetniki pogosto iščejo »low-hanging fruit«, hitijo izdajati svoje produkte in storitve v prepričanju, da morajo biti prvi, ter verjamejo v podobne sodobne poslovne pristope. Za vzornike si jemljejo največje uspešne korporacije ter hrepenijo po uspehu in zvenečih hitrih odkupih. Zdi pa se mi, da jih večina na tej poti zaide in namesto zvenečega ogromnega odkupa doživi bolj ali manj zveneč napad in zelo verjeten konec.
V prejšnjem tretjem delu sem v povezavi z informacijsko varnostjo pisal o tem, kaj lahko pričakujemo v prihodnje, kakšna je (tudi lokalna) realnost, o previdnosti in kako bi investitorji morali (za)varovati svoje investicije.
Tokrat bom zaključil to serijo o startupih in informacijski varnosti z namigom za zainteresirane in pozivom k ukrepanju.
Namig za investitorje in vse zainteresirane deležnike
Inkubatorji in drugi zainteresirani v startup investirajo svoj čas, denar in/ali druge vire. Vsaj v začetni fazi bi bilo smiselno izvesti osnovni varnostni pregled, ekipo ozavestiti o osnovah informacijske varnosti ter zagotoviti najnujnejše pogoje za preživetje startupa (in varnost njihovega vložka).
Varnostne ranljivosti in pomanjkljivosti s časom in rastjo podjetja postajajo vse kompleksnejše in težje rešljive. Po nekaj letih pa že predrage in neobvladljive.
Nenazadnje je najlažje zaključiti, da takšni vdori in kraje doletijo samo določena podjetja. Žal pa poleg finančnih podatkov hekerji iščejo vse, kar diši po zaslužku – (za zainteresirane) dragocene poslovne skrivnosti, intelektualno lastnino in patente, ter podobno. Skoraj vedno so, še posebej tam, kjer ni »potrebe po zaščiti«, na voljo osebni podatki zaposlenih in strank, ki ponujajo ogromno možnosti zlorab in zaslužka.
Vsi deležniki, pogosto tudi stranke in širša družba, pa prav tako trpijo posledice. Ste zadnje čase preverili svoj mail naslov v javni bazi odtujenih osebnih podatkov? Vas tudi občasno kličejo z neznanih tujih številk? 😉
Poziv k ukrepanju
Startupi delajo začetniške napake. Zaradi tega so lahek plen hekerjev, še posebej manj izkušenih, ki se v tem še urijo in izpopolnjujejo.
Med nujnimi aktivnostmi, ki bi jih moral izvesti vsak startup (kot tudi vsi ostali), je med drugimi še zlasti pomembno pozorno upravljanje sredstev in dostopov, kar je kritičnega pomena – pri številnih zunanjih oblačnih rešitvah pa precej težko obvladljivo. Dostop do slabo upravljanih in varovanih sistemov lahko hekerjem omogoči tudi to, da ostanejo skriti in sistem izkoriščajo več mesecev ali celo let.
Kako ukrepati
Videti je, kot da nekateri inkubatorji res pozabljajo svoje osnovno poslanstvo in dejansko dodano vrednost za celoten poslovni ekosistem. Ta bi morala temeljiti na nujni in dobro premišljeni preventivni pomoči, ne pa marketingu in prodaji »okraskov«. Premisliti bi morali o spremembah, ki jih povzročajo in njihovi dodani vrednosti za okolje. Mentorstvo za zmanjševanje vseh poslovnih tveganj je ena od ključnih nalog inkubatorjev.
Informacijska varnost mora biti bistven del strateškega načrta vsakega startupa. Poznavanje in upoštevanje osnov informacijske varnosti ter redno seznanjanje in ozaveščanje zaposlenih o nevarnostih je danes zelo pomembno. In z vsem tem želim spodbuditi mlade in male podjetnike, da spremenijo pristop do (osnov) informacijske varnosti.
Ko svetu okoli sebe priznate svojo ranljivost, se ta šele zave, da (in kako) vam lahko sploh pomaga. Vsi delamo napake. In zato smo ranljivi. Hekerji so del sistema, nekakšen boleč korektivni mehanizem, ki nas vse dejansko sili v odpravljanje napak in izboljšave. O tem pa podrobneje naslednjič.
Če potrebujete kakršno koli pomoč, vam bom z veseljem prisluhnil in pomagal.
Borut Kmetič
Po formalni izobrazbi sem diplomirani varstvoslovec informacijske varnosti, sicer pa imam precej izkušenj s področja vodenja in presoje ISO sistemov, svetovanja s področja informacijske varnosti, varstva osebnih podatkov, vodenja kakovosti, procesov in organizacijske kulture.
Kot sistemski inženir imam veliko operativnih izkušenj v IT-ju in na navedenih področjih. Pri zadnji zaposlitvi sem bil v vlogi vodje informacijske varnosti (cISO) v večji mednarodni kripto finančni instituciji. Tej sem se pridružil pri sanaciji ogromnega hekerskega vdora in postavljanju učinkovitega sistema informacijske varnosti.
Po naravi sem precej (samo)kritičen in vedno v iskanju novih izboljšav. Izzive rešujem s širšim celovitim sistemskim pogledom, s katerim lažje ocenim posamezno situacijo ter tako najdem bolj učinkovite strateške dolgoročne rešitve.
Ker verjamem v medsebojno pomoč in temu posledično osebno rast, vedno iščem priložnosti, da lahko pomagam drugim. Ker na probleme drugih lahko gledam bolj objektivno, tako tudi lažje najdem rešitve, ki se včasih skrivajo tik pred očmi.
