Nemojte da završite pre nego što ste počeli — zašto startapi treba ozbiljno da se bave bezbednošću?

The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards — and even then I have my doubts.

Gene Spafford

Kada vaš startap ima aplikaciju koja je u „proof of concept” fazi verovatno ne očekujete da ćete imati mnogo korisnika. A kad nemate puno korisnika ne očekujete ni da ćete biti meta napada.

Međutim, bezbednost u ranom stadijumu proizvoda jeste stvarna opasnost. Dosta je onih koji se ne bave njome već je ostavljaju za neke kasnije dane, iako bezbednosni propusti mogu da zakopaju startap pre nego što i dođe do značajnog broja korisnika.

Zašto se o tome ne priča?

Možda je jedan od razloga zbog kog mladi biznisi ne razmišljaju o zašiti svojih sistema i korisnika to što se o slučajevima ranjivosti kompanija sličnih veličina malo zna. Odnosno, ako bezbednosni propusti uzdrmaju veliki biznisi o tome se priča i piše, a ako zakopaju mali biznis to jednostavno nije vest.

Setimo se kako je Yahoo u septembru 2016. godine propustio da upozori svoje korisnike da su njihovi lični podaci bili izloženi pretnji od 2014. godine (na meti su se našla imena, email adrese, telefonski brojevi, datumi rođenja, lozinke…) ili kako je Uber platio 100.000$ kako bi „ućutkao” hakere i sakrio da su kompaniji ukradeni podaci 57 miliona korisnika. Pa, onda svih onih hakovanja automobila, alarma, pesjmejkera, aviona, aplikacije za mobilni banking itd. koji su svi našli mesto u medijima.

S druge strane, ranjivost podataka u manjim kompanijama tek se ponegde stidljivo provuče. Jedan od tih stidljivih primera je spisak startapa u čijim sistemima je indijski haker Maniš Batačarja još 2015. godine našao slabosti. Od poznatijih, na listi su se našli Dropbox, Gitlab, Hacker News… Od tada je prestao da vodi spisak jer se broj kompanija značajno uvećao.

Takođe, za nekoga ko se tek dokazuje još je manje verovatno nego za velike kompanije da će želeti da govori o tome kako njegov sistem ima mane. Reklo bi se da je to dovoljno dobar povod za sve startape da saznaju koje su im slabosti pre nego što ih bilo ko drugi opazi. Jer, nije da startapi nemaju šta da izgube. Poverenje koje su uspeli da izgrade kod mušterija, odnosi koje su izgradili sa poslovnim partnerima i mukom stečena dobra reputacija, recimo.

Napominjući da je nedovoljna svest zaposlenih kao i menadžmenta o informatickoj sigurnosti najveća pretnja po sajber bezbednost startapa, Daniel Maksimović, application security analyst, o ranjivosti startapa govori:

Bezbednosni propusti u ranoj fazi mogu da naštete biznisu i eventualno dovedu do gašenja istog. Ukoliko dođe do curenja podataka o korisnicima, takav događaj može da dovede do smanjenja postojećih, i stagniranja u broju novih korisnika, što nažalost vodi do smanjenja prihoda, i mali je broj startapa koji se oporave od takvih napada. Internet sve pamti.

Bez plana za bezbednost

Bez pogovora važi da je širokopojasni pristup internetu ključna stvar za razvoj biznisa, ali je ujedno i pretnja. U današnjem svetu ne postoji kompanija koja nije digitalna i ne zavisi od interneta. To znači da su na udaru i njihove mreže i arhitektura i podaci. 

Ono što je problem je da većina kompanija nema nikakv plan u slučaju sajber napada. Pre dve godine, to je bio slučaj u čak dve trećine kompanija.

Napominjući da je sajber bezbednost glavni problem za 2017. godinu, beli haker Cezar Serudo, u autorskom tekstu za Forbes navodi razloge za nedovoljnu brigu o bezbednosti:

• nedostatak znanja i svesti o važnosti sajber bezbednosti,
• kompleksna zaštita sastavljena od starih i novih tehnologija različitih vrsta, gde usled postojanja jedne slabe komponente ceo sistem postaje ranjiv, i
• nedostatak vremena i novca za zaštitu.

Upravo je poslednja tačka ono u čemu startapi greše. Njihov fokus je često na razvoju i lansiranju proizvoda na tržište, pa se malo ili nimalo bave zaštitom svog sistema i korisnika.

Jedna od zajedničkih stvari kod domaćih i stranih startapa je što se o sigurnosti razmišlja tek kada dođe do incidenta. Startapi angažuju third party kompanije da urade penetration test, čime se pronalaze i krpe sigurnosni propusti, i time startap smatra da je siguran.

Problem je što se aplikacija i dalje razvija, čime se proširuje funkcionalnost kao i područje za eksploataciju, i dolazi do novih propusta. Ulaganje u bezbednost mora da bude kontinuirano, postojanje sigurnosnog tima unutar startapa nije luksuz, već potreba.

Bolje sprečiti nego lečiti

Kada se govori o sajber bezbednosti opšta mesta su svima poznata. Enkriptujte podatke kojima raspolažete. Čuvajte hardver od krađe. Zaključajte svoje wi-fi mreže. Instalirajte antiviruse. Edukujte se.

Prema Danielovim rečima, curenje podataka, malware i rensomware, DDoS napadi i greške izazvane ljudskim faktorom jednako zahtevaju da se angažuju developeri i IT inženjeri koji su upoznati sa sigurnosnom problematikom i praktikuju secure development.

Postojanje IT security tima unutar startapa bi bila optimalna situacija, ali nažalost postojanje istog, bar u ranijim fazama razvoja startapa, nije uobičajen slučaj. Veliki je broj startapa koji postanu žrtve hakerkog napada, gde kompanije plaćaju hakerima ransom kako podaci o hakerskom napadu ne bi izašli javno.

Eksternalizacija nadzora je dobra ideja. Drugo mišljenje je dobrodošlo jer oni koji su gradili sistem često ne mogu da vide njegove slabosti. Naravno, važno je i koga ćete izbrati. Sasvim je ispravno da izbor bude intuitivan – tim sa iskustvom na projektima sličnim vašem.

A o tome kako se trenutno u svetu štite od napada, Daniel kaže:

Novi trend u svetu IT sigurnosti su bug bounty programi, gde kompanija može da alocira određeni iznos novca i preko third party kompanija da angažuje whitehat hakere koji ce testirati njihovu aplikaciju i prijaviti sigurnosne propuste. Kompanije kao što su Bugcrowd, Synack, Cobalt.io i Hackerone su vodeće u Crowdsourced Security Model svetu. Ukoliko je moguće da zataškaju sigurnosni incident startapi će to uraditi, to je učestala praksa. Dobra praksa je da ne dozvolite da dođe do toga, kako kaže ona narodna „bolje sprečiti nego lečiti”.

Naročito je važno da briga o bezbednosti krene sa vrha kako bi se postavio primer onima koji su na nižem hijerarhijskom nivou, ali i naouražti se znanjem o tome na koje načine je moguće obezbediti sistem i kako je vaš osiguran. Tako se brže i efikasnije donose odluke u situacijama kada je bezbednost ugrožena.

61 odsto malih i srednjih preduzeća je bilo meta napada u toku prošle godine

Da su pretnje stvarne ne govore samo oni koji su plaćeni da se neposredno bave njihovim sprečavanjem. Prema američkoj FCC (Federal Communications Commission) krađa digitalnih informacija u SAD je češći slučaj od fizičke krađe, dok neki izvori navode i da napadi oštećuju američke firme za par stotina hiljada dolara i uzrokuju njihovo gašenje u roku od oko šest meseci.

Na globalnom nivou, izveštaj Instituta Ponemon o stanju sajber bezbednosti u malim i srednjim preduzećima u 2017. godini, svedoči da je čak 61 odsto njih bilo meta sajber napada u toku prošle godine. U isto vreme, PwC navodi da je broj sajber napada iz godine u godinu sve veći.

Intel ceni se da će do 2020. godine na svetu biti 200 milijardi uređaja koji su povezani na internet, a Forbs je još 2015. godine pisao da jedan takav uređaj ima više od 20 bezbednosnih slabih tačaka.

Istraživanja se ne zaustavljaju na brojevima i učestalosti napada, već se bave i time šta predstavlja opasnost. Istraživanje Information Security Foruma ukazuje na to da su najveće pretnje IoT, povećano korišćenje algoritama (koje ne nadgledaju ljudi, pa se gubi kontrola i uvid u to kako sistem zaštite funkcioniše) i neslušanje ili zataškavanje onoga što govore stručnjaci o slabim tačkama sistema. Odnosno, uzbunjivači su često ućutkivani, a problemi se skrivaju umesto da se rešavaju.