SK DE EN
Fenomén Start-upů

Fenomén Start-upů

blog | | Michal Havrda

Start-upy bývají označovány jako fenomén 21. století. Osobně jim velmi fandím, přijde mi velmi fascinující ta energie, kterou kreativní lidé vkládají do realizace někdy velmi zajímavých nápadů, které tak umožňují společnosti se inovovat a posouvat. Pokud je příznivá konstelace nakloněna a sejde se poptávka, trefný nápad, načasování, vytrvalost a štěstí dohromady, může dojít k vzniku rychle rostoucí firmy na trhu, která z 0-100 umí leckdy překonat i rychlost Porsche. S přibývajícími zákazníky roste povědomí o jménu dotyčného start-upu v business sféře, roste počet zaměstnanců i kapitál a po pár letech snah a nasazení je ze skupiny 3 kamarádů firma čítající 50 a více lidí, kde zakladatelé mají na bedrech celou firmu, řeší strategická rozhodnutí o směřování, investicích, marketingu, růstu na trhy. Zjednodušeně je toho spousta.

Vraťme se však na začátek. Celý tento kolotoč se točí kolem nápadu, což se ve více jak 90 procentech rovná produktu. Produkt může být výrobek, zařízení, služba, a samozřejmě také program/aplikace. Snad nikdo už v současnosti nepochybuje o faktu, že využití informačních technologií život a práci zjednodušují, urychlují a již se bez některých nedokážeme život představit. S příchodem AI nabyla tato oblast další rozměr. Aplikace využíváme při sportu, v lékařství, pro správu financí, pro zábavu, v zaměstnání. Start-upy inovativními produkty - aplikacemi jen hýří a svou energii a chuť vkládají do vývoje a plnění přání zákazníků (aby právě získávali další zákazníky, propagovali své jméno a nebojme se to říci, proslavili se).

Etičtí hackeři/Penetrační testeři technologické novinky velmi zajímají. Baví nás zkoumat jak věci fungují do detailu, tzv. „zevnitř“, jaké technologie jsou použity, jak je autoři zamýšleli aby fungovaly a také nezamýšleli. Při tomto zkoumání však vnímáme i zajímavý trend, který může děsit.

Trend již rozšířené známé firmy, která má však stále chování start-upu (ze kterého původně vznikla). Nemyslím tím přátelskou atmosféru uvnitř firmy či chybějící struktury managementu (které leckdy firmu neobohatí). Mám na mysli přístup a zodpovědnost za svůj produkt. Každá aplikace v prvních fázích vývoje prochází porodními bolestmi a cílem start-upu je na začátku spolu s pár lidmi co nejdříve vytasit funkční produkt, který lze nabídnout, ukázat, nechat vyzkoušet. Pokud je však již produkt-aplikace daleko za tzv. „early-access“ (zjednodušeně „demo“) a je ve fázi, kdy je produkčně používána, uživatelé ji používají a obsahuje produkční data, je skoro pozdě myslet na zabezpečení, nastavení CICD, source code review a kontroly releasů. To by již rozšířená známá firma měla mít dávno pořešené.

Bohužel nemá.

Realita je taková, že noví zákazníci chtějí přece nové funkcionality, obchodníci chtějí ovládnout nové trhy, marketing chce nová videa. A 3 kamarádi zakladatelé, kteří nyní řeší spíše strategické požadavky, zapomněli včas nastavit pravidla-koncepční kroky.

Představte si situaci, kdyby např. známá banka začínala dříve jako start-up a po několika letech stále kterýkoli z jejích vývojářů (i junior) měl přístup a přímo zasahoval do publikace a úprav produkčních releasů aplikace. Na začátku v počtu 3 zkušených vývojářů toto bylo možné, protože v malém počtu funguje dohodnutý postup, seniorita, určitá osobní odpovědnost a vzájemná kontrola. Ale ve větším týmu, složeným z různě zkušených vývojářů hrozí např. publikace releasu s nastavením pro vývoj/debug, kde by bylo vypnuté ověřování.

Dále se můžeme bavit o zdrojových kódech nových funkcionalit/features vložených do aplikace internetového bankovnictví, přičemž tyto jsou vydávány bez jakýchkoliv kontrol bezpečnosti a penetračních testů, které by odhalily chyby i zranitelnosti lehce odhalitelné a zneužití hodné tzv. black-hat hackery.

Zní to hrozivě, ano. Ale těmi, kdo by mohli utrpět nejvíce, jsou v první řadě klienti. Ti vkládají svou důvěru, osobní data a finance do rukou firem, jejichž produkt používají. Věří, že o ně nepřijdou. Firmy by tedy z podstaty měli nést zodpovědnost za to, zda k tomu nedojde.

Zmiňovaný negativní trend však ukazuje na fakt, že k tomu dochází. Většinou ne v případě bank, ale rozšířených firem, které mají stále chování start-upu.

Pokud toto čtete a jste:

  • Klient, přemýšlejte vždy nad tím, zda aplikacím/firmám dáváte data, která nutně potřebují scan občanského průkazu, zdravotní data,…
  • Firma, položte si otázku, zda jste udělali dostatek koncepčních kroků, které chrání váš produkt-aplikaci

Pokud zní odpověď ne (neudělali dost kroků) nebo si nejste jistí, nebojte, je to možné ještě napravit.

  • Koncipujte strategii bezpečného vývoje, a to s pomocí dobře nastaveného CICD a release managementu
  • Ustanovte zodpovědné zkušené osoby na validaci a kontrolu nových zdrojových kódů od různých vývojářů (tzv. code review)
  • Stanovte a dodržujte řízení přístupů tzv. “minimálního nutného” (tj. povolujte přístup - k repository/aplikačnímu serveru/databázi… jen tomu, kdo to skutečně potřebuje, nikov paušálně všem)
  • Scanujte své repository, zda neobsahují napevno uložené citlivé údaje (hesla, klíče, …)
  • Mějte více vývojářských prostředí, které jsou vzájemně izolované, a z nichž jen produkční je veřejně dostupné
  • Ve vývoji používejte doporučované frameworky a specifické vrstvy, zodpovědné za danou oblast v celé šíři aplikace (jednotná autorizační vrstva, jednotná vrstva spravující vstupy a výstupy) a také zaveďte proces pravidelného aktualizování frameworků a knihoven třetích stran
  • Proškolte vývojářský tým na principy bezpečného vývoje
  • Zkontrolujte, zda nevystavujete zbytné služby na veřejném rozhraní backendu, protože tím vystavujete aplikace řadě bezpečnostních rizik a hrozeb.
  • Provádějte kontrolu zabezpečení aplikací a infrastruktury s pomocí penetračního testu – a to jak mimořádného před publikací release, tak opakovaného pravidelného

Takže milé start-upy, pokud chcete být úspěšní a chcete, aby vaše jméno nabylo v budoucnu pozitivního kontextu, pokuste se včas si uvědomit, že se váš produkt bude veřejně používat. S tím souvisí i zodpovědnost.

Zabezpečte svůj start-up! Klikněte [zde]https://web-preview.int.citadelo.net/cs/kontakt/) pro expertní rady!

Nestaňte se dalším odstrašujícím příkladem a posilnite kybernetickou bezpečnost svého start-upu již nyní. Více informací najdete zde.

O autorovi

Michal Havrda
Etický hacker
Bezpečnostní konzultant/Penetrační tester/Redteamer/Školitel ... dalo by se pokračovat. Michal Havrda je v první řadě etický hacker, který již řadu let hackuje cokoliv, co mu přijde pod ruku. Ať už se jedná o mobilní aplikaci, server, lidi nebo banku snaží se najít slabá místa a ty díky svému testování vylepšit. Má na svém kontě vyhackované bankomaty i fyzické průniky do podniků, samozřejmě 100% se souhlasem vlastníka.
Zobrazit více od autora

Podobné blogy