Fenomén Startupov

Start-upy sú často označované ako fenomén 21. storočia. Osobne som veľkým fanúšikom týchto firiem, nájdem v nich energiu, ktorú kreatívni ľudia vkladajú do realizácie niekedy veľmi zaujímavých nápadov, ktoré umožňujú spoločnosti inovovať a posúvať sa vpred. To všetko mi príde veľmi fascinujúce.

Ak je konštelácia priaznivá a dopyt, dobrý nápad, načasovanie, vytrvalosť a šťastie sa spoja, môže vzniknúť rýchlo rastúca spoločnosť na trhu, ktorá môže niekedy prekonať rýchlosť Porsche z 0 na 100. Ako zákazníci rastú, rastie aj povedomie o start-upe v obchodnej sfére, rastie počet zamestnancov a kapitál a po niekoľkých rokoch úsilia a odhodlania sa skupina 3 priateľov stane spoločnosťou 50 alebo viac ľudí, kde zakladatelia majú celú spoločnosť na svojich pleciach a riešia strategické rozhodnutia o smerovaní, investíciách, marketingu a raste na trhoch. Jednoducho povedané, je toho veľa.

Ale vráťme sa späť na začiatok. Celý tento kolotoč sa točí okolo nápadu, ktorý sa viac ako na 90% rovná produktu. Produkt môže byť tovar, zariadenie, služba a samozrejme aj program alebo aplikácia. Možno už nikto nepochybuje o tom, že využívanie informačných technológií uľahčuje život a prácu, urýchľuje ich a my si bez niektorých z nich už nevieme predstaviť život. S príchodom umelej inteligencie nadobudlo toto odvetvie ďalší rozmer. Používame aplikácie v športe, v medicíne, na správu financií, na zábavu aj v zamestnaní. Start-upy sú plné inovatívnych produktov a aplikácií - vkladajú do nich svoju energiu a túžbu vyvíjať sa a plniť priania zákazníkov (len aby získali viac zákazníkov, propagovali svoje meno a, nebojme sa to povedať, stali sa slávnymi).

Etickí hackeri/penetrační testeri majú veľký záujem o technologické inovácie. Baví nás skúmať, ako veci fungujú do detailov, tzv. "ich vnútro”, aké technológie sú použité, ako ich autori zamýšľali, aby fungovali a ako nefungujú. Avšak v tomto prieskume tiež vidíme zaujímavý trend, ktorý môže byť strašidelný.

Trend už rozšírenej dobre známej spoločnosti, ktorá stále má správanie start-upu (z ktorého pôvodne vzišla). Nemyslím tým priateľskú atmosféru vo vnútri spoločnosti alebo nedostatok manažérskych štruktúr (ktoré často spoločnostiubližujú). Mám na mysli postoj a zodpovednosť za ich produkt. Každá aplikácia prechádza v prvých štádiách vývoja “pôrodnými bolesťami” a cieľom start-upu je čo najskôr začať s niekoľkými ľuďmi, aby vznikol fungujúci produkt, ktorý možno ponúknuť, ukázať, otestovať. Ak je však produkt alebo aplikácia už ďaleko za štádiom "early-access" (zjednodušene "demo") a je v štádiu, keď je pripravený/á na produkciu, používatelia produkt alebo aplikáciu používajú a obsahuje produkčné dáta, je takmer neskoro rozmýšľať o bezpečnosti, nastavení CICD, revízii zdrojového kódu a kontrolách vydania. Už dobre známa spoločnosť by mala mať toto všetko dávno pokryté.

Bohužiaľ, nemá.

Pravda je totiž taká, že noví zákazníci chcú nové funkcie, obchodníci chcú ovládnuť nové trhy, marketing chce nové videá. A 3 priatelia, ktorí zakladali firmu teraz riešia viac strategické požiadavky a na nastavenie pravidiel-koncepčných krokov sa úplne zabudlo.

Predstavte si situáciu, kde by napríklad v známej banke začínajúcej skôr ako start-up bolo i po niekoľkých rokoch stále možné aby ktorýkoľvek z jej vývojárov (aj junior) mal prístup a priamo zasahoval do publikovania a úpravy vydania produkčnej aplikácie. Na začiatku to bolo možné s 3 skúsenými vývojármi, pretože v malom počte existoval dohodnutý postup, seniorita, istá osobná zodpovednosť a vzájomná kontrola. Ale vo väčšom tíme, pozostávajúcom z rôzne skúsených vývojárov, existuje riziko napr. publikovania vydania s vývojovými/ladiacimi nastaveniami, kde by bola autentifikácia vypnutá.

Ďalej môžeme hovoriť o zdrojovom kóde nových funkcií/vlastností vložených do aplikácie internetového bankovníctva, a tie sú uvoľnené bez akýchkoľvek bezpečnostných kontrol a penetračných testov, ktoré by odhalili chyby a zraniteľnosti ľahko detekovateľné a zneužiteľné black-hat hackermi.

Znie to strašidelne, áno. Ale tí, ktorí by mohli najviac trpieť, sú na prvom mieste klienti. Vkladajú svoju dôveru, osobné údaje a financie do rúk spoločností, ktorých produkt používajú. Dúfajú, že to nestratia. Takže definíciou by spoločnosti mali byť zodpovedné za to, aby sa to nestalo.

Avšak vyššie spomenutý negatívny trend ukazuje, že sa to deje. Väčšinou nie v prípade bánk, ale v prípade rozšírených spoločností, ktoré stále majú správanie start-upu.

Ak toto čítate a ste:

• Zákazník, vždy premýšľajte o tom, či dávate aplikáciám/spoločnostiam údaje, ktoré naozaj potrebujú - scan občianskeho preukazu, zdravotné údaje, ...
• Spoločnosť, spýtajte sa sami seba, či ste urobili dostatočné koncepčné kroky na ochranu vášho produktu-aplikácie.

Ak je odpoveď nie (neurobili ste dostatočné kroky) alebo si nie ste istí, nebojte sa, ešte to môžete napraviť.

Tu nájdete dôležité kroky:

• Navrhnite bezpečnú stratégiu vývoja s pomocou dobre nastaveného CICD a manažmentu vydávania
• Pridelte zodpovedných, skúsených ľudí na validáciu a revíziu nového zdrojového kódu od rôznych vývojárov (code review)
• Zaveďte a udržiavajte správu prístupov "minimum necessary" (t.j. povoliť prístup - k repozitáru/aplikačnému serveru/databáze... len tým, ktorí to naozaj potrebujú, nie všetkým
• Skontrolujte svoje repozitáre na prítomnosť citlivých údajov (heslá, kľúče, ...)
• Majte viacero vývojových prostredí, ktoré sú od seba izolované a z ktorých je verejne dostupné len produkčné
• Používajte odporúčané frameworky a vrstvy špecifické pre danú oblasť vo vývoji, ktoré sú zodpovedné za danú oblasť v celej aplikácii (jedna vrstva autorizácie, jedna vrstva spravujúca vstupy a výstupy), a mať proces pravidelného aktualizovania frameworkov a knižníc tretích strán
• Školiť vývojový tím o princípoch bezpečného vývoja
• Skontrolovať, že nevystavujete zbytočné služby na verejnom backendovom rozhraní, čo vystavuje aplikácie mnohým bezpečnostným rizikám a hrozbám.
• Vykonávajte bezpečnostné kontroly aplikácií a infraštruktúry pomocou penetračného testovania - ako aj špeciálne pred uvedením do prevádzky, tak aj opakované pravidelne

Takže drahé start-upy, ak chcete byť úspešní a prajete si mať v budúcnosti pozitívny podtón k vášmu menu, skúste si byť vedomí verejného používania vášho produktu už od skorého štádia. S tým prichádza zodpovednosť.

Nestaňte sa ďalším odstrašujúcim príkladom a posilnite kyberbezpečnosť vášho start-upu už teraz. Viac informácií nájdete tu.