Bu iki girişimin hikayesiydi.
“Yaklaşık beş yıl önce yatırım yaptığım bir şirket, tesadüfen proptech sektöründeydi [property technology] Rose Tech Ventures’ın yönetici ortağı David Rose, geçen hafta Cybertech NYC’de düzenlenen bir panelde, “alan” dedi. Bahsettiği emlak teknolojisi girişimi, insanların kiralarını kredi kartlarıyla ödeyerek kredi puanlarını yükseltmelerine yardımcı oldu. “Bu yüzden gerçekten harika bir şirketti, [and] harika gidiyordu. Ve sonra sahte binalar ve sahte kredi kartları kuran dolandırıcıların saldırısına uğradıkları ortaya çıktı, bunları kullanıyorlardı [for fraud]Ve tüm şirket bu yüzden patladı.”
Rose’un himayesindekilerden birinin başka bir şirketi de benzer bir fikre ve iş modeline sahipti, ancak şirketin daha iyi bir güvenliği olduğu için büyüyebilmişti. Rose, “Gerçekten ilginç fikirleri olan, büyük bir potansiyel gösteren, zeki adamlar olan bir şirket görüyorsunuz, ancak şirket siber yüzünden öldürüldü,” diye belirtti.
Girişimler ileri görüşlülükleri, finansalları ve yetenekleri nedeniyle değerlidir. Hiçbir yatırım müzakeresi siber hazırlık sorunu yüzünden bozulmamıştır. Yine de, açıkça, bir olay umut vadeden ancak istikrarsız yeni bir işletme için felaket olabilir ve anekdotsal kanıtlar yatırımcıların ve kurucuların bu riski ciddiye almaya başladığını gösteriyor.
Girişimlere Yönelik Tehdit
Çin’in gelişmiş kalıcı tehdidi (APT) Volt Typhoon gününher türden kritik altyapı sağlayıcısını tehlikeye attı — İnternet servis sağlayıcıları, elektrik şirketleri, atık su arıtma, enerji ve daha fazlası — birden fazla kıtahedefleme askeri örgütler yol boyunca. Saldırıları bilinen APT’ler arasında en yüksek kalibrededir. Ancak birkaç hafta önce farklı bir av türüne yöneldi: bir startup.
Versa Ağları çok dikkat çekti güvenli erişim hizmeti kenarı (SASE) yazılım hizmeti teklifiyle Ekim 2022’de halka arz öncesi finansmanda 120 milyon dolar kazandı. Daha az manşet olan şey, yazılım tanımlı geniş alan ağı (SD-WAN) teknolojisindeki bir hataydı (CVE-2024-39717). 7,2 CVSS puanıyla “yüksek” öneme sahip olarak derecelendirilen güvenlik açığı, Volt Typhoon’un bir özel, kimlik bilgisi toplama Web kabuğu Versa Director platformu üzerinden saldırganların ABD’deki dört ve Hindistan’daki bir Versa müşterisinin hesabına sızmalarına olanak sağladı.
Saldırılar ve ihlaller herhangi bir şirketin başına gelebilse de, Versa Networks, güvenlik kamerası firması Verkada gibi yeni kurulan şirketler — ki bu da Geçtiğimiz ay FTC tarafından 3 milyon dolar para cezasına çarptırıldı saldırganların müşteri kameralarını ele geçirdiği ihlalinin ardından — ve Rose’un proptech başarısızlığı özellikle savunmasızdır. Herhangi bir küçük veya orta ölçekli işletme gibi, bütçe ve kaynak tahsisi konusunda zorluk çekebilirler. Ancak diğer işletmelerden daha fazla, yeni kurulan şirketler heyecan ve vaat satar. Tipik bir işletme güvenli olmayı hedefleyebilir, ancak bunu doğru şekilde yapmak için para ve iş gücünden yoksun olabilirken, hızlı hareket etmeyi ve her şeyi bozmayı hedefleyen yeni kurulan şirketler, büyüme sağlamayan bir maliyeti önceliksizleştirebilir.
Rose’un Cybertech’teki Dark Reading’e söylediği gibi, “Bahsettiğim şirket durumunda, [cybersecurity] akıllarına bile gelmemişti. Onlar olumlu tarafı düşünüyorlardı [of the business]”Olumsuz tarafı değil.”
Maalesef, startup’ları güvence altına almanın cevabı basit değil.
Başlangıç Şirketlerinin Güvenliği Düşünmesi Gereken Durumlar
Yerleşik şirketler siber güvenliklerini güçlendirmeye odaklandıklarında, genellikle personel, eğitim ve katmanlı güvenlik yazılımlarına (diğer şeylerin yanı sıra) yatırım yaparlar. Ancak Rose’un da belirttiği gibi, “Konuştuğumuz kurucuların neredeyse hiçbiri siber güvenlik zorluklarıyla karşılaşmıyor çünkü hiçbir ürünleri yok!”
Başlangıç aşamasındaki girişim sermayesi şirketi AllegisCyber’ın kurucusu ve yönetici müdürü Bob Ackerman, girişim güvenliğinin büyük ölçüde zamanlamaya dayanan daha ayrıntılı bir konu olduğunu açıklıyor.
“Sıfır aşamasındaki bir girişime baktığınızda, güvenlik muhtemelen bir numaralı husus değildir. ‘Bu iyi bir fikir mi?’, ‘Bu ekip performans gösterebilir mi?’, ‘Burada gerçekten bir iş var mı?’ Ancak şirketler ivme kazandıkça, kritik kütle oluşturdukça, siber güvenliği yanlış yapmanın sonuçları artar,” diyor Ackerman.
“Genellikle orta veya daha sonraki aşamadaki bir şirketin siber güvenlikle ilgili yeterli sorusu vardır ve bu da bir güvenlik ekibine, bir güvenlik programına ihtiyaç duyulduğunun açık bir göstergesidir. [and] “Bir güvenlik bütçesi de var,” diyor The VC Field Guide kitabının yazarı Will Lin. “Bir rakamı zorlamam gerekirse, 3.000’den fazla çalışanı olan şirketler için, yatırımcılar için giderek daha önemli bir konu haline gelmeye başladığını söyleyebilirim.”
Ancak Lin, farklı türdeki şirketlerde ihtiyaçların büyük ölçüde değiştiği konusunda uyarıyor.
“Çok, çok büyük kuruluşlar bulabilirsiniz – örneğin 3.000’den fazla kişi bile – üç veya daha az kişiden oluşan küçük bir güvenlik ekibine sahip olabilir ve sonra 200 kişilik küçük bir kuruluşun yılda güvenliğe oldukça fazla harcama yaptığını görebilirsiniz. Güvenlik bütçeleri ve programları ve her şey, [saying] Lin, “Şirketin bir sonraki adımının X, Y, Z’yi yapmak olacağı açık” diye açıklıyor.
Ackerman, bu farklılığın sadece büyüklük ve olgunluktan değil, aynı zamanda sektörden de kaynaklandığını ekliyor.
“Belki bir finansal hizmetler şirketi siber riske maruz kalacak ve bu nedenle [be] “Özellikle finansal hizmetler gibi çok fazla kişisel olarak tanımlanabilir bilginin bulunduğu sektörlerde veya tedarik zincirinde bir uzlaşmanın yıkıcı olabileceği ve olumsuz sonuçlar doğurabileceği sektörlerde, bunun çok erken bir aşamada farkında olunmalıdır” diyor.
Güvenliği Daha Yüksek Önceliğe Taşımak
Birine göre Şubat anketi İş sigorta şirketi Embroker’dan yapılan araştırmaya göre, kurucuların üçte ikisinden fazlası işlerinden birine siber saldırı yapıldığını belirtti.
Kurucuların güvenlik konusunda fazladan dikkatli oldukları görülüyor. Ankette, %86’sı bir tür siber sigortaya sahip olduğunu bildirdi ve %71’i sigortaya ek olarak ek güvenlik korumaları düşündüğünü söyledi. Katılımcıların yaklaşık üçte biri (%31), bir önceki yıla göre güvenlik konusunda daha fazla endişe duyduklarını bildirdi.
Siber güvenlik hakkında düşünmeyenler, yatırımcıların kendileri tarafından bir şeyler yapmaya itilebilir. Rose’un belirttiği gibi, “Tam kapsamlı bir durum tespiti yaptığımızda standart yatırımcı kontrol listemizde bulunan şeylerden biri şudur: Siber güvenlik planınız nedir? Nasıl çalışacak? Aslında, birçok durumda, bu, birinin girişim kurucusuna güvenlik hakkında ilk kez soru sorduğu zamandır.”
“Eğer destelerinde -en azından destelerinin ekinde- ‘İşte düşüncelerimiz, işte planımız, işte zaafımız’ yazan bir şey varsa çok mutlu olurum. Bana sadece bu konuya iki buçuk dakikadan fazla zaman ayırdığınızı söyleyin, diğer şirketlerin %95’inden önde olacaksınız.”
Daha olgun, daha sonraki aşamadaki girişimlerin maddi yatırımlar yapmaya ve yönetici pozisyonları için işe alım yapmaya başlaması gerektiğini açıklıyor: “Ve eğer halka açık bir platform işletmesiyseniz ve herhangi bir yere giden bir miktar paranız varsa, o zaman gerçekten ciddi bir planınız olması gerekir.”
“Dünya benim kontrolümde olsaydı şunu söylerdim: Evet, gelecek yıla kadar ödeme yapan müşterisi olmayan bir girişim kurucusu olarak, ilk günden itibaren güvenliği oluşturmayı düşünmenizi istiyorum. Ancak bu, ilk günden itibaren dolarlara bağlı olmadığından – ve girişimler her zaman dolar sıkıntısı çeker, her zaman hızlı hareket etmeye ve bir şeyleri bozmaya çalışır – bu çok zor bir satıştır,” diye itiraf ediyor.
