Что общего у стартапа и информационной безопасности, и от чего нужно защищать новый проект? Воспоминаниями о собственных фейлах и, напротив, своевременных мерах предосторожности в сфере безопасности поделились предприниматели, участники конкурса «ESET — стартапам», победитель которого отправится в Кремниевую долину .
Первый и самый очевидный вариант угрозы — кража гениальной идеи на стадии ее рождения. Впрочем, на практике явление не распространено. Если помните, бизнес-планы
никто не читает, а идея в чистом виде никому не нужна.
Картина меняется, когда идея получает реализацию. Когда это уже не идея, а работающий бизнес с сотрудниками, поклонниками, завистниками, конкурентами и просто людьми, — тут же начинают работать не самые чистые намерения.
Технологии VS Мошенники
По мнению создателей высокотехнологичной системы размещения рекламы GetIntent, главная проблема их рынка — обыкновенное мошенничество. Стартап развивает свою систему на базе технологии Real Time Bidding (аукцион в режиме реального времени). Пользователь продукта настраивает только основные параметры рекламной кампании, а оптимизация трафика происходит автоматически. При этом до 30% рекламного трафика в сети может быть «накрученным». Недобросовестные владельцы площадок нередко генерируют трафик искусственно, имитируя клики и другие целевые действия.
Георгий Левин,GetIntent
Способов решить проблему пока немного. Обещая клиенту эффективную рекламную кампанию, мы обязаны защитить его от фальшивок, поэтому вкладываем защиту в сам продукт. Если малоизвестный ресурс начинает резко выделяться среди однотипных площадок, мы анализируем распределение трафика — это заложено в алгоритмы, по которым работает GetIntent. Если фродеры идут дальше, мы усложняем алгоритмы вслед за ними. Я думаю, что в этом мы похожи на антивирусных вендоров, которые отслеживают новые угрозы и совершенствуют технологии защиты.
DDoS в качестве аргумента
С классической ИТ-угрозой столкнулись нынешние владельцы сервиса Tickets Cloud — b2b-платформы для сбыта билетов на мероприятия. Сейчас они уделяют максимум внимания защите веб-сервисов. Неработающие сайты — очевидная потеря денег для всех участников процесса. Но к пониманию экономического смысла безопасности стартап пришел методом проб и ошибок.
Егор Егерев,Tickets Cloud
Когда работаешь по 25 часов в сутки, руки не доходят до детальной проработки тонких вопросов безопасности. В какой-то момент это может привести к потерям, что случилось с моим первым проектом – сервисом для продажи электронных билетов Nanobilet.ru. Уволившийся сотрудник организовал DDoS-атаку на сайт, из-за которой встала продажа билетов. С тех пор все наши ресурсы защищены системами фильтрации трафика, и у нас есть план действий на случай, если какой-то из сервисов недоступен. Кроме того, следим за актуальностью всех программ, вовремя обновляемся, проверяем и перепроверяем актуальность версий, когда становится известно о новых уязвимостях продуктов. Специально для быстрого обновления на всех серверах есть централизованная система конфигурации. О разных банальностях наподобие файрволов и частных подсетей говорить не буду, но и об SSL, ограничении сессий по времени, хешировании паролей и защите от CSRF-атак забывать никому не советую.
Безопасность как стратегия…
Справедливости ради, разработчики высокотехнологичных продуктов чаще всего закладывают инструменты защиты в основу стартапа. Этот подход разделяют, в частности, разработчики сервиса «На-Показ.ру» с интерактивной картой загруженности мест и заведений в режиме реального времени. Сбор данных об объектах осуществляется с помощью специального ПО на базе алгоритмов компьютерного зрения. Данная информация напрямую влияет на бизнес клиентов (магазинов, ТЦ, ресторанов), — следовательно, интересна и конкурентам.
Алексей Дорожко,«На-Показ.ру»
С момента появления идеи стартапа мы продумывали, как защищать эту информацию, страховаться от утечек и обеспечивать конфиденциальность данных. Сегодня у нас есть набор инструментов защиты. Например, для отображения суммарных данных со всех объектов (график посещаемости, выгрузка отчетов в личный кабинет владельца) и передачи на основной сервер na-pokaz.ru мы разработали дополнительное устройство — закрытый блок наподобие «черного ящика». При попытке вскрыть его сторонним лицом данные стираются или кодируются по специальному алгоритму, доступ к которому имеют только наши разработчики или сам клиент.
… и как продукт
В случае с сервисом LoginByCall идеология безопасности — сущность продукта. LoginByCall представляет собой способ авторизации на сайтах без пароля. Для этого пользователю достаточно указать свой номер телефона и ответить на входящий звонок от сервиса.
Александр Рожков,LoginByCall
Обычно безопасность и удобство конфликтуют друг с другом. Либо сложный пароль и безопасность — либо простой пароль и высокий риск взлома. Мы разработали простую и безопасную одновременно альтернативу. LoginByCall можно использовать повсеместно: хотите войти в свой личный кабинет? Запросто! Изменить настройки файрвола? Легко! Разрешить доступ к настройкам телевизора? Элементарно! Разработчику ПО нужно лишь провести простую интеграцию с этим сервисом.
По мнению антивирусного вендора ESET, защита необходима даже небольшой компании. Чтобы начинающие предприниматели больше узнавали об информационной безопасности, компания запустила конкурс «ESET — стартапам». Его участники могут поделиться опытом защиты своего бизнеса. Автор самой жизненной истории поедет в Кремниевую долину на обучение по программе Deep Dive.
Подробности по ссылке: startup.esetnod32.ru
About the author