Když lucemburský startup HighSide vyhrál evropské kolo letošního ročníku Startup World Cup & Summit, porotci kladně hodnotili především zaměření na aktuální problematiku bezpečnosti nástrojů pro vzdálenou komunikaci a kolaboraci. Vždyť jaká firma dnes alespoň částečně nefunguje přes Slack, Teams, Whatsapp nebo Messenger? Evan Blair, obchodní ředitel a hlavní tvář HighSide, v rozhovoru pro StartupJobs Newsroom připomíná, že tyto platformy jsou od základu otevřené a neposkytují ani zdaleka dostatečnou bezpečnost, aby přes ně firmy mohly sdílet citlivé dokumenty, firemní duševní vlastnictví nebo uživatelská data.
Co je hlavní myšlenkou za vznikem HighSide? Jste plnohodnotná platforma pro kolaboraci, nebo jen bezpečností plugin do řešení třetích stran?
To je výborná otázka na začátek. HighSide je bezpečná alternativa pro plnohodnotné kolaborativní platformy jako Slack nebo Teams. Jelikož tento trh rychle roste, věříme, že tu místo pro další platformu nabízející maximální bezpečnost určitě je. A my se o něj určitě chceme poprat (smích).
Na druhou stranu si uvědomujeme, že mnoho firem už nějakou platformu používá, nainvestovaly do toho určité prostředky a my jim pomáháme zvyšovat zabezpečení podnikového prostředí pomocí naší technologie autentizace uživatelů skrze distribuovaný šifrovaný systém. Tyto dva cíle se tedy navzájem nevylučují a jdeme oběma cestami.
Podle vašich slov je v dnešní době největším rizikem právě bezpečnost s ohledem na přechod většiny firem na home office. Jaké jsou za tímto přesvědčením důvody?
Firmy v dnešní době potřebují spolupracovat a potřebují spolupracovat vzdáleně. Využívají tak dostupné aplikace jako Whatsapp nebo Microsoft Teams, často v bezplatné verzi. A obvykle vůbec netuší, jak zranitelné jsou tyto aplikace, jak snadno hackeři mohou získat přístup k citlivé komunikaci či dokumentům sdíleným skrze tyto nástroje. Pro získání neomezeného přístupu k firemním datům mi stačí zaměřit se na jediného zaměstnance. A často vše, co stojí mezi hackerem a životně důležitými daty firmy, je prolomení jednoho hesla.
Co jsou největší chyby, kterých se společnosti dopouští?
Koronavirus neuvěřitelně urychlil plány spousty společností na digitální transformaci. Někdy to, čeho chtěly firmy dosáhnout v horizontu pěti let, musely realizovat doslova přes noc. Microsoft Teams získal za posledních pár měsíců obrovskou popularitu. Na druhou stranu se do toho firmy vrhly úplně po hlavě, jejich lidé postovali a sdíleli věci, které určitě neměli, a vystavili se značnému riziku zneužití podnikových dat.
Zkusíte být konkrétnější?
Na spoustu rizik firmy přichází za běhu - do firemního Slacku je možné pozvat externího uživatele, který se pak může vydávat za kolegu. Obecně ukrást něčí identitu pomocí jednoduchého phishing útoku není pro případného hackera vůbec náročný úkol. Většina uživatelů nepoužívá lobby pro schvalování hostů konferencí pořádaných přes Zoom, takže se objevily případy, kdy skrze známé Zoom linky vstupovali do hovorů „nechtění” hosté. Dále tu je třeba to, že podpora Microsoftu má přístup ke všem zprávám v Teams, což je v rozporu s případem, kdy chci přes platformu sdílet uživatelská data. Pokud někomu udělím admin práva, ve většině nástrojích získá přístup ke všem kanálům a všem datům, ačkoliv je to třeba sekretářka. A ta je pro hackera určitě snadnějším cílem než zkušený systémový administrátor. To je jen pár oblastí, které firmy vzhledem k bezpečnosti na většině známých platforem řeší.
K čemu jsou tedy tyto platformy určeny?
Pro obecný chat a běžnou konverzaci jsou tyto platformy skvělé. Ale jakmile přijde na spolupráci, úpravy a sdílení projektů obsahujících uživatelská data nebo duševní vlastnictví firmy, tak je bezpečnost těchto platforem nedostatečná. Vzhledem k tomu, že v posledních měsících vyletěl počet hackerských útoků strmě nahoru, riziko prolomení bezpečnosti není malé.
Myslíte, že si firmy rizika spojená s bezpečností dat uvědomují, nebo je potřeba trh ještě nějakou dobu vzdělávat?
Většina klientů, se kterými jednám, si velmi dobře uvědomuje, že spoustu věcí řešili ve spěchu a na koleni, takže to teď chtějí napravit. Sami hledají způsoby, jak zajistit vyšší bezpečnost. Prakticky nikomu nemusím vysvětlovat důvody, proč HighSide začít používat.
Opravdové end-to-end šifrování
Můžete vysvětlit způsob, jakým HighSide zajišťuje bezpečnost komunikace?
Je to distribuovaný kryptograficky šifrovaný systém, kde si každý uživatel vytváří a spravuje své šifrovací klíče. Mluvíme zde o pravém end-to-end šifrování. Prakticky nikdo jiný toto nenabízí, a už vůbec ne žádná byznys aplikace.
Některé nástroje se ale end-to-end šifrováním doslova chlubí. Napadá mě například aplikace Signal.
Ano, ale takové nástroje často sdílí šifrovací klíče nešťastným způsobem přes SMS a umožňují tak prolomení bezpečnosti celého komunikačního kanálu. My pracujeme s klíči naprosto jinak. Před mnoha lety jsme začínali u distribuovaného systému pro mikrotransakce a přidávali k němu byznysové aplikace, z čehož se postupně dnešní HighSide vyvinul. Největším rozdílem je to, že my v jakýkoliv moment umíme s jistotou říct, že bezpečnost systému nebyla narušena.
Jak to myslíte?
Mluvím teď o autentizaci uživatelů, kdy umíme v jakýkoliv moment garantovat, že přihlášený uživatel je tím, za koho se vydává. Jako hlavní formu autentizace používáme mobilní aplikaci, kde jsou bezpečně uloženy šifrovací klíče. Aplikujeme napříč celou platformou princip nulové důvěry, kdy neexistuje způsob, jak se ke konverzacím nebo souborům dostat bez daného mobilního zařízení nebo s propadlými šifrovacími klíči - to se týká typicky propuštěných zaměstnanců. A tím se také vyhýbáme známým slabým místům v SSL zabezpečení či způsobům zneužití potvrzovacích kódů posílaných přes SMS.
V tabulce najdete porovnání bezpečnosti HighSide v porovnání s Microsoft Teams a Zoom.
Zmínil jste, že nabízíte i bezpečnější práci se soubory. Můžete to rozvinout?
Vytváříme uzavřený okruh uživatelů, který může k souborům v repozitáři přistupovat. Je tedy možné sdílet citlivé dokumenty, osobní údaje nebo duševní vlastnictví, které nesmí uniknout na veřejnost, s tímto uzavřeným okruhem uživatelů a spolupracovat na úpravách kompletně v bezpečném prostředí naší platformy.
Z toho, jak HighSide popisujete, na mě křičí blockchain. Ale ani jednou jste to zatím nezmínil.
Určitě bych náš systém neoznačil jako blockchain technologii. Jsou tam podobné koncepty, například distribuovaný systém pro správu šifrovacích klíčů, ale v základu to nemá s blockchainem mnoho společného. Ačkoliv uznávám, že v začátcích jsme se kryptoměnám okrajově věnovali.
Řekněte mi, není bezpečnější používat pro přístup k firemním datům VPN?
VPN je určitě bezpečnější než nic, ale je tu stále mnoho slabých míst a rizik. Když se podívám zpět na autentizaci, jak mohu vědět, že uživatel je opravdu zaměstnanec a ne hacker? Jak mohu vědět, kde se dané zařízení nachází? My využíváme třeba právě geolokaci k nastavení podmínek, za jakých může uživatel k datům přistupovat.
PŘEČTĚTE SI: Nejlepším evropským startupem je HighSide. Jak si na SWCSummitu vedli Češi a co řekla Tosca Musk?
Dva kontinenty, dvě trofeje?
Jak se cítíte ohledně vítězství v evropském kole Startup World Cupu?
Opravdu moc si toho vážíme. Každé externí potvrzení toho, že naše snažení má smysl, je obrovskou motivací vytrvale pokračovat. Startupový svět má velmi hluboké dno a velmi vysoké vrcholy. A vítězství mezi 420 různými společnostmi z Evropy je jedním z těch vysokým vrcholů.
Pochopil jsem, že součástí výhry byla i možnost investice ve výše 500 tisíc dolarů. Jednáte už s pořadateli o podmínkách?
Ano, možnost této investice tu je. Každá smysluplná konverzace s investory je pro startup nesmírně cenná a dalším potvrzením správného směru, správné mise. Těšíme se na to, co tato jednání přinesou, ale zatím je vše na dobré cestě.
Zároveň jste postoupili do světového finále Startup World Cupu v San Francisku příští rok. Budete se účastnit?
Rozhodně budeme! Jen tedy teprve uvidíme, jaký bude formát eventu vzhledem k epidemii koronaviru. Jelikož jsme napůl evropská a napůl americká společnost, rádi bychom svou sílu potvrdili na obou kontinentech. Chceme soutěžit a chceme potvrdit, že naše zaměření na řešení dvou velkých výzev je správné.
Jaké výzvy to jsou?
První je distribuce globální pracovní síly, druhá potom potřeba výstavby pokročilé distribuované sítě pro kolaboraci. My k tomu přidáváme důraz na bezpečnost dat a jejich správu. Nenabízíme jen software pro vyšší bezpečnost dat, my umožňujeme firmám fungovat napříč globálními týmy efektivně a bezpečně. To je naše hlavní konkurenční výhoda.
Jak HighSide vznikl?
Společnost byla založena čtyřmi zakladateli napůl v Lucembursku a napůl v Americe. Zakladatelský tým je dokonalým mixem expertních dovedností v šifrování, bezpečnosti dat, UI/UX designu a obchodu. Jen díky tomu mohla vzniknout účinná technologie end-to-end šifrování, kterou si už ověřily i některé zpravodajské a bezpečnostní služby. Vyvinout takovou technologii nebylo snadné a už vůbec ne ji zabalit do user-friendly aplikace. Naslouchali jsme jako správný startup svým zákazníkům a na základě jejich přání jsme poslední roky produkt přizpůsobovali.
Nabíráte do týmu nové posily?
Určitě ano, hledáme k nám do týmu především vývojáře a obchodníky. Hiring je pro nás kontinuální proces, a jelikož náš 30 až 40členný tým je od základu globální, určitě se k nám mohou hlásit i zájemci z Česka.
Foto: HighSide, Canva Pro