Информационная безопасность в стартапе: от ошибок к устойчивости

The Tech Время чтения: 1 мин

Недавно прошел прямой эфир в Telegram-канале The Tech с участием венчурного инвестора Алима Хамитова и эксперта по кибербезопасности Евгения Питолина. Спикеры обсудили, почему стартапы игнорируют защиту данных, основные ошибки фаундеров, когда привлекать эдвайзеров и как выстроить культуру информационной безопасности.

Алим Хамитов, венчурный инвестор, глава фондов MOST Ventures 

Евгений Питолин, сопредседатель комитета по информационной безопасности Альянса Qaztech

О себе

Алим. Я венчурный предприниматель и инвестор. Мой основной бизнес — компания Most Holding, которую я развиваю с партнерами уже больше 14 лет, поддерживая технологических предпринимателей.

У нас три венчурных фонда для инвестиций от Pre-Seed до раунда A, также венчурные займы для IT-компаний. Кроме этого, мы открыли два коворкинга: Most Hub Алматы и Most Hub Ташкент.

Развиваем экосистему: проводим мероприятия, поддерживаем стартапы, инвесторов и бизнес-ангелов. Недавно организовали Центральный Евразийский Венчурный Форум и продолжаем развивать рынок региона.

Евгений. Я почти 25 лет в IT и кибербезопасности, последние годы фокусируюсь на security awareness — повышении осведомленности в ИБ. В 2010-2012 годах мы обучили 5000 казахстанских чиновников в рамках правоохранительного проекта.

В настоящее время ежедневно получаю три-пять сообщений в Instagram с вопросами по личной кибербезопасности — от простых до сложных, и стараюсь отвечать всем. Государство защищает критическую инфраструктуру, бизнес — свои активы, а граждане часто остаются без поддержки. Важно, чтобы и о них кто-то думал.

Какие ошибки чаще всего совершают фаундеры

Евгений. Одна из главных проблем стартапов — фаундеры воспринимают проект как часть личной жизни, а не как бизнес. Это видно даже в подходе к тратам: выбор между отпуском и инвестициями в маркетинг или кибербезопасность часто делается не в пользу бизнеса.

Проблема в том, что многие мало знают о цифровой безопасности. Если в личной жизни этому не уделяют внимания, то и в бизнесе, особенно на старте, считают, что «можно заняться потом».

Фаундеры думают, что хакеры охотятся только за корпорациями, а их маленький стартап никому не интересен. Это ключевая ошибка, которая ставит под угрозу и бизнес, и данные клиентов.

Алим. В целом, для большинства стартапов информационная безопасность не считается приоритетом — это слепая зона. 

Я ежедневно общаюсь с фаундерами, мы смотрим около 35 проектов в день, и почти всегда слышим: «Да, безопасность будет, но не сейчас». При этом есть реальные случаи, когда компании теряли все за сутки из-за отсутствия базовой защиты. И основатели даже не думали, что это может случиться именно с ними — и именно сейчас.

Проблема решаема. Стартапы в регионе уже думают о масштабировании, инвестициях, продукте, но безопасность пока вне списка приоритетов. Это и риск, и возможность.

Информационная безопасность — это не только про пароли, но и про защиту интеллектуальной собственности, цифровых продуктов, репутации и доверия пользователей. Важно, что этот разговор наконец начался, и интерес к теме растет.

Евгений. Чаще всего стартапы начинают задумываться о безопасности только после инцидента — иногда помочь уже сложно или поздно. Вот три самые типичные проблемы:

1. Риск незнания

Часто молодые команды используют западные сервисы для хостинга, разработки, хранения данных — не зная, что это нарушает закон. Персональные данные казахстанских пользователей нельзя хранить за пределами страны. Даже если речь идет о маркетинговых базах или HR-данных. Если стартап вырастет, первым к нему придет не инвестор, а регулятор.

2. Риск «скоростной» разработки

В погоне за быстрым запуском стартапы жертвуют безопасностью ради скорости. Выпуская релизы и обновления в спешке, они получают уязвимый продукт, где исправлять ошибки потом сложнее и дороже.

3. Риск интеграций и открытых интерфейсов

Настройка интеграций с партнерами через API — еще один риск. Партнерство может завершиться, а открытые интерфейсы останутся. Со временем теряется контроль, и доступ к данным могут получить посторонние.

Эти риски особенно актуальны в первые годы жизни стартапа и требуют внимания с самого начала.

Примеры инцидентов, которые происходили с молодыми IT-компаниями

Алим. Такие случаи происходят и у нас, и за рубежом. Один из известных кейсов — стартап Cerebral в сфере ментального здоровья. Компания собирала данные клиентов и делилась ими с рекламными платформами, нарушив законодательство. Несмотря на три миллиона пользователей и оценку свыше $4 миллиарда, именно утечка данных стала одной из причин, почему стартап не дошел до IPO. Эту проблему можно было предотвратить заранее.

В Казахстане похожая история произошла с FinTech-стартапом: база клиентов с ИИНами лежала в открытом доступе по ссылке без защиты. Получить доступ к данным мог любой человек.

Таких кейсов немало, но о них редко говорят публично. Возможно, стоит собирать и обсуждать их открыто — например, в формате стримов, чтобы стартапы и инвесторы могли учиться на чужих ошибках.


Red-флаги в области кибербезопасности 

Алим. Как инвестор, я часто сталкиваюсь с типичными проблемами в стартапах, связанными с отсутствием культуры безопасности.

1. «Сделаем потом». В 90% случаев фаундеры откладывают вопросы безопасности на будущее. Часто в команде вообще нет ответственного за эту зону — ни внутри, ни на аутсорсе.

2. Отсутствие распределения ролей. Вместо выстроенной структуры все делают все. CTO может быть единственным человеком с доступом ко всей системе. Его уход — огромный риск, особенно если никто больше не понимает техническую часть.

3. Безопасность внешних интеграций. Многие стартапы используют сторонние платформы и API, но не всегда оценивают риски передачи данных и юридические последствия. Техническая команда должна это контролировать.

4. Отсутствие стратегии безопасности в roadmap. Если стартап работает с данными, стратегия по информационной безопасности должна быть частью дорожной карты. Иногда мы просим провести внешний аудит — это помогает заранее выявить уязвимости.

Вывод: внимание к безопасности должно быть еще до появления проблем. Осознанное управление рисками, внутренняя культура безопасности и документирование процессов — основа устойчивости любого стартапа.

Алим. Прямых отказов именно из-за несоблюдения стандартов информационной безопасности у нас не было. Мы инвестируем на ранних стадиях и в этот момент редко предъявляются строгие требования к безопасности. Но базовые вопросы мы всегда задаем: как устроена архитектура системы, где хостится платформа, кто имеет доступ, используется ли шифрование, обрабатываются ли конфиденциальные данные.

В 2024 году мы впервые инвестировали в security-стартап — ZenGuard AI основанный ребятами из Казахстана, которые работают в США. Это API-платформа для защиты генеративных AI-сервисов от prompt-атак, jailbreak-сценариев и утечек данных. На данный момент у них уже более 100 клиентов, и мы верим в их потенциал.

Мы не считаем себя экспертами в сфере информационной безопасности, но понимаем, что этот рынок растет. Мы готовы поддерживать стартапы, которые создают инновационные и масштабируемые решения в этой области.


О популярности стартапов в сфере информационной безопасности

Алим. Если говорить откровенно, из 100 стартапов, которые приходят к нам, лишь два-три работают в сфере информационной безопасности. Это четко отражает ситуацию на рынке. Я не думаю, что эту сферу недооценивают — скорее, пока не хватает экспертизы или понимания реальных болей.

Информационная безопасность точно не считается доминирующим направлением среди стартапов. Мы гораздо чаще видим проекты в FinTech, EdTech или HR. Стартапы в сфере безопасности — это скорее исключение.

Но в настоящее время, на фоне стремительного развития технологий и ИИ, появляется все больше возможностей в этой области. И, на мой взгляд, пришло время обратить на нее внимание.

Что чаще всего игнорируют фаундеры в вопросах безопасности

Евгений. Проблема не только в самих фаундерах. Многие компании, особенно быстрорастущие, полностью забывают про информационную безопасность, сосредоточившись только на росте и прибыли. В итоге болезни роста остаются нерешенными.

Есть и инвесторы, которые бездумно скупают компании, не проверяя их внутренние процессы. Такие холдинги часто выглядят как единая корпорация, но на деле — это десятки разрозненных бизнесов со своими командами и ошибками. Никто не выстраивает общую систему безопасности: «раз-раз — и в продакшн». Когда приходит время объединять базы или запускать совместные проекты, всплывают критические уязвимости.

Фаундеры нередко игнорируют элементарные вещи: здравый смысл и критический взгляд. Многие стартапы создаются очень молодыми ребятами, которые не воспринимают риски всерьез. Даже в наше время случаются истории, когда фаундеры переводят все деньги компании мошенникам.

Поэтому я всегда говорю: не забывайте про естественный интеллект. Включайте голову, не бойтесь устанавливать правила и ограничения. Если не сделаете это вы — сделает рынок. И тогда цена ошибки будет слишком высока: потеря денег, бренда и репутации.

Рекомендации

Алим. Я участвую в нескольких советах директоров и вижу, что вопросы безопасности становятся все актуальнее. Стартапам я бы посоветовал:

1. Найдите экспертизу во вне. Если в команде нет специалистов по информационной безопасности, привлеките экспертов.  

2. Задумайтесь о корпоративном управлении. Необязательно сразу создавать совет директоров, но наличие эдвайзеров помогает увидеть слабые места и стратегические риски. Иногда достаточно внешнего взгляда, чтобы избежать критичных ошибок.

3. Не забывайте об интеллектуальной собственности. Это тоже часть информационной безопасности. Оформляйте права на IP не на конкретных людей, а на головную компанию, особенно если планируете выход на международные рынки.

Евгений. 1. Не ищите экспертизу в информационной безопасности внутри себя. Лучше выходите на рынок и привлекайте нужных людей. Я консультирую стартапы, но, как правило, это бесплатно — у стартапов просто нет бюджета. Тем не менее помогать и делиться знаниями важно и нужно. Экспертизу лучше искать снаружи — это надежнее и эффективнее.

2. Регулярно тестируйте свою инфраструктуру через Bug Bounty-программы. Это поможет вовремя выявлять уязвимости. Лучше заплатить X белым хакерам, чем потом 10X настоящим злоумышленникам. 

3. Делегируйте экспертизу вовремя и формируйте культуру безопасности внутри команды с самого начала. Внедряйте безопасную разработку и соблюдайте законодательство о персональных данных. 

Думайте о безопасности заранее. Защищайте данные клиентов и сотрудников — это инвестиция, которая окупится.