Real Security: Od kibernetske varnosti do kriptografije in hard rocka
Podjetje za nove tehnologije na področju kibernetske varnosti Real security osvaja svet z inovativno kriptodenarnico BC Vault, publiko na svojih strokovnih konferencah pa z lastno hard rock glasbeno skupino Real band.
Odpri galerijo
V tehnološkem podjetju Real security, kjer zaposlenih ne jemljejo kot delavce, ampak kot eno veliko družino, ki si med seboj zaupa, skorajda ne poznajo fluktuacije. »Menim, da so pri nas zaposleni zelo srečni,« pravi glavni izvršni direktor in solastnik podjetja Real security Renato Uhl, ki s solastnikom in glavnim tehničnim direktorjem Alenom Šalamunom in direktorjem prodaje Davidom Ivačičem tvorijo glasbeno skupino Real band.
V podjetju lahko za sprostitev za kitaro ali bobne poprime kdorkoli izmed zaposlenih, ki jih je bilo lani še 11, letos pa s širitvijo ekipe, ki dela elektroniko, že 16. So v stalnem iskanju dobrih kadrov, saj je nekaj teh novodobnih poklicev, kot so sistemski inženirji in strokovnjaki za elektronsko varnost, zelo iskanih, zato zelo težko najdejo nekoga, ki bi prišel v podjetje z določenimi znanji, ki jih iščejo.
»V podjetju večino zaposlenih, skoraj 80 odstotkov, sami izšolamo. Veliko vlagamo v razvoj kadra, v razvoj njihovih sposobnosti in znanj. Polovica zaposlenih je nenehno na tečajih v tujini, na izobraževanjih …,« pravi Renato, ki verjame, da niso edina industrija z zelo velikim pomanjkanjem ustreznega kadra. Alen pa dodaja, da je pri elektroniki sicer malo lažje, ker so jim tudi izobraževalne ustanove dosti lažje pomagale najti ljudi, ki imajo vsaj potrebno osnovno znanje. Na področju kriptografije, računalniške varnosti, omrežij in vsega ostalega pa jim zelo težko pomagajo, ker to so stvari, ki se jih na tudi na najzahtevnejših programih praktično samo bežno dotaknejo, ne ukvarjajo pa se z njimi pol leta ali leto dni.
»Znanje, ki ga pri nas potrebujejo, gre v najbolj skrite kotičke, kjer se pojavljajo problemi in napake, zato nam ne preostane drugega, kot da najdemo motivirane ljudi, ki imajo vsaj osnove, in jih zatem z lastnim vložkom spravimo na raven, da jih lahko pošljemo na teren,« pravi Alen.
Sama industrija je zelo dinamična, saj je to, kar je veljalo pred letom ali dvema, danes mogoče že malo drugače, pravi Renato. »Na področju elektronske varnosti so kriminalne združbe, hekerji oziroma ljudje, ki to delajo – naj si bo to financiranje s strani države ali nekih združb ali kogarkoli, ki vidi v tem dobiček – z vedno novimi tehnikami in vedno novimi napadi ves čas v pogonu, zato ne moreš 'zaspati' na znanju izpred nekaj let. Pred 5–6 leti je veljalo prepričanje, ki na žalost še danes velja v marsikaterem podjetju, da je za varnost dovolj že osnovni antivirusni program in majhen požarni zid. Ta t. i. 'temni svet' gre namreč v eno čisto drugo smer, saj velike organizacije, tudi vojaške, doživljajo vdore, ki jih niti ne opazijo. Tako so lahko na primer severnokorejski specialni hekerji tudi do 9 mesecev v omrežju Pentagona ali v kakšni veliki organizaciji, pa slednji tega sploh ne opazijo. To je postal danes zelo velik problem,« poudarja Renato.
Za kadre na tem področju ni dovolj, da opravijo šolanje in izpite, ampak so potrebne tudi izkušnje, saj je treba vse pridobljeno znanje tudi povezati, razmišljati izven okvirjev in popolnoma razumeti osnove, vse do najvišjega nivoja. »In tu največkrat nastane problem, zakaj posamezni incidenti po organizacijah ostanejo po več mesecev neodkriti – zaradi tega, ker je najlažje pogledati številke in reči 'vse je v redu'. Kazalniki oz. indikatorji sicer ne prikazujejo ničesar narobe, ampak v svetu računalniške varnosti ne gledamo rdečih in zelenih lučk, ampak je treba vedno aktivno iskati tisto še neznano in najnovejše,« poudarja Alen.
To obenem ponazori z dopingom, kjer ob odvzemu vzorcev iščejo to, kar poznajo; vedno pa vzorce še shranijo, da jih lahko čez 2–3 leta še enkrat pregledajo glede stvari, ki so takrat aktualne. »In tu smo približno enaki. Vedno moramo iskati stvari, ki jih še ne poznamo, ker tiste, ki jih poznamo, bolj ali manj niso več tako aktualne.« Osnovna dejavnost podjetja je ukvarjanje z računalniško varnostjo; s tem se ukvarja tudi kriptosvet, vendar je za marsikoga še velika neznanka, v katero smer gredo te zadeve.
Ideja za tehnologijo ključkov, ki so jo razvili, je po Alenovih besedah zelo stara; sami so jo le preoblikovali, nadgradili in jo prilagodili tehnologijam veriženja podatkovnih blokov (ang. blockchain). V Sloveniji marsikdo že uporablja certifikat SIGEN-CA za dostop do elektronskih davkov, ki mu omogoča, da z zasebnim podpisom oziroma zasebnim ključem potrdi, da je prava oseba. »Digitalne denarnice, kriptodenarnice na nek način uporabljajo enak sistem – oseba ima zasebni ključ, ki ji preko blockchain tehnologij omogoča dostop do elektronskega predala. Pri kriptovalutah posameznik nima nikoli denarja pri sebi, ampak ima samo ključ, ki odpira predal.« Shranjevanje tega ključa na varen način pa je problem, ki ga po Alenovih besedah poznamo že 20 let, saj je tu uporabnik ranljiv.
»Ko uporabnik prevzame certifikat, je prepuščen samemu sebi in tu nastopi problem. Torej ne bom poizkušal vdreti, razbiti ali na nek način replicirati certifikat, ampak bom počakal na napako uporabnika ob shranjevanju. Ko ga bo shranil na napačen način, bom prišel do njega oziroma bom počakal, da ga bo uporabnik odklenil in želel uporabiti – in v tistem trenutku bom vskočil noter,« pojasnjuje Alen in poudarja, da se v glavnem vsi ukvarjajo s preprečevanjem napak, ki jih naredi uporabnik.
Zaposleni v podjetju imajo, kot pravi Renato, v povprečju višje plače kot v mariborskem bazenu, vendar ni vedno vse v plači. Zaposleni so ena velika družina, prijatelji, zato se tudi veliko družijo ter udeležujejo številnih izobraževanj in dogodkov. Nihče od šefov se ne dere na zaposlene ali pa zahteva kakšna poročila in povzroča stalni stres, saj res delajo na dobrem počutju ljudi, na njihovi osebnostni rasti in tudi stimuliranju.
Alen pa dodaja, da se lahko zaposleni kadarkoli sprostijo na različne načine, bodisi z igranjem namiznega nogometa ali fliperja, igranjem na glasbila ali kako drugače. »Ker če človek sedi na delovnem mestu, še ne pomeni, da je produktiven. Če pa se nekdo sprosti preko na primer ročnega nogometa, to pomeni, da bo lahko naslednje pol ure spet produktiven. Pri nas nimamo klasičnega polurnega odmora za malico, ampak gledamo na to, da delo opravimo – ali je to v 3, 6, 8 ali 12 urah, je pač odvisno od dela in sposobnosti,« pravi Alen in dodaja, da so pozorni na to, da jim ni treba delati med vikendi ali ponoči. Pa tudi stranke, ki želijo, da se določene zadeve izvedejo npr. ponoči, morajo razumeti, da to več stane, saj smo potem zaposlenemu dolžni več denarja.
»Od nekoga zahtevati, da spi s telefonom pri glavi brez ustreznega nadomestila, je nekaj, česar si mi ne bomo privoščili. Od zaposlenih ne pričakujemo tega, česar ne bi pričakovali od samih sebe,« še pravi Alen.
Ker podjetje ni šprinter, ampak maratonec na dolge proge, se zelo dobro zavedajo, kaj pomeni za nekoga, ki je na začetku poslovne poti ali opravlja humanitarno dejavnost, dobiti 1000 ali 2000 evrov ali kaj pomeni otroškemu skakalnemu klubu 2000–3000 evrov, s katerimi si lahko plačajo drese ali poti na tekme v Avstrijo. V zadnjih 17 letih je podjetje Real security podprlo vsaj 30–40 projektov. Tudi na konferenci RISK, ki jo organizirajo že od leta 2006, zbirajo sredstva z virtualnim denarjem; tako so na letošnji konferenci zbrali 7000 evrov in jih razdelili med Rdeče noske, Skakalnemu društvu SD Dolomiti, vrtcu Mavrična dežela iz Maribora, ki sami opravljajo humanitarno dejavnost, saj hodijo v bolnišnice in z bolnimi otroki izdelujejo vile iz mikane volne, pa ZPM in košarkarje ...
Za solastnika Real security je hobi vse, kar ni povezano z računalniki. Alen je zelo dober strelec in dobitnik številnih medalj na tekmovanjih s pištolo, revolverjem in puškami velikega kalibra, poleg tega tudi rad restavrira stare motorje. Renato pa med drugim ustvarja iz lesa, od hišic na drevesu do japonskih vrtov, najraje pa se posveča družini in svojim trem otrokom.
Skupen hobi Renata in Alena pa je, kot že rečeno, Real band, ki je bil ustanovljen na pobudo direktorja prodaje Davida Ivačiča, ki je v podjetju že od samega začetka. »David je bobnar, jaz sem bil včasih bobnar, vendar moram sedaj igrati bas kitaro, Alen pa je nesojeni Jimi Hendrix,« v smehu pove Renato. Alen še doda, da so si pred štirimi leti zadali izziv, da bodo na njihovi konferenci RISK sami odigrali tri ali štiri glasbene komade, na koncu pa jim jih je uspelo zaigrati celo pet.
»Vendar to z velikimi mukami čez leto, saj sva bila z Renatom glasbena analfabeta, nama je pa David toliko pomagal, da smo na koncu le lahko odigrali te komade pred 300 do 400 ljudmi. Malo smo imeli cmok v grlu, saj je glasbeno nastopati ali pa govoriti o tehničnih stvareh velika razlika. Pri igranju kitare moram nenehno paziti in gledati na strune, da se ne bi zmotil, saj se sliši, če odigraš narobe,« zgodbo začne pojasnjevati Alen, zatem pa Renato nadaljuje, da je pred njimi igrala neka skupina s profesionalnim pevcem, pri čemer so se gostje samo malo segreli. »In potem smo nastopali mi, s tremo in tresočimi rokami ... Ko pa je publika videla, da igramo s srcem in da smo odigrali nekaj starih rock komadov, od AC/DC do Nirvane, jih je to razvnelo in smo poželi bučen aplavz. Začeli so skandirati 'še, še, še', mi pa smo se v zadregi le spogledali, saj nismo mogli še enkrat ponoviti teh petih komadov, ki smo se jih naučili odigrati.«
V podjetju lahko za sprostitev za kitaro ali bobne poprime kdorkoli izmed zaposlenih, ki jih je bilo lani še 11, letos pa s širitvijo ekipe, ki dela elektroniko, že 16. So v stalnem iskanju dobrih kadrov, saj je nekaj teh novodobnih poklicev, kot so sistemski inženirji in strokovnjaki za elektronsko varnost, zelo iskanih, zato zelo težko najdejo nekoga, ki bi prišel v podjetje z določenimi znanji, ki jih iščejo.
Motivirane šolajo sami za kriptografijo ...
»V podjetju večino zaposlenih, skoraj 80 odstotkov, sami izšolamo. Veliko vlagamo v razvoj kadra, v razvoj njihovih sposobnosti in znanj. Polovica zaposlenih je nenehno na tečajih v tujini, na izobraževanjih …,« pravi Renato, ki verjame, da niso edina industrija z zelo velikim pomanjkanjem ustreznega kadra. Alen pa dodaja, da je pri elektroniki sicer malo lažje, ker so jim tudi izobraževalne ustanove dosti lažje pomagale najti ljudi, ki imajo vsaj potrebno osnovno znanje. Na področju kriptografije, računalniške varnosti, omrežij in vsega ostalega pa jim zelo težko pomagajo, ker to so stvari, ki se jih na tudi na najzahtevnejših programih praktično samo bežno dotaknejo, ne ukvarjajo pa se z njimi pol leta ali leto dni.»Znanje, ki ga pri nas potrebujejo, gre v najbolj skrite kotičke, kjer se pojavljajo problemi in napake, zato nam ne preostane drugega, kot da najdemo motivirane ljudi, ki imajo vsaj osnove, in jih zatem z lastnim vložkom spravimo na raven, da jih lahko pošljemo na teren,« pravi Alen.
Zelo dinamična industrija
Sama industrija je zelo dinamična, saj je to, kar je veljalo pred letom ali dvema, danes mogoče že malo drugače, pravi Renato. »Na področju elektronske varnosti so kriminalne združbe, hekerji oziroma ljudje, ki to delajo – naj si bo to financiranje s strani države ali nekih združb ali kogarkoli, ki vidi v tem dobiček – z vedno novimi tehnikami in vedno novimi napadi ves čas v pogonu, zato ne moreš 'zaspati' na znanju izpred nekaj let. Pred 5–6 leti je veljalo prepričanje, ki na žalost še danes velja v marsikaterem podjetju, da je za varnost dovolj že osnovni antivirusni program in majhen požarni zid. Ta t. i. 'temni svet' gre namreč v eno čisto drugo smer, saj velike organizacije, tudi vojaške, doživljajo vdore, ki jih niti ne opazijo. Tako so lahko na primer severnokorejski specialni hekerji tudi do 9 mesecev v omrežju Pentagona ali v kakšni veliki organizaciji, pa slednji tega sploh ne opazijo. To je postal danes zelo velik problem,« poudarja Renato.
Razmišljanje izven okvirjev in iskanje neznanega
Za kadre na tem področju ni dovolj, da opravijo šolanje in izpite, ampak so potrebne tudi izkušnje, saj je treba vse pridobljeno znanje tudi povezati, razmišljati izven okvirjev in popolnoma razumeti osnove, vse do najvišjega nivoja. »In tu največkrat nastane problem, zakaj posamezni incidenti po organizacijah ostanejo po več mesecev neodkriti – zaradi tega, ker je najlažje pogledati številke in reči 'vse je v redu'. Kazalniki oz. indikatorji sicer ne prikazujejo ničesar narobe, ampak v svetu računalniške varnosti ne gledamo rdečih in zelenih lučk, ampak je treba vedno aktivno iskati tisto še neznano in najnovejše,« poudarja Alen.To obenem ponazori z dopingom, kjer ob odvzemu vzorcev iščejo to, kar poznajo; vedno pa vzorce še shranijo, da jih lahko čez 2–3 leta še enkrat pregledajo glede stvari, ki so takrat aktualne. »In tu smo približno enaki. Vedno moramo iskati stvari, ki jih še ne poznamo, ker tiste, ki jih poznamo, bolj ali manj niso več tako aktualne.« Osnovna dejavnost podjetja je ukvarjanje z računalniško varnostjo; s tem se ukvarja tudi kriptosvet, vendar je za marsikoga še velika neznanka, v katero smer gredo te zadeve.
Preoblikovanje ideje za tehnologijo ključkov
Ideja za tehnologijo ključkov, ki so jo razvili, je po Alenovih besedah zelo stara; sami so jo le preoblikovali, nadgradili in jo prilagodili tehnologijam veriženja podatkovnih blokov (ang. blockchain). V Sloveniji marsikdo že uporablja certifikat SIGEN-CA za dostop do elektronskih davkov, ki mu omogoča, da z zasebnim podpisom oziroma zasebnim ključem potrdi, da je prava oseba. »Digitalne denarnice, kriptodenarnice na nek način uporabljajo enak sistem – oseba ima zasebni ključ, ki ji preko blockchain tehnologij omogoča dostop do elektronskega predala. Pri kriptovalutah posameznik nima nikoli denarja pri sebi, ampak ima samo ključ, ki odpira predal.« Shranjevanje tega ključa na varen način pa je problem, ki ga po Alenovih besedah poznamo že 20 let, saj je tu uporabnik ranljiv.»Ko uporabnik prevzame certifikat, je prepuščen samemu sebi in tu nastopi problem. Torej ne bom poizkušal vdreti, razbiti ali na nek način replicirati certifikat, ampak bom počakal na napako uporabnika ob shranjevanju. Ko ga bo shranil na napačen način, bom prišel do njega oziroma bom počakal, da ga bo uporabnik odklenil in želel uporabiti – in v tistem trenutku bom vskočil noter,« pojasnjuje Alen in poudarja, da se v glavnem vsi ukvarjajo s preprečevanjem napak, ki jih naredi uporabnik.
Sproščeno vzdušje, igranje namiznega nogometa, glasba …
Zaposleni v podjetju imajo, kot pravi Renato, v povprečju višje plače kot v mariborskem bazenu, vendar ni vedno vse v plači. Zaposleni so ena velika družina, prijatelji, zato se tudi veliko družijo ter udeležujejo številnih izobraževanj in dogodkov. Nihče od šefov se ne dere na zaposlene ali pa zahteva kakšna poročila in povzroča stalni stres, saj res delajo na dobrem počutju ljudi, na njihovi osebnostni rasti in tudi stimuliranju.Alen pa dodaja, da se lahko zaposleni kadarkoli sprostijo na različne načine, bodisi z igranjem namiznega nogometa ali fliperja, igranjem na glasbila ali kako drugače. »Ker če človek sedi na delovnem mestu, še ne pomeni, da je produktiven. Če pa se nekdo sprosti preko na primer ročnega nogometa, to pomeni, da bo lahko naslednje pol ure spet produktiven. Pri nas nimamo klasičnega polurnega odmora za malico, ampak gledamo na to, da delo opravimo – ali je to v 3, 6, 8 ali 12 urah, je pač odvisno od dela in sposobnosti,« pravi Alen in dodaja, da so pozorni na to, da jim ni treba delati med vikendi ali ponoči. Pa tudi stranke, ki želijo, da se določene zadeve izvedejo npr. ponoči, morajo razumeti, da to več stane, saj smo potem zaposlenemu dolžni več denarja.
»Od nekoga zahtevati, da spi s telefonom pri glavi brez ustreznega nadomestila, je nekaj, česar si mi ne bomo privoščili. Od zaposlenih ne pričakujemo tega, česar ne bi pričakovali od samih sebe,« še pravi Alen.
Družbeno odgovorno podjetje
Ker podjetje ni šprinter, ampak maratonec na dolge proge, se zelo dobro zavedajo, kaj pomeni za nekoga, ki je na začetku poslovne poti ali opravlja humanitarno dejavnost, dobiti 1000 ali 2000 evrov ali kaj pomeni otroškemu skakalnemu klubu 2000–3000 evrov, s katerimi si lahko plačajo drese ali poti na tekme v Avstrijo. V zadnjih 17 letih je podjetje Real security podprlo vsaj 30–40 projektov. Tudi na konferenci RISK, ki jo organizirajo že od leta 2006, zbirajo sredstva z virtualnim denarjem; tako so na letošnji konferenci zbrali 7000 evrov in jih razdelili med Rdeče noske, Skakalnemu društvu SD Dolomiti, vrtcu Mavrična dežela iz Maribora, ki sami opravljajo humanitarno dejavnost, saj hodijo v bolnišnice in z bolnimi otroki izdelujejo vile iz mikane volne, pa ZPM in košarkarje ...
Sproščanje z rockom, streljanjem, lesom ...
Za solastnika Real security je hobi vse, kar ni povezano z računalniki. Alen je zelo dober strelec in dobitnik številnih medalj na tekmovanjih s pištolo, revolverjem in puškami velikega kalibra, poleg tega tudi rad restavrira stare motorje. Renato pa med drugim ustvarja iz lesa, od hišic na drevesu do japonskih vrtov, najraje pa se posveča družini in svojim trem otrokom.Skupen hobi Renata in Alena pa je, kot že rečeno, Real band, ki je bil ustanovljen na pobudo direktorja prodaje Davida Ivačiča, ki je v podjetju že od samega začetka. »David je bobnar, jaz sem bil včasih bobnar, vendar moram sedaj igrati bas kitaro, Alen pa je nesojeni Jimi Hendrix,« v smehu pove Renato. Alen še doda, da so si pred štirimi leti zadali izziv, da bodo na njihovi konferenci RISK sami odigrali tri ali štiri glasbene komade, na koncu pa jim jih je uspelo zaigrati celo pet.
»Vendar to z velikimi mukami čez leto, saj sva bila z Renatom glasbena analfabeta, nama je pa David toliko pomagal, da smo na koncu le lahko odigrali te komade pred 300 do 400 ljudmi. Malo smo imeli cmok v grlu, saj je glasbeno nastopati ali pa govoriti o tehničnih stvareh velika razlika. Pri igranju kitare moram nenehno paziti in gledati na strune, da se ne bi zmotil, saj se sliši, če odigraš narobe,« zgodbo začne pojasnjevati Alen, zatem pa Renato nadaljuje, da je pred njimi igrala neka skupina s profesionalnim pevcem, pri čemer so se gostje samo malo segreli. »In potem smo nastopali mi, s tremo in tresočimi rokami ... Ko pa je publika videla, da igramo s srcem in da smo odigrali nekaj starih rock komadov, od AC/DC do Nirvane, jih je to razvnelo in smo poželi bučen aplavz. Začeli so skandirati 'še, še, še', mi pa smo se v zadregi le spogledali, saj nismo mogli še enkrat ponoviti teh petih komadov, ki smo se jih naučili odigrati.«
Več iz rubrike
Kako pravočasno poskrbeti za kibernetsko varnost v podjetju
Zakaj je pomembna varnostna zaščita pred kibernetskimi napadi in kakšno škodo lahko takšni varnostni incidenti povzročijo podjetju?
VIDEO: Če se oziraš za konkurenco, te hitro prehiti
»Če opazuješ konkurenco, načeloma zapravljaš čas. Če atlet pri teku na sto metrov samo obrne glavo, ga bodo drugi prehiteli. Torej, ne gledamo konkurence, ampak imamo vizijo in pogum, da jo ure…