Cyberstarts Programı Etik Sınırlar Konusunda Tartışmayı Ateşledi

Son yıllarda başlatılan en başarılı siber güvenlik sağlayıcılarından bazılarının arkasındaki İsrailli kuluçka merkezi Cyberstarts’ı çevreleyen 250.000 dolarlık soru bu.

Neden 250.000 dolar? Forbes’un geçen ayki haberine göre, yakın zamana kadar Cyberstarts’ın CISO’lara, yılda üç veya dört yeni güvenlik girişimine ürün geri bildirimi ve pazar bilgileri sağlamaları halinde bir fonun ömrü boyunca kazanabilecekleri söz verdiği miktar bu kadardı.

Cyberstarts, Calcalist’in bomba gibi bir raporunun olası çıkar çatışmalarıyla ilgili etik endişeleri dile getirmesinin ardından Haziran ayında CISO’lara tazminat ödemeyi bıraktı. Eleştirmenler, Cyberstarts’ın “Sunrise” programıyla ilişkili mali teşviklerin CISO’ların satın alma kararlarını etkilediğini, bazı şirketlerin bağlı CISO’lar ayrıldıktan sonra Cyberstarts portföy şirketleriyle sözleşmeleri yenilememeyi tercih ettiğini savundu.

Forbes’un geçen ayki haberine göre Cyberstarts’ın kurucusu Gili Raanan, firmanın CISO danışmanlarına yazdığı 27 Haziran tarihli mektubunda “Sunrise programındaki etik sorunlarla ilgili alaycı iddialar bizi program içindeki ödemeleri askıya almaya zorladı” dedi. Raanan, Bilgi Güvenliği Medya Grubu’nun yorum taleplerine yanıt vermedi.

Cyberstarts’ın 75 CISO danışmanından oluşan bir ağ aracılığıyla erken müşteri katılımına odaklanması (bunların yarısına kadarı maaş aldı) etkili oldu ve portföy şirketi Wiz, Google’dan 23 milyar dolarlık bir satın alma teklifi aldı. Ancak eleştirmenler, Cyberstarts’ın yatırım portföyü büyüdüğünde CISO’ların para kazanmasına izin vermenin güveni zedelediğini, rekabeti bozduğunu ve yönetimle ilgili en iyi uygulamalarla uyumlu olmadığını söyledi (bkz: Google Neden 23 Milyar Dolarlık Cloud Security Phenom Wiz Satın Almayı Gözetliyor?).

Adının açıklanmasını istemeyen bir CISO, Information Security Media Group’a “Denetlediğiniz herhangi bir iş kararında kişisel çıkarınız olmamalıdır” dedi. “Önyargı algısı bile çalışma ortamını gerçekten yıpratıyor.”

CISO’lara Tazminat Vermek Nasıl Çıkar Çatışması Yaratabilir?

Siber güvenlik pazarı, yüksek rekabet ve karmaşık satın alma süreçleri nedeniyle startup’ların girmesi oldukça zor. Cyberstarts, startup’ların erkenden ilgi çekmesine yardımcı olmak için ücretli CISO’lardan oluşan bir ağdan yararlanarak bu sorunu çözdü. Eleştirmenler, bu kurulumun kanıtlanmış pazar başarısı olmayan Cyberstarts portföy şirketlerinin değerlemelerini şişirdiğini ve diğer startup’ların rekabet etmesini zorlaştırdığını söyledi.

CISO, ISMG’ye “Cyberstarts portföyündeki şirketlerden biriyle rekabetçi bir durumdaydık ve bu kadar çok farklı şirketle nasıl bu kadar hızlı ilgi gördüklerini anlayamadık” dedi.

Raanan, taşınan faiz şeklinde kar paylaşımı teklifinin CISO’ları danışmanlık rollerine katılmaya teşvik ettiğini, Cyberstarts startup’larına değerli içgörülere erişim sağladığını ve tazminatı bireysel bir startup yerine genel fon performansına bağlayarak potansiyel çıkar çatışmalarını sınırladığını söyledi. YL Ventures gibi CISO tazminat planlarına sahip rakipler, danışmanların satın alma kararlarına katılmasını yasaklıyor.

CISO’ların kişisel mali teşvikler nedeniyle tedarikçilere öncelik vermesiyle ilgili endişeler, siber güvenlik ekipleri içindeki personelin farkında olmadan liderlerinin tercih ettiği çözümlere yönelebileceği resmi olmayan güç dinamikleri nedeniyle daha da artıyor. İlaç ve finans gibi sektörlerdeki benzer teşvik yapıları düzenleyici tepkilere yol açtı, ancak teknoloji veya güvenlik alanında herhangi bir kısıtlama mevcut değil.

Facebook, Uber ve Cloudflare’in eski güvenlik sorumlusu Joe Sullivan, ISMG’ye “Güvenlik liderlerimizin ve ekiplerinin güvenlik ürünlerini yalnızca ürünün kalitesine göre seçmelerini istiyoruz” dedi. “Ve bazen potansiyel önyargı algısı, herhangi bir gerçek önyargıdan daha zehirlidir.”

Şeffaflık, satın almada etik karar vermenin temel taşıdır ve Sullivan, STK olarak görev yaptığı süre boyunca ilişkileri ifşa ederek ve kendisini geri çekerek potansiyel çıkar çatışmalarını yönlendirdiğini söyledi. Önyargı algısının sonuçları hâlâ etkileyebileceğinden, tam şeffaflığın bile bazen yetersiz olabileceğini savundu.

Uber’de çalışırken kendi etik mayınlarını kullanan Sullivan, “Savunmaya çalıştığımız genel prensip, denetlediğiniz herhangi bir iş kararında kişisel çıkarınızın olmaması gerektiğidir” dedi (bkz: Jüri Eski Uber CSO’su Joe Sullivan’ı Örtbas Etmekten Suçlu Buldu).

Raanan, Calcalist ve Forbes’a, tazminatın CISO’ları zamanları ve uzmanlıkları için teşvik etme amaçlı olduğunu ve CISO’ların danışmanlık rollerini işverenlere açıklamak zorunda olduğunu söyledi. Ancak Calcalist, Cyberstarts’tan gelen bazı ödemelerin doğrudan CISO’ların kişisel banka hesaplarına yönlendirildiğini ve potansiyel olarak kurumsal açıklama süreçlerini atladığını tespit etti.

“Bunun verdiği gerçek zarar, gerçek değere sahip yeni girişimler için giriş çıtasını çok daha yüksek hale getirmesidir ve bu, en yenilikçi ve en iyi güvenlik çözümlerinin başarılı olmak için ya 10 kat daha fazla mücadele etmek zorunda kaldığı ya da başarısız olduğu bir durum yaratır. Başarılı olma şansı bile bulamıyor” dedi CISO ISMG’ye.

CISO’yu Etkilemek Siber Başlangıçların Başarısını Artırır, Başkalarının Baş Ağrısını Artırır

CISO’lar, siber güvenlik tedariki ve stratejisinde kritik bir rol oynamaktadır; akran ağ etkileşimleri genellikle önemli kararlara bilgi verir ve onları danışman olarak değerli kılar. Ancak bu ağların ticari bir araç olarak kullanılması etnik kaygıları artırdı ve topluluk içindeki güveni zedeledi; çünkü CISO’lar, Cyberstarts portföy şirketlerinden teknoloji sağlayan meslektaşlarının gerçekte tazminat ödendiğini bilmiyordu.

CISO’lar, kalabalık siber güvenlik girişimleri alanında gezinmek için sıklıkla eş ağlara güveniyor, ancak Sullivan, bu güvenin, Cyberstart’lar tarafından telafi edilen CISO’lar üzerinde aşırı etki yaratabileceğini söyledi. Sonuç olarak, ücretli danışmanlık ağlarına erişimi olmayan girişimler, öne çıkmanın yenilikçi teknoloji ve görünürlük oluşturmaya yönelik stratejiler gerektirmesi nedeniyle ilgi çekme konusunda daha büyük zorluklarla karşı karşıya kalıyor.

Sullivan, ISMG’ye şunları söyledi: “O kadar çok güvenlik girişimi var ve o kadar çok gürültü var ki, bir girişimin görünür olması gerçekten zor.”

Cyberstarts ve YL Ventures tarafından CISO’ya teklif edilen tazminat, İsrailli risk sermayesi firmaları arasındaki temel farklılıkları vurgulamaktadır; YL’nin ücretlendirme modeli, Cyberstarts’tan farklı bir şekilde çalışmıştır; ilki, mevcut yatırımlarla çalışmak yerine potansiyel yatırımlar üzerinde durum tespiti için fon karları teklif etmiştir. Glilot Capital ve Team8 dahil diğer fonlar CISO tazminatından kaçınıyor.

Sullivan, Cyberstarts gibi risk sermayesi şirketleri tarafından yönlendirilen mevcut modelin, anlamlı inovasyon yerine hızlı büyümeye öncelik verdiğini, agresif pazarlamaya güvenmenin bazen düşük ürün kalitesine ve karşılanmayan vaatlere yol açtığını söyledi. Odak noktasının kısa vadeli finansal kazançlar veya değerleme artışı yerine uzun vadeli değer yaratmaya kaydığı sistemik bir reform görmek istiyor.

“Bu, daha güvenli olmamıza yardımcı olacak iyi ürünler geliştirmek için sağlıklı bir model mi?” Sullivan sordu. “Yarısı sadece özelliklerden oluşan 5.000 startup’ın ideal bir ortam olduğunu düşünmüyorum.”

Uzmanlar, ISMG VC firmalarının, karşılıksız olsa bile CISO’larla olan tüm danışmanlık ilişkilerini açıklamaları gerektiğini söyledi. Ayrıca, kurumsal satın alma kararlarının CISO’nun danışmanlık çalışmalarından etkilenmemesi için danışmanlık rolleri ile satın alma sorumlulukları arasında bir güvenlik duvarı bulunmalıdır. Girişim fonu uygulamalarına ilişkin bağımsız denetim oluşturulmalıdır.

CISO, ISMG’ye “Şeffaflık bu sorunu çözmüş gibi görünüyor, oysa sürecin gidişatı birçok soruyu gündeme getiriyor.” dedi. “Soru şu: ‘Düşülmeyi bekleyen başka ayakkabı var mı?’ Dumanı tüten bir silah yok ama bir şeyler duman çıkarıyor ve bu da yangın çıkabileceği anlamına geliyor.”