Okta CEO’su ve Kurucu Ortağı Todd McKinnon Çarşamba günü şirketin 3. çeyrek kazanç çağrısı sırasında asıl konuya geldi. Eylül sonundaki siber saldırının “herkesin gündeminde” olduğunu söyledi.
McKinnon, “Riskler yüksek ve mevcut ve gelecekteki müşterilerimizi korumak için ne gerekiyorsa yapacağız” dedi.
Son siber saldırı, bu yıl yaşanan bir dizi güvenlik olayının sadece sonuncusu. A saldırı dizisi vurmak yüksek profilli müşteri ortamları yaz boyunca üçüncü taraf bir satıcıya yapılan saldırıda hassas sağlık bilgileri açığa çıktı. yaklaşık 5.000 mevcut ve eski Okta çalışanı.
Çarşamba günü açıklanan Eylül olayıyla ilgili soruşturmada şu sonuca varıldı: %1 değildi ile ilgili Okta müşteri destek sistemi istemcileri ihlalde tehlikeye atıldı – %100’dü.
Okta’nın güvenlik duruşu, şirketin kazanç çağrısına ilişkin tartışma ve soruşturmanın ana konusuydu. 2024 mali yılının üçüncü çeyreği31 Ekim’de sona erdi. McKinnon, “1 numaralı öncelik Okta’nın ve müşterilerimizin güvenliğinin sağlanmasıdır” dedi. “Bundan sonra her şey önceliklidir.”
Şirketin, destek sistemi olayının boyutunu açıkladıktan sadece birkaç saat sonra gerçekleştirdiği kazanç açıklamasından dört sonuç:
İş etkileri, müşteri endişeleri
Okta, çeyrek boyunca müşteri anlaşmalarındaki gecikmelerin arttığını bildirdi ve yavaşlamanın veya kısa vadeli duraklamaların devam etmesini beklediğini söyledi.
CFO Brett Tighe görüşme sırasında müşteri tutma oranının %90’ın ortasında olduğunu ve bunun son çeyreklerle tutarlı olduğunu söyledi.
Şirketin müşteri tabanı Ekim ayı sonunda yıllık bazda yaklaşık %10 artış göstererek 18.800 müşteriye ulaştı.
Okta’nın liderlik ekibi, mali görünümünde “istikrarlı ancak yine de zorlu bir makro ortamı” hesaba kattığını ve yıllık gelirin 2024 mali yılında %21 artarak neredeyse 2,25 milyar dolara, 2025 mali yılında ise %10 artarak 2,47 milyar dolara çıkmasını beklediğini söyledi.
Okta’nın geliri, 2017’de halka açıldığından bu yana yıldan yıla istikrarlı bir şekilde arttı. Şirket hiçbir zaman üç aylık kar bildirmedi, ancak zararları geçen yılın aynı dönemine göre %61 daralarak son çeyrekte 81 milyon dolara geriledi.
McKinnon, “Tüm bu saldırılar, kimlik avına karşı çok güçlü bir erişim yönetimi, kimlik yönetimi ve ardından ayrıcalıklı erişim yönetimi ve kontrolüne olan ihtiyacın altını çiziyor” dedi. “Hizmet ettiğimiz pazar ve ürünlerimize yönelik fırsatlar giderek büyüyor ve tehdit ortamı da bunun bir parçası.”
Okta liderliğinin güvenlik eksiklikleri var
McKinnon, şirketin güvenliği birinci öncelik haline getirme konusundaki kararlılığını defalarca doğruladı.
McKinnon, güvenliği şirketin büyümesi ve ürün geliştirme gibi diğer hedeflerle dengelese de altyapı savunmasına odaklanmanın bazen yetersiz olduğunu söyledi.
Şirketin güvenlik çabaları, ürün altyapısı alanlarında çok spesifik ve olgundu, ancak “o kadar olgun değiliz ve genel BT operasyonları ve genel şirket operasyonları konusunda kapsamlı bir yaklaşıma sahip değiliz” dedi.
“Artık bunun yeterince iyi olmadığını biliyoruz. Daha fazlasını yapmalıyız. McKinnon, Okta’nın dünyada en çok hedef alınan şirketlerden biri olduğunu biliyoruz” dedi. Okta’nın saldırılara karşı “kendimizi ve müşterilerimizi savunabilmek için oyunumuzu yükseltmesi” gerekiyor.
Program Bedrock, 4 sütun üzerinde 90 günlük bir sprint
Okta, Kasım ayı ortasında “Program Ana Kayası” adını verdiği ve dört sütunu kapsayan 90 günlük bir sprint başlattı.
- Aşağıdan yukarıya: Okta, çalışanları güvenliği artırmak için sahip oldukları her fikri paylaşmaya teşvik ediyor. McKinnon, hâlihazırda üzerinde çalışılan bir değişikliğin bir örneğinin, tüm yönetici hesaplarında çok faktörlü kimlik doğrulamanın zorunlu kılınması olduğunu söyledi.
- Üstler aşağı: Okta, işini, BT ve ürün operasyonlarını nasıl tasarlaması gerektiği konusunda üst düzey güvenlik uzmanlarından tavsiye istiyor.
- Kültür: Liderler iletişim kuruyor ve işletmenin tüm seviyelerinde güvenliğe net bir öncelik veriyor. McKinnon, “Hiçbir şey, önceliği herkes için tam odaklanma ve 90 günlük bir sprint kadar netleştiremez” dedi.
- Ürün: McKinnon, Okta’nın ürünlerinin değerli, güçlü ve “aynı zamanda müşterilerimizin güvenliğini de sağlayacak şekilde üretilmiş” olduğu bir denge arayışında olduğunu söyledi.
McKinnon, 90 günlük sprint “herkese bunun öncelikli olduğu konusunda kafa karışıklığı yaşamaması için alan ve netlik sağlıyor” dedi. “Riski önemli düzeyde azaltacak yeterince şey var ve burada sprint yapmaya değer olduğunu düşünüyoruz.”
Bu, Okta’nın güvenlik konusunda daha fazla baskı yapılması gerektiğini öne sürdüğü ilk sefer değil. Şirket bir güvenlik eylem planına bağlı Nisan 2022’de bu çalışmaları Ekim 2022’de tamamladığını söyledi.
McKinnon’un “hiper odaklı güvenlik eylem planı” olarak da tanımladığı Bedrock Programı, bir yıl sonra artık yolda.
Okta, kültürün odak noktasını öncelikle güvenliğe kaydırıyor
McKinnon’a göre, Okta’nın destek sistemine yönelik saldırı ve diğer son olayların ardından şirket, operasyonlarının güvenlik mimarisini geliştirmek için daha fazlasını yapması gerektiğinin farkına vardı.
İhtiyaç o kadar büyük ve acil ki, şirket liderleri bu ayın başlarında 2024 kışının son haftaları boyunca tüm yeni ürünlere bir duraklama uyguladı.
McKinnon, “Dünyanın en güvenli şirketlerinden biri haline geldiğimizden emin olmak için hiçbir şeyden vazgeçmeyeceğiz, çünkü şu anda olmamız gereken yerde eksik olduğumuz herkes için açık ve bunu düzelteceğiz” dedi.
McKinnon, “Okta ekosistemini güvence altına alma işi hiçbir zaman tamamlanamayacak, ancak bu hiper odaklı aşamada başka hiçbir proje ve hatta ürün geliştirme alanı bundan daha önemli değil” dedi.
Okta’nın kullandığı uygulamalar, dağıttığı donanımlar ve birlikte çalıştığı satıcıların tümü, karşılanmayan güvenlik önlemleri açısından inceleniyor.