Бизнес моделът, който доведе до краха на информационната сигурност - Част 2

Бизнес моделът, който доведе до краха на информационната сигурност - Част 2

Какъв е бизнес моделът, който доведе до краха на информационната сигурност в Съединените Щати и кой го допуска?

Представяме ви задълбочения анализ на Matt Stoller за генезиса на кризата с хакерската атака в САЩ.

Част 2

В предишната статия ви представихме БИЗНЕС МОДЕЛЪТ на Bravo

Bravo купува софтуерни компании в дадена пазарна ниша, комбинира ги с конкуренти, намалява всички разходи, които може, и повишава цените след това. Тезата за инвестицията е ясна: МОЩНОСТ. Софтуерните компании имат огромна ценова власт над своите клиенти, което означава, че могат да повишат цените до ключови клиенти или да влошат качеството (което е същото по отношение на икономиката на фирмата). Както заяви Робърт Смит, един от неговите конкуренти в софтуерната игра, „Софтуерните договори са по-добри от дълговете на първо право на залог. Осъзнавате, че компанията няма да плати лихвеното плащане по първото си задържане, докато не плати поддръжката на софтуера си или абонаментната такса. Първо ни плащат нашите пари. Кой има по-добър кредит? Фирамата не може да управлява бизнеса си без нашия софтуер. “

SolarWinds представя тази теза перфектно. Компанията е основана през 1999 г., за да помогне на компаниите да наблюдават ефективността на мрежата си. Беше печеливша от самото начало, но започна да се превръща във финансов монопол през 2007 г., когато сменя изпълнителните директори и включва инвеститори като Bain Capital и Insight Venture Partners, за да направи „стратегически придобивания“, известни още като разгръщане на софтуерното пространство, в което работи. Две години по-късно по време на Голямата рецесия фирмата стана публична, за да събере повече средства. SolarWinds оформи стратегията си след като и апелативният съд отмени заповедта за разпадане на Microsoft, и единодушното решение на Върховния съд, което затрудни изключително завеждането на искове за монополизация. Главният изпълнителен директор на Oracle Лари Елисън характеризира какво най-общо означава промяната, като каза: „Трябва да развием нашата индустрия“.

След IPO, SolarWinds се превърна в машина за сливане, закупувайки дузина компании от 2011-2014 г., включително Pingdom, Confio и N-Able Technologies. През 2015 г. Thoma Bravo Partners (заедно със Silver Lake) купи компанията и я натовари с 2 милиарда долара дълг за финансиране на покупката. (Да, това беше една от онези покупки, при които купувачът на частни капиталови инструменти купува компанията със собствени пари.) Под контрола на Bravo, SolarWinds се ангажира с повече сливания, купувайки компании, които правят софтуер за мониторинг на заплахи, защита на имейли, мониторинг на производителността на базата данни, и фирми за ИТ поддръжка. SolarWinds се стреми да се превърне в монополист в своята ниша,  с не особено добро качество, но с всичко, от което клиентът би се нуждал. Разбира се, Федералната търговска комисия и Европейската комисия по конкуренция разрешиха тези сделки; само месец преди хакът да бъде разкрит, FTC одобри поредното придобиване от SolarWinds.

Дали този похват за придобиване и корпоративна стратегия работи? Е, това зависи от вашата гледна точка: със сигурност компанията е увеличила счетоводните си печалби. От друга гледна точка обаче отговорът е отрицателен. Счетоводната печалба прикрива, че корпоративната стратегия променя риска, така че фирмата дава възможност за хакване, като например хакване на ФБР и американските ядрени съоръжения. От гледна точка на потребителите и служителите стратегията също беше проблематична. Малко е трудно да се каже, но ако погледнете форумите и коментарите за софтуерна обратна връзка, ще откриете, че голям брой ИТ професионалисти не харесват SolarWinds, виждайки фирмата като финансов проект, основан на безкраен набор от придобивания на компании.

Най-общо казано, сега специалистите по ИТ сигурност са разочаровани, защото трябва да се справят с риск, който никой друг в компанията не вижда и не се интересува от него. Не случайно шефът на отдела за сигурност на SolarWinds предупреди за надвиснала катастрофа и напусна, след като беше игнорирано неговото мнение.

С други думи, този огромен хак беше неизбежен. Това се случи в SolarWinds, но можеше да се случи в много други софтуерни фирми с подобни практики. Защото, както се оказва, доставчиците на софтуер Bravo съставляват критични вериги за доставки в корпоративния и държавния свят. Тази компания (и неговите конкуренти като Vista Equity Partners) разпространиха пипалата си, като поеха всичко – от софтуера за заплати в строителството до автомобилни и банкови инструменти, сигурността, здравеопазването и електронното водене на записи, монополния доставчик на ипотечни данни (Ellie Mae). И обхватът му нараства; Bravo е сключила над 40 сделки тази година, четири на стойност над 2 милиарда долара всяка.

Тези софтуерни фирми, притежавани от частни капитали, измъчват професионалисти с лош потребителски опит и калпава поддръжка на клиенти във всичко – от софтуер за йога студио до дилъри на автомобили, както и лош „основен“ софтуер, който управлява малки банки и кредитни съюзи. Влошават качеството на продуктите, като уволняват или неуважават добрите служители, недостатъчно инвестират в добри практики за сигурност или изпращат работата да се върши в чужбина и плащат лошо.

Това означава, че техните продукти са по-склонни към шпионаж. С други думи, същите небрежни и корумпирани практики, които позволиха този масивен хак на киберсигурността, направиха Bravo милиардер. В известен смисъл този хак и много други подобни ще продължават да се случват, докато мъже като Bravo забогатяват, създавайки уязвимости в сигурността, които хакерите да използват.

Следва продължение >>>

Leave a reply

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *