Lars Andreasen har – i startup-kontekst – en lidt særlig baggrund, som han næppe har til fælles med ret mange i startup-økosystemet, men som er central for og forudsættende for at kunne lave P-Secure.
Som tidligere chef for kontraspionage i PET ved han, hvad det kræver at udvikle compliant tech, der er baseret på dansk forvaltningspraksis, og som dermed kan anvendes af offentlige myndigheder med krav om logning, dokumentdeling på tværs af afdelinger – tilsat et ekstra højt sikkerhedsniveau.
Mere spektakulært har Lars Andreasen med sin baggrund omfattende kendskab til, hvordan udenlandske aktører, organiserede kriminelle og insider-netværk kan udnytte personrelationer til at få adgang til data. Hvor stor denne nuværende trussel i en tid med hybrid- og cyberangreb fra stater og kriminelle generelt er, lader han dog sin tidligere arbejdsgiver om at vurdere.
– ”Jeg vil lade PET udtale sig om den konkrete trussel. Men særligt indenfor kritiske sektorer som kan være mål for aktivisme, sabotage eller spionage, er der selvsagt behov for at skærpe sikkerheden.”
Han fortsætter:
– ”Jeg tror dog, det er nok så vigtigt, at vi bevarer roen og ikke spreder unødvendig frygt, for det er lige præcis det, vores modstandere ønsker. Hvis vores medarbejdere føler sig trygge, er de mindre påvirkelige for sådanne påvirkningsaktiviteter. Men særligt på områder, hvor vi i Danmark enten er markedsledende, eller kan blive det i fremtiden, er det katastrofalt, hvis vi mister disse positioner, fordi vi sløser med sikkerheden.”
Baggrundstjek og Due Diligence
Da P-Secure rejste deres Seed-runde på 22 mio. kr. fra EIFO og Ugly Duckling Ventures, var de naturligvis gennem en omfattende due diligence-proces.
Lars fortæller, at de blev bedt om at give adgang til en række følsomme oplysninger – herunder kildekode, kunderegister, økonomiske data samt personligheds- og intelligenstest af ledelsen. Formålet var at vurdere deres styrker og svagheder.
Den proces lod holdet af tidligere PET-ansatte ikke kun gå den ene vej.
– ”Når man som virksomhed skal dele sine mest følsomme data, bør det være en selvfølge, at man også stiller krav den anden vej”, lyder det fra Lars Andreasen.
Det er nok ikke hver dag, at fx EIFO får gennemgået baggrundstjek af deres startups, men P-Secure insisterede.
– ”Vi befinder os i en sikkerhedspolitisk kompleks tid, og vores produkt bygger på tillid – især fra kunder inden for kritisk infrastruktur, forsvar og relaterede sektorer. Derfor kunne vi ikke give fjernadgang til vores kode til IT-selskaber uden for Danmark, som vores investorer måtte bruge. Ligeledes krævede vi garanti for, at følsomme personoplysninger ville blive slettet umiddelbart efter aftalens indgåelse.”
Investorer skal stille krav om grundig indsigt i virksomheden – men de skal også selv kunne dokumentere, at de er i stand til at håndtere følsomme virksomhedsoplysninger på en forsvarlig måde, understreger Lars Andreasen.
– ”Det kan måske virke hysterisk, men hvis personlighedstests er udført korrekt, fungerer de reelt som en manual for, hvordan man bedst kan presse eller manipulere den undersøgte. Derfor skal sådanne oplysninger behandles med fortrolighed og slettes straks ved anmodning. De må ikke optræde i mailsystemer, backups eller andre digitale lagringssystemer.”
Det gælder hele kæden. Hvis investorer anvender en tredjepart til at gennemføre dele af undersøgelsen, skal de også kunne stå på mål for deres leverandører. Dette ’kæde-ansvar’ bliver mere og mere tydeligt med den nye EU-lovgivning, som stiller eksplicitte krav til aktører inden for kritisk infrastruktur. Det bifalder Lars Andreasen:
– ”Det er positivt, at der investeres i både kritisk cyberteknologi og forsvarsrelaterede virksomheder – men det stiller krav om større modenhed blandt investorer. Ellers risikerer vi, at statslige aktører blot skal overvåge en fond for at få nem adgang til informationer om forskningsprojekter og nye teknologier.”
Startups negligerer sikkerheden
Men er det realistisk, at små startups begynder at lave baggrundstjek på investorer og fonde – eller risikerer de at skræmme potentielle investorer væk?
– ”Det er min klare opfordring, at virksomhedsledere, bestyrelser og andre ansvarlige aktører er deres ansvar bevidst, og tør stille krav til kommende investorer. Problemet opstår, når der opstår et ulige magtforhold, hvor ledelsen kan føle sig presset til at give samtykke til en proces, de ikke er trygge ved – blot for at få aftalen igennem.”
Lars Andreasens bekymring er, at mange startups og mindre vækstvirksomheder ser stort på sikkerheden, selvom de godt ved, at det er forkert – og at det i værste fald kan udgøre en eksistentiel sårbarhed i fremtiden.
Man kan få tanken, hvorvidt udviklingen og tilgangen skaber overforsigtighed – at alle bliver bange for at dele data, og samarbejdsklimaet tager skade, og at netop denne overregulering kan skade en sektor, der netop lever af hurtighed og risikovillighed. Tværtimod mener Lars.
– ”Hvis fundamentet er i orden, og beslutningerne træffes på et oplyst grundlag, kan man netop handle hurtigt og tage kalkulerede risici. At indgå et samarbejde med en partner, man ikke ved noget om, er det mest uansvarlige”.
Hvor ender sensitive oplysninger?
Onfido, Checkr eller Sterling. Markedet for baggrundstjek og compliance-løsninger er præget af internationale spillere. Så hvad kan det danske P-Secure, startet af et hold tidligere PET-medarbejdere?
Når vi taler startups i det felt, handler det om data, og hvor disse ender.
GDPR-regler og EU’s dataforordning, der trådte i kraft i september, gør, at virksomheder er forpligtet til at behandle brugerdata langt mere skånsomt.
Alligevel er mange løsninger for baggrundstjek og compliance-løsninger præget af, at virksomheder typisk skal sende oplysninger om den medarbejder, der skal gennemgå et baggrundstjek, til en tredjepart – ofte placeret uden for Europa.
En tredjepart foretager baggrundstjekket, og returnerer en rapport til virksomheden, men vi ved ikke, hvor og hvordan data så håndteres, eller hvor de reelt ender.
– ”Med P-Secure forbliver alle data hos virksomheden, som selv kan stå for hele processen – uden brug af eksterne konsulenter,” lyder det fra CEO & co-founder, Lars Andreasen.
P-Secure anvendes i en bred vifte af brancher, herunder energisektoren og luftfartssektoren, og tilbyder derfor branchespecifikke løsninger, der sikrer, at virksomhederne overholder de regler og krav, der gælder for netop deres område.
– ”Mange af de konkurrenter, du nævner, kan ikke garantere den rette proportionalitet, men anvender samme type baggrundstjek, uanset hvilken adgang en person skal have. Det er et stort problem,” uddyber Lars Andreasen.
Vi kan ikke negligere EU-krav
P-Secure er del af en sektor, hvor gennemsigtigheden ofte er knap, og hvor tillid er den helt store valuta.
Med de nye EU-krav – herunder NIS2 og CER – skal kritisk infrastruktur og deres leverandører gennemgå baggrundstjek i varierende omfang. Det betyder, at der skal foretages mange tusinde baggrundstjek, hvilket ikke kan håndteres manuelt på en økonomisk forsvarlig måde.
I mange sektorer er der desuden krav om løbende gentjek, hvilket gør opgaven endnu større. Samtidig er datasuverænitet blevet en væsentlig faktor.
– ”Langt størstedelen af vores konkurrenter befinder sig uden for Europa eller benytter sig af tjenester, der opererer uden for EU. Det er et problem for mange virksomheder, da det indebærer overførsel af medarbejderdata til f.eks. USA eller Asien. Med P-Secure foregår hele sagsbehandlingen i løsningen, og alle data forbliver i Danmark”, fortæller Lars Andreasen.
Som startup er det afgørende, at man ikke bare outsourcer datasikkerhed og compliance, men opbygger en sikkerhedskultur, der er tilpasset branche og behov.
– ”Derfor har vi udviklet en løsning, der samtidig gør det muligt for virksomhederne selv at håndtere baggrundstjek – uden behov for ekstern assistance. Løsningen er nem at bruge, og fordi vi har mange kunder, udvikler vi løbende vores notifikationer og vejledninger, som hjælper virksomheden med at vurdere de enkelte sager.”
Er du er interesseret i at vide mere om investeringer i cybersecurity startups, kan du komme til de sidste dage af Cyber Angel Academy i København. Du finder alle datoer og links til tilmelding her.
