Det danske startup Heyhack står bag en automatisk softwareløsning, der simulerer cyberangreb og finder brister i virksomheders it-sikkerhed. Og efter en bragende start og en god investeringsrunde håber folkene bag at blive førende på området i fremtiden.
For få årtier siden var det lommetyve, røvere og banditter i mørke gyder, tegnebogen skulle frygte. Men ligesom alle andre dele af samfundet er også de lyssky erhverv blevet mere teknologiske. I dag finder 2.200 cyberangreb således sted hver evig eneste dag, hvilket svarer til ca. et angreb hvert 39. sekund ifølge en undersøgelse i Security Magazine. Særligt i digitale Danmark er vi udsatte; her vurderer Center for Cybersikkerhed risikoen for cyberkriminalitet til at være ’meget høj’.
Det har startuppet Heyhack sat sig for at lave om på. Virksomheden står bag en automatisk softwareløsning, der penetrationstester webapplikationer og giver virksomheder – råt for usødet – en vurdering af, hvor sårbare de er overfor potentielle cybertrusler – og hvor de skal lukke hullerne, inden det går galt.
”Min medstifter, Anders (Skovsgaard, red.), arbejdede i en længere periode som selvstændig penetrationskonsulent, og derigennem opdagede han, at mange af værktøjerne ikke var fulgt med web-udviklingen og generelt heller ikke var særligt transparente omkring, hvad der blev testet for. Så han endte med at bruge lang tid på at bare konfigurere dem. I sidste ende ringede han til mig og sagde, at det kunne vi godt gøre bedre,” fortæller Sebastian Brandes, medstifter af Heyhack.
Heyhack er en fuldautomatisk løsning, der penetrationstester webapplikationer. Det er brugervenligt at sætte op og en test varer typisk mellem 30 min. til et par timer, hvor man som virksomhed kan følge softwaren i færd med at navigere rundt på siden for at finde sikkerhedshuller.
”Der er opstået et hul i markedet i takt med, internettet er gået fra at være statiske hjemmesider til nu primært at være bygget af webapplikationer, hvor meget af det rige indhold ligger ude i brugerens browser. Det har skabt en masse nye typer cybertrusler, som selvfølgelig kræver, at værktøjerne følger med – hvilket mange af dem ikke har gjort,” forklarer iværksætteren.
I modsætning til konkurrenter tager Heyhack-løsninger skærmbilleder af alt og markerer alle felter, softwaren interagerer med. På den måde kan virksomheden trykke på ethvert område og se de tests, der er blevet kørt. Og mange sætter pris på det. Det skal sikre gennemsigtigheden og gøre det nemmere at vurdere kvaliteten af sikkerhedsundersøgelsen.
Mødtes over startup-interessen
De to venner havde begge tidligere prøvet kræfter med iværksætteri og mødte oprindeligt hinanden på GeekHouse i Aarhus, et åbent kontorfællesskab for startups. Men det var først flere år efter mødet, at de skulle stifte virksomhed sammen.
”Vi begyndte at tale om feltet og det, der potentielt skulle bygges. I januar 2022 gik vi så i gang med at kode. Det tog ret hurtigt fart, og vi fik bygget et godt produkt i løbet af tre måneder, som vi kunne bruge til at markedsvalidere konceptet,” siger Brandes.
I april 2022 var Heyhacks berettigelse på markedet ikke blot tydelig for hovedpersonerne selv. Sammen med en række engelinvestorer investerede Pre Seed Ventures nemlig i alt 11 millioner kroner i virksomheden med henblik på at få bygget en forretning ud af produktet.
Lagde ny strategi undervejs
Startuppet lagde ud med en strategi målrettet mindre virksomheder, som ellers traditionelt ikke har haft råd til at værne om deres cybersikkerhed.
”Vi oplevede, at mange mindre virksomheder ikke fik lavet penetrationstest, fordi det er for dyrt. Derfor lavede vi en billig abonnementsplan og fik også mange signups organisk fra mindre virksomheder, men kunne se, at mange ikke havde ressourcerne til at prioritere sikkerhed i deres organisation. Omvendt oplever vi, at store virksomheder tager sikkerhed meget seriøst og afsætter meget store budgetter til at sikre deres applikationer og infrastruktur, og derfor har vi ændret strategien til nu primært at fokusere på enterprises,” siger Heyhack-stifteren.
Iværksætterne begyndte i stedet at henvende sig til større virksomheder, der i højere grad påskønnede risikoen ved angreb og havde afsat budget til det. Organisationernes størrelse betød også ofte, at HeyHack kunne begynde at blive brugt i det forebyggende arbejde i højere grad.
”Med vores løsning får vi udviklerne til at sikkerhedsteste løbende (“Shift left testing,” red.). Når man gør det samtidig med, at man bygger en ny applikation, kan man identificere de her smuthuller eller riscici senere hen,” forklarer Sebastian Brandes.
Vil være førende i verden
På trods af at Heyhacks automatiske penetrationstest efterhånden bliver brugt af en del virksomheder, har startuppet større ambitioner for fremtiden.
”Vi vil gerne være nr. 1 i verden på application security. Vi spejler os i virksomheder, der har taget noget, alle sad og bøvlede med og er blevet den førende løsning inden for området,” siger Brandes.
Derfor har folkene bag flere nye værktøjer i støbeskeen, bl.a. et der skal kunne afsøge og opsnuse potentielt lækket data på internettet fra virksomheden.
”Cyberangreb er jo steget helt potentielt. Særligt siden corona, hvor jeg synes, man kan se en korrelation med, at flere begyndte at arbejde hjemme og virksomhederne måske fik introduceret nogle digitale værktøjer til deres systemer lidt for hurtigt. Så jeg er slet ikke i tvivl om, at cybersikkerhed kun bliver vigtigere i fremtiden,” fortæller iværksætteren.
I dag består Heyhack af fire ansatte, har entreprise-kunder i Norden, Europa og USA og netop beta-lanceret Heyhack Recon – et værktøj til automatisk afdækning bl.a. lækkede data og anden sensitiv information.
Kære læser, du er meget velkommen til at dele vores artikler på sociale medier, linke eller referere til artikler eller content på TechSavvy.media. Men ønsker du helt eller delvist at kopiere indhold fra sitet må det kun ske efter aftale med vores redaktion på editorial@techsavvy.media.
Kære læser, du er meget velkommen til at dele vores artikler på sociale medier, linke eller referere til artikler eller content på TechSavvy.media. Men ønsker du helt eller delvist at kopiere indhold fra sitet må det kun ske efter aftale med vores redaktion på editorial@techsavvy.media.