Rješavanje sigurnosnog problema kojeg nitko nije htio riješiti - prilika za Hrvatski startup rmBug uz 400.000 eura pre-seed investicije 

Investiciju su osigurali fond Silicon Gardens i poduzetnik Damir Sabol, suosnivač Iskona, Microblinka i Photomatha – najveći tehnološki exit iz Hrvatske

rmBug, hrvatski startup koji su osnovali Mario Đanić i Luka Kladarić, osigurao je 400.000 eura pre-seed investicije od fonda Silicon Gardens i poduzetnika Damira Sabola, suosnivača Iskona, Microblinka i Photomatha – koji je Google preuzeo 2023. godine u najvećem tehnološkom exitu u Hrvatskoj do danas.

Tvrtka rmBug razvija alat koji rješava jedan od najčešćih, a istovremeno najviše zanemarenih sigurnosnih problema u softverskim tvrtkama – nekontroliran i nevidljiv pristup produkcijskim bazama podataka. 

Svaki drugi sustav u modernom tech stacku već je godinama prešao na autentikaciju temeljenu na identitetu: SSO za aplikacije, IAM za cloud resurse, certifikati za servise. Baze podataka su iznimka. I dalje rade na dijeljenim lozinkama koje kruže Slackom, dobivaju se prvog radnog dana i nikad se ne mijenjaju – jer je netko jednom pokušao i srušio produkciju. Posljedično – gotovo nitko ne hakira baze podataka već se prijave s lozinkom koju svi već znaju.

Posljedice su uvijek iste: tri inženjera dijele jedan set kredencijala za produkcijsku bazu, netko napusti tim i nitko mu ne ukine pristup, audit log postoji ali ga nitko ne čita. Nešto krene po krivu i pitanje je uvijek isto: tko je bio unutra, što je napravio i kada? U većini tvrtki na to pitanje nitko ne može odgovoriti.

Izvor: rmBug 

„Na svakom radnom mjestu vidio se isti obrazac: sigurnosni alati građeni za compliance theater, a ne za inženjere koji ih moraju svakodnevno koristiti. Zato smo izgradili nešto drukčije“, kaže Mario Đanić, CEO i suosnivač rmBuga.

rmBug se sastoji od tri komponente: agenta na računalu inženjera koji upravlja autentikacijom, gatewaya koji se postavlja unutar infrastrukture tvrtke i nikad ne izlazi u rmBugovog clouda te kontrolne ploče za upravljanje pravilima pristupa i pregled audit logova. Inženjeri se autentificiraju putem postojećeg identity providera, a svi upiti prema bazi prolaze kroz gateway koji ih bilježi i kontrolira. Pri tome nastavljaju koristiti alate na koje su navikli – psql, MySQL CLI, TablePlus ili DBeaver – bez ikakve promjene načina rada.

Izvor: rmBug  

„Ako alat traži da promijeniš način rada, inženjeri će ga zaobići. Postavljanje svega traje jedno popodne, a ne mjesecima. Inženjeri dobivaju pristup bazi bez da ikad vide stvarne kredencijale“, objašnjava Luka Kladarić, CPTO i suosnivač rmBuga, koji je vodio infrastrukturu u američkom Noomu – gdje je pristup bazama podataka primarno HIPAA compliance problem – te bio CTO Hitlista i engineering lead u Meetupu. 

Proizvod je trenutno u fazi validacije s prvim design partnerom: Sofascore, globalna platforma za sportske podatke, koristi rmBug u pilot-projektu s inženjerskim i support timovima na stvarnom produkcijskom prometu. Fokus je na upotrebljivosti – kako inženjeri i support djelatnici stvarno rade s alatom svaki dan – prije launcha rmBuga 31. ožujka i akvizicije većeg broja korisnika. 

Inače, samo tržište upravljanja privilegiranim pristupom (PAM) uvijek je bilo enterprise teritorij. CyberArk, BeyondTrust, StrongDM, HashiCorp Boundary: alati građeni za sigurnosne timove sa šesteroznamenkastim budžetima i mjesecima za implementaciju. Za tvrtke s deset do dvjesto inženjera nikad nije postojala ozbiljna opcija. rmBug cilja upravo taj segment – vakuum koji su enterprise rješenja ostavila za sobom. Procjene govore da bi PAM tržište moglo narasti s oko 5 milijardi dolara danas na više od 20 milijardi do kraja desetljeća.

Dodatni poticaj rastu tog tržišta daje i regulatorni pritisak. NIS2 direktiva stupila je na snagu u listopadu 2024., financijska regulativa DORA u siječnju 2025., a PCI DSS 4.0 u ožujku 2025. – sve s konkretnim kaznama koje u pojedinim slučajevima mogu doseći deset milijuna eura ili dva posto globalnog prihoda. Stoga tvrtke koje su odgađale rješavanje problema s pristupom bazama podataka više nemaju luksuz čekanja, a PAM enterprise alati se i dalje ne uklapaju u njihovo poslovanje.