Hrvatski startup rmBug osigurao 400 tisuća eura pre-seed investicije

Tvrtka rmBug razvija alat koji rješava jedan od najčešćih, a istovremeno najviše zanemarenih sigurnosnih problema u softverskim tvrtkama – nekontroliran i nevidljiv pristup produkcijskim bazama podataka.

Svaki drugi sustav u modernom tech stacku već je godinama prešao na autentikaciju temeljenu na identitetu: SSO za aplikacije, IAM za cloud resurse, certifikati za servise. Baze podataka su iznimka. I dalje rade na dijeljenim lozinkama koje kruže Slackom, dobivaju se prvog radnog dana i nikad se ne mijenjaju, jer je netko jednom pokušao i srušio produkciju. Posljedično, gotovo nitko ne hakira baze podataka već se prijave s lozinkom koju svi već znaju.

Tri komponente rmBuga

Posljedice su uvijek iste: tri inženjera dijele jedan set kredencijala za produkcijsku bazu, netko napusti tim i nitko mu ne ukine pristup, audit log postoji, ali ga nitko ne čita. Nešto krene po krivu i pitanje je uvijek isto: tko je bio unutra, što je napravio i kada? U većini tvrtki na to pitanje nitko ne može odgovoriti.

- Na svakom radnom mjestu vidio se isti obrazac: sigurnosni alati građeni za compliance theater, a ne za inženjere koji ih moraju svakodnevno koristiti. Zato smo izgradili nešto drukčije - kaže Mario Đanić, suosnivač i direktor rmBuga.

rmBug se sastoji od tri komponente: agenta na računalu inženjera koji upravlja autentikacijom, gatewaya koji se postavlja unutar infrastrukture tvrtke i nikad ne izlazi u rmBugovog clouda te kontrolne ploče za upravljanje pravilima pristupa i pregled audit logova. Inženjeri se autentificiraju putem postojećeg identity providera, a svi upiti prema bazi prolaze kroz gateway koji ih bilježi i kontrolira. Pri tome nastavljaju koristiti alate na koje su navikli – psql, MySQL CLI, TablePlus ili DBeaver – bez ikakve promjene načina rada.

- Ako alat traži da promijeniš način rada, inženjeri će ga zaobići. Postavljanje svega traje jedno popodne, a ne mjesecima. Inženjeri dobivaju pristup bazi bez da ikad vide stvarne kredencijale - objašnjava Luka Kladarić, CPTO i suosnivač rmBuga, koji je vodio infrastrukturu u američkom Noomu, gdje je pristup bazama podataka primarno HIPAA compliance problem, te bio CTO Hitlista i engineering lead u Meetupu.

Sofascore među korisnicima

Proizvod je trenutno u fazi validacije s prvim design partnerom: Sofascore, globalna platforma za sportske podatke, koristi rmBug u pilot-projektu s inženjerskim i support timovima na stvarnom produkcijskom prometu. Fokus je na upotrebljivosti – kako inženjeri i support djelatnici stvarno rade s alatom svaki dan – prije launcha rmBuga 31. ožujka i akvizicije većeg broja korisnika.

Inače, samo tržište upravljanja privilegiranim pristupom (PAM) uvijek je bilo enterprise teritorij. CyberArk, BeyondTrust, StrongDM, HashiCorp Boundary: alati građeni za sigurnosne timove sa šesteroznamenkastim budžetima i mjesecima za implementaciju. Za tvrtke s deset do dvjesto inženjera nikad nije postojala ozbiljna opcija. rmBug cilja upravo taj segment – vakuum koji su enterprise rješenja ostavila za sobom.

Procjene govore da bi PAM tržište moglo narasti s oko pet milijardi dolara danas na više od 20 milijardi do kraja desetljeća.

Dodatni poticaj rastu tog tržišta daje i regulatorni pritisak. NIS2 direktiva stupila je na snagu u listopadu 2024., financijska regulativa DORA u siječnju 2025., a PCI DSS 4.0 u ožujku 2025., sve s konkretnim kaznama koje u pojedinim slučajevima mogu doseći deset milijuna eura ili dva posto globalnog prihoda.

Stoga tvrtke koje su odgađale rješavanje problema s pristupom bazama podataka više nemaju luksuz čekanja, a PAM enterprise alati se i dalje ne uklapaju u njihovo poslovanje.