1. Naslov i uvod
Priča o Delveu pretvara se u studiju slučaja kako se povjerenje u „brzu“ sigurnosnu sukladnost može urušiti u nekoliko tjedana. Nakon LiteLLM‑a i Lovablea, sada znamo da je Delve radio i sigurnosne certifikacije za Context AI – tvrtku čija je aplikacija bila ulazna točka u nedavnom incidentu kod hosting diva Vercel.
To nije samo još jedan skandal iz Silicijske doline. To je upozorenje za europske i hrvatske tvrtke koje se sve više oslanjaju na američke SaaS i AI alate: certifikat na papiru ne znači mnogo ako je lanac povjerenja izgrađen na pijesku.
2. Vijest ukratko
Prema pisanju TechCruncha, Delve – startup za automatizaciju usklađenosti koji je već pod pritiskom zbog navoda zviždača – bio je zadužen za sigurnosne certifikate Context AI‑a. Context AI je povezan s nedavnim incidentom u kojem su napadači uspjeli pristupiti internim sustavima Vercela, popularne platforme za hosting aplikacija i web stranica.
Kako navodi TechCrunch, napad je započeo kada je zaposlenik Vercela instalirao aplikaciju Context AI i povezao je sa službenim Google računom. Napadači su iskoristili taj pristup za ulazak u dio internih sustava i pristup ograničenim podacima korisnika.
Context AI je potvrdio da je ranije koristio Delve, ali je nakon javnih optužbi u ožujku prešao na konkurentsku platformu Vanta i neovisnu revizorsku tvrtku Insight Assurance. Ranije je i drugi Delveov klijent, LiteLLM, pretrpio napad na opskrbni lanac kada je zlonamjerni kod ubačen u njegov open‑source projekt; i LiteLLM prekida suradnju i ponovno prolazi certificiranje.
TechCrunch također piše da je Lovable, bivši klijent Delvea, nenamjerno javno izložio podatke iz korisničkih chatova zbog pogrešne konfiguracije te je u početku odbacivao prijave ranjivosti. Anonimni zviždač pod nadimkom „DeepDelver“ objavljuje dodatne navode protiv Delvea. Tvrtka je, prema TechCruncha, odbila komentirati.
3. Zašto je to važno
Na prvi pogled, riječ je o jednom problematičnom startupu i nekoliko nesretnih klijenata. No cijeli slučaj razotkriva puno širi fenomen: sigurnosnu „kazališnu predstavu“, u kojoj sukladnost zamjenjuje stvarnu zaštitu.
Delve i slični servisi obećavaju SOC 2, ISO 27001 i druge bedževe u rekordnom roku. Spojite AWS, GitHub, HR sustav, platforma prikupi dokaze, generira politike i poveže vas s revizorom. Za mnoge mlade timove – i u Zagrebu ili Splitu – to je jedini način da uopće prođu sigurnosne upitnike velikih korporacija.
Problem nastaje kad se ispostavi da karika koja bi trebala biti najstroža – neovisno i kritičko ispitivanje – možda popušta pod pritiskom brzine i rasta. Ako je sam certificirator predmet ozbiljnih optužbi, koliko vrijede njegovi certifikati? I što to znači za tvrtke koje su se na njih oslanjale u ugovorima i prodaji?
Kratkoročno profitiraju veći, etablirani igrači na tržištu sukladnosti i klasične revizorske kuće. Na gubitku su startupi koji su investirali u sigurnost, ali će sada morati ponovno prolaziti provedbe i objašnjavati partnerima zašto njihov stari certifikat više ne ulijeva povjerenje.
Najviše gube krajnji korisnici – građani i poduzeća – koji su vjerovali da pečat na PDF‑u znači „ovo je sigurno“.
4. Šira slika
Afera Delve uklapa se u nekoliko trendova koji izravno pogađaju i europsko i regionalno tržište.
Prvo, eksplozija usluga „compliance‑as‑a‑service“. Posljednjih godina u SAD‑u niču platforme koje obećavaju „SOC 2 u par tjedana“. Startupi iz Zagreba, Ljubljane ili Beograda koji ciljaju američke klijente praktički su prisiljeni ući u taj vlak. Time dobivaju brži put do tržišta, ali i opasnu iluziju da je sigurnost rješiva još jednim SaaS pretplatama.
Drugo, sve češći napadi na opskrbni lanac. Od SolarWindsa do drugih poznatih slučajeva vidimo isti obrazac: napada se dobavljač vašeg dobavljača. U primjerima koje navodi TechCrunch lanac ide od Delvea do njegovih klijenata (Context AI, LiteLLM, Lovable), pa zatim do platformi poput Vercela na kojima svi zajedno žive.
Treće, eksplozija AI alata koji se spajaju na Google Workspace, Microsoft 365, repozitorije koda i CRM‑ove. Za razvojne timove to je ogroman ubrzivač; za napadače, idealna nova površina napada. Incident kod Vercela pokazuje kako će izgledati sve učestaliji „OAuth“ proboji u AI eri.
Slične obrasce već smo vidjeli u drugim industrijama. U financijama je slučaj Wirecard razotkrio koliko malo vrijedi revizija ako nitko ne želi postavljati neugodna pitanja. U zdravstvu je Theranos pokazao koliko je opasno kad se priča prodaje brže od provjere činjenica. Delve je manjih razmjera, ali je upozorenje da se i u svijetu sigurnosti lako sklizne u istu zamku.
5. Europski i hrvatski kontekst
Za hrvatske tvrtke ovo nije daleka američka priča. Velik dio domaćih SaaS i fintech timova koji ciljaju EU i SAD koristi upravo takve platforme za certificiranje. Certifikati poput SOC 2 često završavaju u istoj mapi kao dokumenti o usklađenosti s GDPR‑om, kao da se radi o istom režimu.
Europsko pravo, međutim, jasno govori da odgovornost ostaje kod voditelja obrade i pružatelja usluge. Opća uredba o zaštiti podataka (GDPR), Direktiva NIS2, DORA za financijski sektor te nadolazeći Akt o umjetnoj inteligenciji inzistiraju na stalnoj procjeni rizika, upravljanju dobavljačima i dokazivoj odgovornosti. Certifikat može biti koristan dokaz, ali ne i izgovor.
Afera Delve dat će dodatni vjetar u leđa regulatorima u Bruxellesu, ali i nacionalnim tijelima – uključujući hrvatsku AZOP – da naglase: ne možete „outsourcati“ rizik. Za hrvatske banke, telekome, državne institucije i velike turističke sustave, koji sve više ovise o SaaS rješenjima, to znači da će se kod procjene dobavljača morati ići dublje od logotipa certifikacije.
S druge strane, otvara se prostor za europske i regionalne igrače – konzultante, revizore i alate – koji razumiju i tehničku sigurnost i europsku regulativu.
6. Pogled unaprijed
Što slijedi?
Delve će vjerojatno izgubiti još klijenata, osobito među tvrtkama koje već imaju CISO‑a ili vlastite sigurnosne timove. Njegova konačna sudbina – oporavak, prodaja ili zatvaranje – manje je važna od signala koji šalje tržištu.
U idućih godinu dana možemo očekivati:
- Opsežnije sigurnosne upitnike za dobavljače: ne samo „imate li SOC 2?“, već „tko vas je certificirao, koliko je taj subjekt neovisan i koliko često se kontrole ponovno provjeravaju?“
- Veću potražnju za neovisnim revizorskim kućama koje nisu financijski vezane uz alate za automatizaciju.
- Kod AI rješenja, obvezan sigurnosni pregled prije integracije s internim sustavima – uključujući jasne politike o dopuštenim ovlastima, revokaciji pristupa i nadzoru aktivnosti.
Za hrvatske tvrtke koje ciljaju globalno tržište to znači da će ulaganje u „pravi“ sigurnosni program – stručne ljude, procese, testiranja – postati jednako važno kao i certifikati. U protivnom će svaki novi skandal sličan Delveu automatski baciti sumnju i na njih.
Ostaje pitanje hoće li se regulatorna tijela i sudovi početi detaljnije baviti odgovornošću pružatelja usluga sukladnosti te hoće li se pojaviti tužbe klijenata koji smatraju da su dovedeni u zabludu.
7. Zaključak
Delve nije samo jedna „loša jabuka“, već upozorenje koliko lako sigurnosne potvrde mogu postati skupa iluzija. Dokle god tržište više nagrađuje brz certifikat nego dugoročnu sigurnosnu kulturu, pojavljivat će se novi Delveovi.
Za vas kao kupca ili pružatelja digitalnih usluga ključno pitanje više nije „ima li dobavljač certifikat?“, nego „razumijem li i vjerujem li ljudima, procesima i revizorima koji stoje iza tog certifikata?“
