1. Naslov in uvod
Zgodba okoli Delve se bere kot priročnik, kako lahko propade zaupanje v »hitre« varnostne certifikate. Po LiteLLM in Lovable se je zdaj izkazalo, da je Delve izvajal tudi varnostne certifikacije za Context AI – podjetje, prek katerega aplikacije so napadalci prišli v notranje sisteme Vercela.
To ni le drama enega zloglasnega Y Combinator startupa. To je opozorilo za vsakega, ki kupuje ali gradi SaaS in AI rešitve: industrija skladnosti, na katero se vsi zanašamo, ima resne razpoke – in svojo odgovornost prehitro prepuščamo tretjim.
2. Novica na kratko
Kot poroča TechCrunch, je Delve – startup za avtomatizacijo skladnosti, ki je že pod pritiskom zaradi očitkov žvižgača – izvajal varnostne certifikacije za Context AI. Context AI je povezan z nedavnim varnostnim incidentom pri Vercelu, priljubljeni platformi za gostovanje aplikacij in spletnih strani.
Po navedbah TechCruncha je Vercel utrpel vdor, potem ko je zaposleni namestil aplikacijo Context AI in jo povezal s službenim Google računom. Napadalci so to povezavo izkoristili za dostop do nekaterih internih sistemov in omejenih podatkov strank.
Context AI je potrdil, da je v preteklosti uporabljal Delve, vendar je po javnih očitkih marca prešel na konkurenčnega ponudnika Vanta in neodvisnega revizorja Insight Assurance. Prej je bil napaden tudi Delvejev naročnik LiteLLM, kjer so napadalci v odprtokodno kodo vstavili zlonamerno programsko opremo; tudi LiteLLM je prekinil sodelovanje in se ponovno certificira.
Ločeno je TechCrunch poročal, da je Lovable, nekdanja stranka Delve, nenamerno javno razkril podatke iz uporabniških pogovorov zaradi napačne konfiguracije in je sprva zavrnil prijave ranljivosti. Anonimni žvižgač »DeepDelver« objavlja nove očitke na račun Delve; podjetje komentarjev za TechCrunch ni podalo.
3. Zakaj je to pomembno
Na prvi pogled gre za en problematičen startup in nekaj nesrečnih naročnikov. V resnici pa primer razgalja večjo težavo: industrijsko proizvodnjo varnostne »check‑box« skladnosti.
Delve in podobni ponudniki obljubljajo hitro pot do SOC 2, ISO 27001 in drugih značk. Priklopite AWS, GitHub in HR sistem, orodje zbere dokaze, pripravi politike in revizijsko poročilo; prodajni proces se skrajša, vsi so zadovoljni.
Težava nastane, ko se pokaže, da je vez v verigi šibka – da obstajajo očitki o površnih revizijah, spornem ravnanju z odprto kodo ali celo prirejanju podatkov strank. Če zaupamo certifikatu, ki ga je izdal tak ponudnik, koliko sploh velja? In ko incidenti posredno prizadenejo tudi velike platforme, kot je Vercel, posledice niso več omejene na en sam startup.
Kratkoročno bodo največ pridobili bolj uveljavljeni tekmeci Delve ter neodvisne revizijske hiše, ki lahko pokažejo strožje standarde. Na izgubi so mlajši SaaS in AI startupi – tudi slovenski –, ki so varnost jemali resno, vendar so se zanašali na »hitre« certifikacije, da bi lahko sploh prišli v razpise večjih podjetij.
Največji poraženci pa so kupci. SOC 2 ali ISO certifikat naj bi poenostavil preverjanje dobaviteljev, ne pa ga dodatno zapletel. Po aferi Delve bo treba pri vsakem certifikatu vprašati: kdo stoji za njim in kako dela?
4. Širši kontekst
Afera Delve se lepo vklaplja v tri širše trende.
Prvi je razcvet orodij »compliance‑as‑a‑service«. V zadnjih letih so v ZDA zrasle platforme, ki obljubljajo »SOC 2 v nekaj tednih«. Tudi v Sloveniji so mlada podjetja, ki ciljajo na ameriške stranke, praktično prisiljena v takšne certifikate. To je lahko koristno – a hkrati ustvarja iluzijo, da je varnost mogoče rešiti s prijavo v še en SaaS.
Drugi trend je normalizacija napadov na dobavno verigo. Od SolarWinds naprej vemo, da napadalci ciljajo na dobavitelje naših dobaviteljev. V opisanih primerih pri TechCrunchu vidimo šibke točke v verigi: Delve, njegovi naročniki, njihovi integrirani produkti. Vsak incident zase ni spektakularen, vsi skupaj pa kažejo, kako hitro se lahko poruši zaupanje v celoten ekosistem.
Tretji trend je eksplozija AI orodij, ki jih podjetja brezglavo povezujejo z internimi Google ali Microsoft računi, repozitoriji kode in podatkovnimi jezeri. Integracije, kakršno je imel Context AI, so izjemno močne – in enako močne so posledice, če nadzor in upravljanje nista brezhibna.
Zgodovina nas uči, da »magija« tehnologije brez pravega nadzora slabo konča. Fintech je imel primer Wirecard, zdravstvo Theranos. Varnostna skladnost v svetu startupa Delve morda nima drame milijardnih goljufij, ima pa tisto tiho nevarnost, da tisoči podjetij precenjujejo, kako dobro so dejansko zaščitena.
5. Evropski in slovenski vidik
Za evropska in slovenska podjetja to ni le ameriška zgodba. Večina hitro rastočih SaaS in AI ekip iz Ljubljane, Zagreba ali Berlina, ki ciljajo na globalni trg, mora pridobiti SOC 2 ali podobne certifikate, izdane s strani ameriških ponudnikov in revizorjev. Ta poročila nato pogosto končajo v isti mapi kot GDPR dokumentacija, kot da bi šlo za enoten režim.
Evropska zakonodaja pa pravi nasprotno: odgovornost ostane pri upravljavcu podatkov in ponudniku storitve. GDPR, NIS2 ter kmalu tudi Uredba o umetni inteligenci in DORA za finančni sektor zahtevajo stalno ocenjevanje tveganj in skrbno upravljanje tretjih strani. Certifikat zunanjega ponudnika je lahko del zgodbe, nikoli pa celotna obramba.
Afera Delve daje Bruslju dodatne argumente, zakaj vztraja pri konceptu odgovornosti in preglednosti. Povzroča pa tudi zdravo nelagodje pri evropskih kupcih: ali res vemo, kdo stoji za našimi certifikati in avtomatiziranimi »compliance« platformami?
Za slovenska podjetja to pomeni, da bo treba vlagati ne le v kljukice na vprašalnikih, temveč v lastno varnostno kulturo, notranje kontrole in neodvisne preverbe – tudi pri projektih s subvencijami ali razpisi EU, kjer so zahteve po skladnosti vedno strožje.
6. Pogled naprej
Verjetno bomo priča nadaljnjemu odtekanju strank od Delve, zlasti med bolj zrelimi ekipami z lastnimi varnostnimi specialisti. Usoda podjetja je manj pomembna od vala, ki ga sproža: ponovno odpiranje vprašanja, kaj pravzaprav pomeni »biti certificiran«.
Kaj lahko pričakujemo v naslednjih mesecih?
- Kupci bodo razširili vprašalnike za dobavitelje: ne le »ali imate SOC 2?«, temveč tudi »kdo vas je certificiral, kako pogosto se kontrole preverjajo in kdo je vaš revizor?«
- Raste lahko pomen neodvisnih revizijskih hiš, ki niso lastniško ali komercialno prepletene z avtomatizacijskimi platformami.
- Pospešeno se bodo razvijala orodja za stalno spremljanje varnosti (continuous monitoring), ki dopolnjujejo, ne pa nadomeščajo, klasične revizije.
V svetu AI bodo varnostni pregledi agentov in integracij z notranjimi sistemi postali obvezen del uvedbe. CIO‑ji in CISO‑ji bodo zahtevali jasne odgovore, kaj točno lahko neko AI orodje počne z dostopom do Google Workspace ali Microsoft 365 in kako se dostop omejuje, beleži in prekliče.
Odprta ostajajo vprašanja: ali se bodo regulatorji – tudi v EU – lotili preverjanja takšnih ponudnikov skladnosti? Bomo videli skupinske tožbe strank, če se očitki o zavajanju izkažejo za utemeljene? In predvsem: koliko podobnih zgodb še čaka, da pridejo na dan?
7. Bistvo
Delve ni le posamezna »slaba jabolka«, temveč simptom ekosistema, ki je udobje certifikatov zamenjal za resnično varnost. Če bomo še naprej verjeli, da je »SOC 2 v parih sprintih« dovolj, nas bodo incidenti, kot je pri Vercelu, vedno znova presenetili.
Vprašanje, ki bi si ga morali zastaviti v Sloveniji in širše, ni več »ali ima ponudnik certifikat?«, ampak »ali zaupamo ljudem, postopkom in kulturi, ki stojijo za njim?«
