I juni 2020 stiftet vi Diri AS. 1. januar 2021 startet jeg som fulltidsgründer, og i november blir vi to fulltidsgründere på utkikk etter 3 fulltidsmedarbeidere. Vil du vite hvordan det gikk til? Les videre! I forrige innlegg gikk jeg igjennom forskningen, praksisen og erfaringene fra å bygge et risikostyringsprogram for universitetet. I dette innlegget går jeg igjennom erfaringene vi gjorde oss på veien til å bli en liten tech-startup.
Jeg hadde helt siden jeg startet å undervise sett at vi trengte noe for å få fart på området risikostyring av informasjonssikkerhet. Dette
behovet utkrystalliserte seg når vi arbeidet med problemstillingene på
NTNU digital sikkerhet fra midten av 2017: Av grunner jeg gikk igjennom i
forrige innlegg holdt ikke vår hybride dobbeltarbeidstilnærming med
excel-ark og Risk manager.
Siden jeg ikke er noe særlig til programvareutvikler, prøvde jeg å selge
inn prototyping av risikostyringssoftware til bachelorstudenter gjennom
et par år uten hell. Selv under det fantastiske prosjektnavnet “Cyber risk assessor” var det ingen som tok agnet hverken høsten 2017 eller høsten 2018.
Selv om ambisjonene ikke var å få et ferdig fungerende produkt fra bacheloroppgaven, ville det vært lettere å skaffet mere støtte med en prototype å vise frem. Slik gikk det altså ikke. Årsaken til at ingen ville ha oppgaven var nok at studentene hadde mye å velge mellom, for navnevalget var det i hvert fall ingenting å si på!
Ingen studenter ville ha oppgaven jeg foreslo. I tillegg var det krevende tider internt på IT avdelingen og det virket umulig å få intern finansiert et utviklingsprosjekt. Vi undersøkte markedet etter GRC (governance, risk & compliance) verktøy som passet behovet vårt, men kom til kort. Ikke misforstå, det var flere helt greie verktøy der ute, men det var ett eller annet med alle av de som utgjorde store hinder for at vi skulle kunne lykkes: Jeg fortalte om Excel-helvete i forrige post om dette, og med så mange system i IT-porteføljen må systemeiere kunne gjøre mye av jobben selv.
I mai 2019 deltok jeg på et seminar om NTNU TTO, hovedoppgaven deres er å skape verdier av forskningsresultater og hjelpe forskere med ta ideer ut i marked. Dette virket interessant og vi hadde massevis av forskning vi kunne bygge på. Vi hadde blandt annet jobbet med risikoanalyse av hendelsesdata fra NTNU SOC de siste årene, og i tillegg hadde vi Ph.D. avhandlingen min og massevis av praktisk erfaring fra gjennomføring av risikovurderinger.
Etter dialog med TTO, leverte jeg og kollega
Vebjørn Slyngstadli inn et forslag til innovasjonsprosjekt til TTO under
det fantastiske dekknavnet, , Cyber risk assessor. Ingen grunn til forandring når man allerede er cyber.
NTNU TTO er hovedårsaken til at vi fikk Diri ut av startgropen: De
kjenner alle mekanismene for å utløse støtte til å drive
innovasjonsarbeid. Denne kunnskapen er uvurderlig i
innovasjonsprosjekter siden det aldri blir nok av penger.
TTO hadde også nettverket som satte oss i kontakt med Bjørn Oustad og Kong Arthur AS i Brumunddal. De har vært softwareutviklerne våre hele veien fra
oppstart. De hadde tidligere vært med og utviklet en lignende løsning
for GDPR, kalt VARN, og skjønte med en gang poenget og hvor vi ville.
Når man starter innovasjonsprosjekt har man
enten egenkapital eller investorer, eller så skriver man søknader. Og vi
har skrevet søknader; MANGE sider med tekst for å løse ut finansiering,
men det har vært helt nødvendig for å komme seg ut av startgropen. En
ting som er greit å vite om når man søker på finansiering fra det
offentlige er at det er mye rapportering for å få utbetalt midlene, og
ofte utbetales ikke store summer før ved sluttrapporteringen av
prosjektet. Dette er en utfordring ettersom man ofte trenger pengene og
likviditet underveis i prosjektet.
Videre er det greit å merke seg at de tilgjengelige pottene er reservert
til forskjellige formål. Noen potter kan brukes til utvikling og andre
er reservert til kommersialisering og bedriftsetablering. Som nevnt, var
kunnskapen til TTO avgjørende for vår del for å vite hva vi kunne søke
når. I teksten under har jeg kort oppsummert rekkefølgen vi søkte, hvor
og hva vi fikk støtte til.
Vi startet med å søke finansiering fra NTNU Discovery sommeren 2019. De støtter ideer fra forskningsresultater med å gå fra ide til en proof-of-concept. Vi fikk utløst penger fra Discovery høsten 2019 og startet på prototypen sammen med Kongen selv og noen utvalgte riddere.
Her søkte vi om støtte for videre markedsarbeid med rekrutering av pilotkunder, testing, osv… Vi brukte mye tid på markedet for å innhente tilbakemeldinger om hvordan produktet burde utformes og viktig funksjonalitet. Vi videreutviklet løsningen, endret navn til Diri, og påbegynte spesielt arbeidet med å sikre applikasjonen. Støtten gikk også til å etablere nødvendige backoffice-systemer, regnskapsføring og CRM.
Dette prosjektet hadde to primæroppgaver: 1. Å sette opp en skyinfrastruktur for applikasjonen, og 2. å se til at sikkerheten ble ivaretatt. Vi kjøpte inn tjenester fra Ironstone AS, spesialister på Microsoft Azure-infrastruktur, til å sette opp den underliggende infrastrukturen sikkert, og til å få applikasjonen til å kjøre. Videre hadde vi et student-lag fra NTNU, tidligere studenter av meg, til å penetrasjonsteste applikasjonen for å hardne skyinfrastrukturen. Disse ble veiledet i metodikk og tilnærming av dyktige Espen Torseth.
I juni 2020 etablerte vi Diri AS som et spinn-off selskap fra NTNU med en høytidelig markering:
Innovasjon Norge tilbyr støtte til kommersialisering av produkter fra startups. Med tilslag på denne søknaden sluttet jeg i jobben som sikkerhetsrådgiver på NTNU og beholdt bare 20% undervisning.
Hos Innovasjon Norge søkte vi kommersialiseringstilskudd til primært to arbeidspakker: 1. Etablere og implementere nødvendige prosesser og prosedyrer for kommersialisering. Her inngikk det å anskaffe og etablere kundehåndtering og faktureringssystemer med tilhørende rutiner og prosessdokumentasjon.
Skal ikke skrive altfor langt om arbeidspakke 2. Markedsverifisering, men kan si at det var mye arbeid og omfattende. Her arbeidet vi blant annet med kontraktuelle og juridiske forhold som må være på plass for at vi kunne selge. Videre arbeidet vi med produktdokumentasjon, forretningsmodell, markedsstrategi og markedsføring. Vi videreutviklet hjemmesiden fra opprinnelig versjon til nåværende. Det er fortsatt en vei å gå, men store forbedringer: I oppstarten tenkte vi mye på at Diri skulle være med å påpeke hullene i den digitale infrastrukturen, og hvordan bedre å illustrere det enn en murvegg meg hull?
Vi fikk knusende feedback på denne murveggen: Folk sa at det så ut som at vi har feil på websiden og at muren tilsier at vi var lite tilgjengelige! Pytt pytt! De kjenner ikke kunst når de ser det!
Et viktig steg i denne arbeidspakken var å lodde interessen og sette i gang med pilotprosjekter. Vi fikk etterhvert flere til å bruke verktøyet og mottok mye nyttig feedback, både ris og ROS.
Det å bestemme når et produkt er salgbart handler om personlig oppfattelse. Internt i Diri ville de mer garvede forretningsfolkene selge tidligere enn teknologene. Jeg syns ikke det er lett å bestemme når et produkt er bra nok til å ta betalt for det, men Diri gikk over til bra nok i løpet av tidlig vår 2021, mener jeg.
Våren 2020 søkte vi Verifikasjonsprosjekt fra Forskningsrådet som skal hjelpe startups ut i markedet ved å bidra til økt kommersiell anvendelse av offentlig finansiert forskning i Norge. Her fikk vi full pott på 5 millioner i støtte og med det er vi sikret drift og utvikling frem til ut våren 2023. Vi kommer til å bruke midlene til å ansette flere folk. Arbeidspakkene som vi fikk støtte til går i korte trekk ut på:
1. Videreutvikle kjernefunksjonaliteten i verktøyet.
2. Utvikle funksjonalitet for maskinlæring og prediksjon i verktøyet.
3. Forbedre plattformen og brukervennligheten.
4. Skaffe oss sammarbeidspartnere og markedsverifisering
5. Strategi og forretningsutvikling
Det er jælma langt mellom en god ide og et godt produkt. Og førstnevnte er det mange av… Hadde det vært enkelt hadde flere gjort det.
Først og fremst, vil jeg si at uten kunnskapen til NTNU TTO hadde vi ikke kommet oss ut av startgropen. Som dere har lest, prøvde jeg andre veier i 2 år uten å komme meg noen vei. Startups er avhengige av finansiering og alle beslutninger som tas må veies nøye ift kost-nytte.
Det krever utrolig mye innsats for å få hull på markedet. Vi har gjennomført flere titalls kundemøter og har per nå tre betalende kunder i løsninger og noen pilotprosjekter gående. Selv om vi ikke er eksperter på å selge, så er det å faktisk få lov til å komme og vise frem noe som ikke kommer av seg selv. Vi har vært heldige med å ha dyktige folk rundt oss som har hjulpet oss til å åpne dører.
Kort om søknader til slutt: Det er et eget fag å
skrive gode søknader. Vi har vært heldige som har fått hjelp og
veiledning fra eksperter. Andre erfaringer vi har gjort oss er at det er
viktig å ha tydelige arbeidspakker der leveransen er tydelig beskrevet
og lett å dokumentere. Dette gjør det lettere å rapportere. F.eks.
leveransen “Ny og oppdatert hjemmeside” er lett å dokumentere. “Etablert
stort kundenettverk” er kanskje ikke så enkel.
Videre, få på plass nødvendige systemer tidlig og vær nøye med å både
budsjettere timer på arbeidspakkene og føre de på prosjektet underveis.
Det er mye rapportering når man går samme vei som vi i Diri har gått.
Det har gått med mange hundre timer til søknadsskriving på veien mellom ide til prototype til salgbart produkt i Diri. Vi er langt fra i mål enda og ingenting er sikkert i innovasjonsverden, men midlene fra Forskningsrådet var en stor seier for oss. Disse gir oss rom til å vokse og fokusere på å gjøre Diri best mulig i tiden som kommer! Risikostyring til folket!