I juni 2020 stiftet vi Diri AS. 1. januar 2021 startet jeg som fulltidsgründer, og i november blir vi to fulltidsgründere på utkikk etter 3 fulltidsmedarbeidere. Vil du vite hvordan det gikk til? Les videre! I forrige innlegg gikk jeg igjennom forskningen, praksisen og erfaringene fra å bygge et risikostyringsprogram for universitetet. I dette innlegget går jeg igjennom erfaringene vi gjorde oss på veien til å bli en liten tech-startup.

Cyber risk assessor!

Jeg hadde helt siden jeg startet å undervise sett at vi trengte noe for å få fart på området risikostyring av informasjonssikkerhet. Dette behovet utkrystalliserte seg når vi arbeidet med problemstillingene på NTNU digital sikkerhet fra midten av 2017: Av grunner jeg gikk igjennom i forrige innlegg holdt ikke vår hybride dobbeltarbeidstilnærming med excel-ark og Risk manager.
Siden jeg ikke er noe særlig til programvareutvikler, prøvde jeg å selge inn prototyping av risikostyringssoftware til bachelorstudenter gjennom et par år uten hell. Selv under det fantastiske prosjektnavnet “Cyber risk assessor” var det ingen som tok agnet hverken høsten 2017 eller høsten 2018.

Figur 1 — Et utdrag fra oppgavebeskrivelsen Cyber Risk Assessor fra høsten 2017.

Selv om ambisjonene ikke var å få et ferdig fungerende produkt fra bacheloroppgaven, ville det vært lettere å skaffet mere støtte med en prototype å vise frem. Slik gikk det altså ikke. Årsaken til at ingen ville ha oppgaven var nok at studentene hadde mye å velge mellom, for navnevalget var det i hvert fall ingenting å si på!

Vi får vel gjøre det selv da…

Ingen studenter ville ha oppgaven jeg foreslo. I tillegg var det krevende tider internt på IT avdelingen og det virket umulig å få intern finansiert et utviklingsprosjekt. Vi undersøkte markedet etter GRC (governance, risk & compliance) verktøy som passet behovet vårt, men kom til kort. Ikke misforstå, det var flere helt greie verktøy der ute, men det var ett eller annet med alle av de som utgjorde store hinder for at vi skulle kunne lykkes: Jeg fortalte om Excel-helvete i forrige post om dette, og med så mange system i IT-porteføljen må systemeiere kunne gjøre mye av jobben selv.

I mai 2019 deltok jeg på et seminar om NTNU TTO, hovedoppgaven deres er å skape verdier av forskningsresultater og hjelpe forskere med ta ideer ut i marked. Dette virket interessant og vi hadde massevis av forskning vi kunne bygge på. Vi hadde blandt annet jobbet med risikoanalyse av hendelsesdata fra NTNU SOC  de siste årene, og i tillegg hadde vi Ph.D. avhandlingen min og massevis av praktisk erfaring fra gjennomføring av risikovurderinger.

Etter dialog med TTO, leverte jeg og kollega Vebjørn Slyngstadli inn et forslag til innovasjonsprosjekt til TTO under det fantastiske dekknavnet, , Cyber risk assessor. Ingen grunn til forandring når man allerede er cyber.
NTNU TTO er hovedårsaken til at vi fikk Diri ut av startgropen: De kjenner alle mekanismene for å utløse støtte til å drive innovasjonsarbeid. Denne kunnskapen er uvurderlig i innovasjonsprosjekter siden det aldri blir nok av penger.
TTO hadde også nettverket som satte oss i kontakt med Bjørn Oustad og Kong Arthur AS i Brumunddal. De har vært softwareutviklerne våre hele veien fra oppstart. De hadde tidligere vært med og utviklet en lignende løsning for GDPR, kalt VARN, og skjønte med en gang poenget og hvor vi ville.

Å skrive søknader for å løse ut finansiering…

Når man starter innovasjonsprosjekt har man enten egenkapital eller investorer, eller så skriver man søknader. Og vi har skrevet søknader; MANGE sider med tekst for å løse ut finansiering, men det har vært helt nødvendig for å komme seg ut av startgropen. En ting som er greit å vite om når man søker på finansiering fra det offentlige er at det er mye rapportering for å få utbetalt midlene, og ofte utbetales ikke store summer før ved sluttrapporteringen av prosjektet. Dette er en utfordring ettersom man ofte trenger pengene og likviditet underveis i prosjektet.
Videre er det greit å merke seg at de tilgjengelige pottene er reservert til forskjellige formål. Noen potter kan brukes til utvikling og andre er reservert til kommersialisering og bedriftsetablering. Som nevnt, var kunnskapen til TTO avgjørende for vår del for å vite hva vi kunne søke når. I teksten under har jeg kort oppsummert rekkefølgen vi søkte, hvor og hva vi fikk støtte til.

Søknad 1: Høst 2019, Ide/Konsept/Prototype: NTNU Discovery

Vi startet med å søke finansiering fra NTNU Discovery sommeren 2019. De støtter ideer fra forskningsresultater med å gå fra ide til en proof-of-concept. Vi fikk utløst penger fra Discovery høsten 2019 og startet på prototypen sammen med Kongen selv og noen utvalgte riddere.

CRA Prototype risikoanalyse (mars/april 2020) med en enkel risikovurdering av coronavirus
Dashboard prototype fra våren 2020.

Søknad 2: Vår 2020, Videreutvikling: Næringsprogrammet i Gjøvikregionen

Her søkte vi om støtte for videre markedsarbeid med rekrutering av pilotkunder, testing, osv… Vi brukte mye tid på markedet for å innhente tilbakemeldinger om hvordan produktet burde utformes og viktig funksjonalitet. Vi videreutviklet løsningen, endret navn til Diri, og påbegynte spesielt arbeidet med å sikre applikasjonen. Støtten gikk også til å etablere nødvendige backoffice-systemer, regnskapsføring og CRM.

Søknad 3: Sommer/høst 2020 Pilotering av redskap: Forskningsrådet FORNY Milepælsprosjekt

Dette prosjektet hadde to primæroppgaver: 1. Å sette opp en skyinfrastruktur for applikasjonen, og 2. å se til at sikkerheten ble ivaretatt. Vi kjøpte inn tjenester fra Ironstone AS, spesialister på Microsoft Azure-infrastruktur, til å sette opp den underliggende infrastrukturen sikkert, og til å få applikasjonen til å kjøre. Videre hadde vi et student-lag fra NTNU, tidligere studenter av meg, til å penetrasjonsteste applikasjonen for å hardne skyinfrastrukturen. Disse ble veiledet i metodikk og tilnærming av dyktige Espen Torseth.

Initielt design av Diri med overordnet businesside og markedsmulighet. (Litt villedende tekst til venstre i figuren hvor det ser ut som vi skal drive nettverksscanning.)

I juni 2020 etablerte vi Diri AS som et spinn-off selskap fra NTNU med en høytidelig markering:

Fra Innsida på NTNU.

Søknad 4: Vinter 2020-21 Kommersialisering: Innovasjon Norge

Innovasjon Norge tilbyr støtte til kommersialisering av produkter fra startups. Med tilslag på denne søknaden sluttet jeg i jobben som sikkerhetsrådgiver på NTNU og beholdt bare 20% undervisning.

Hos Innovasjon Norge søkte vi kommersialiseringstilskudd til primært to arbeidspakker: 1. Etablere og implementere nødvendige prosesser og prosedyrer for kommersialisering. Her inngikk det å anskaffe og etablere kundehåndtering og faktureringssystemer med tilhørende rutiner og prosessdokumentasjon.

Skal ikke skrive altfor langt om arbeidspakke 2. Markedsverifisering, men kan si at det var mye arbeid og omfattende. Her arbeidet vi blant annet med kontraktuelle og juridiske forhold som må være på plass for at vi kunne selge. Videre arbeidet vi med produktdokumentasjon, forretningsmodell, markedsstrategi og markedsføring. Vi videreutviklet hjemmesiden fra opprinnelig versjon til nåværende. Det er fortsatt en vei å gå, men store forbedringer: I oppstarten tenkte vi mye på at Diri skulle være med å påpeke hullene i den digitale infrastrukturen, og hvordan bedre å illustrere det enn en murvegg meg hull?

Opprinnelig bakgrunnsbilde for Diri.ai

Vi fikk knusende feedback på denne murveggen: Folk sa at det så ut som at vi har feil på websiden og at muren tilsier at vi var lite tilgjengelige! Pytt pytt! De kjenner ikke kunst når de ser det!

Et viktig steg i denne arbeidspakken var å lodde interessen og sette i gang med pilotprosjekter. Vi fikk etterhvert flere til å bruke verktøyet og mottok mye nyttig feedback, både ris og ROS.

Det å bestemme når et produkt er salgbart handler om personlig oppfattelse. Internt i Diri ville de mer garvede forretningsfolkene selge tidligere enn teknologene. Jeg syns ikke det er lett å bestemme når et produkt er bra nok til å ta betalt for det, men Diri gikk over til bra nok i løpet av tidlig vår 2021, mener jeg.

Søknad 5: Vår/Sommer 2021 Oppskalering og ut i marked: Verifikasjonsprosjekt Forskningsrådet

Våren 2020 søkte vi Verifikasjonsprosjekt fra Forskningsrådet som skal hjelpe startups ut i markedet ved å bidra til økt kommersiell anvendelse av offentlig finansiert forskning i Norge. Her fikk vi full pott på 5 millioner i støtte og med det er vi sikret drift og utvikling frem til ut våren 2023. Vi kommer til å bruke midlene til å ansette flere folk. Arbeidspakkene som vi fikk støtte til går i korte trekk ut på:
1. Videreutvikle kjernefunksjonaliteten i verktøyet.
2. Utvikle funksjonalitet for maskinlæring og prediksjon i verktøyet.
3. Forbedre plattformen og brukervennligheten.
4. Skaffe oss sammarbeidspartnere og markedsverifisering
5. Strategi og forretningsutvikling

Erfaringer som er verdt å ta med seg

Det er jælma langt mellom en god ide og et godt produkt. Og førstnevnte er det mange av… Hadde det vært enkelt hadde flere gjort det.

Først og fremst, vil jeg si at uten kunnskapen til NTNU TTO hadde vi ikke kommet oss ut av startgropen. Som dere har lest, prøvde jeg andre veier i 2 år uten å komme meg noen vei. Startups er avhengige av finansiering og alle beslutninger som tas må veies nøye ift kost-nytte.

Det krever utrolig mye innsats for å få hull på markedet. Vi har gjennomført flere titalls kundemøter og har per nå tre betalende kunder i løsninger og noen pilotprosjekter gående. Selv om vi ikke er eksperter på å selge, så er det å faktisk få lov til å komme og vise frem noe som ikke kommer av seg selv. Vi har vært heldige med å ha dyktige folk rundt oss som har hjulpet oss til å åpne dører.

Kort om søknader til slutt: Det er et eget fag å skrive gode søknader. Vi har vært heldige som har fått hjelp og veiledning fra eksperter. Andre erfaringer vi har gjort oss er at det er viktig å ha tydelige arbeidspakker der leveransen er tydelig beskrevet og lett å dokumentere. Dette gjør det lettere å rapportere. F.eks. leveransen “Ny og oppdatert hjemmeside” er lett å dokumentere. “Etablert stort kundenettverk” er kanskje ikke så enkel.
Videre, få på plass nødvendige systemer tidlig og vær nøye med å både budsjettere timer på arbeidspakkene og føre de på prosjektet underveis. Det er mye rapportering når man går samme vei som vi i Diri har gått.

Konklusjon

Det har gått med mange hundre timer til søknadsskriving på veien mellom ide til prototype til salgbart produkt i Diri. Vi er langt fra i mål enda og ingenting er sikkert i innovasjonsverden, men midlene fra Forskningsrådet var en stor seier for oss. Disse gir oss rom til å vokse og fokusere på å gjøre Diri best mulig i tiden som kommer! Risikostyring til folket!