Kako bivša obveščevalca ameriška podjetja ščitita pred hekerji

Novembra 2022 so ruski računalniki prikrito pregledovali ameriške računalnike, ko so naleteli na past. Na omrežje 400 navideznih strežnikov z IP naslovi, za katere je bilo videti, da pripadajo resničnim podjetjem in organizacijam. Le da so to bile vabe, ki jih je hekerjem nastavilo finančno-tehnološko (fintech) podjetje Coalition iz San Francisca.

To združuje eno najstarejših industrij na svetu, zavarovalništvo, z najsodobnejšimi tehnikami za odkrivanje kibernetskih groženj. Direktor in soustanovitelj Coalitiona je Joshua Motta, 40-letni nekdanji analitik ameriške obveščevalne agencije CIA, ki podjetja ščiti pred hekerji.

Zavarovalci, ki delujejo kot hekerji

Coalition in njegov največji tekmec At-Bay, ki ima prav tako sedež v San Franciscu, od leta 2017 na novo oblikujeta način sklepanja in upravljanja kibernetskega zavarovanja. Stranke, ki jih ščitita pred hekerji, so zlasti za majhna in srednje velika podjetja. Stari, uveljavljeni zavarovalci so se zdeli brezupno zastareli. Potencialnim strankam so namreč pošiljali obrazce z osnovnimi vprašanji, kot je, ali imajo nameščeno protivirusno programsko opremo.

V nasprotju s tem pa so novinci pregledovali sisteme potencialnih strank, kot bi to storil heker. Včasih so zahtevali posebne varnostne nadgradnje, preden so se strinjali, da bodo sklenili zavarovanje. Drugič so jih preprosto zavrnili. “Naj za vas poskrbita varnostni podjetji AIG ali Chubb,” pravi Rotem Iram, direktor in soustanovitelj At-Bayja. Iram je 43-letni veteran ene od elitnih izraelskih vojaških kibernetskih obveščevalnih enot.

Dve storitvi za kibernetska zavarovanja v paketu

Tudi ko Coalition ali At-Bay že sprejmeta stranko, jo še naprej pregledujeta in ji pošiljata opozorila. Tako nadzorujeta svoje tveganje in tveganje strank pred hekerji. Mala podjetja, ki običajno ne plačujejo samostojnih storitev kibernetske varnosti, vendar so pripravljena plačati zavarovanje, dobijo oboje. Ne glede na to, ali jim je to všeč ali ne. Iram opisuje nenehno bitko za to, da bi stranke resno jemale tveganje.

“Ljudem je vseeno za varnost,” se pritožuje. “Ko predolgo delaš na področju varnosti, misliš, da je vsem toliko mar do tega kot tebi. Vendar nikomur ni mar.” Če stranka vztraja pri namestitvi programske opreme, ki je znana po tem, da lahko pride do vdora, ji At-Bay zagrozi s podvojitvijo zavarovalnih premij.

Ta kombinacija preverjanja, budnosti in vztrajnih opozoril je obema podjetjema omogočila, da zaračunavata nižje premije zavarovanj pred hekerji, si pridobita naklonjenost zavarovalnih posrednikov in utrdita položaj na trgu. Seveda je pomagalo tudi to, da je bil kibernetski sektor ob njunem vstopu na trg nova niša in da so med pandemijo eksplodirali tako kibernetski napadi kot tudi povpraševanje po zavarovanju proti njim. Po podatkih analitskega podjetja CyberCube iz San Francisca je skupen obseg premij v ZDA z manj kot milijarde dolarjev leta 2012 poskočil na približno 11 milijard dolarjev v letu 2023.

Zavarovanja pred hekerji običajno krijejo stroške sanacije, preiskave, izgube posla in pravne stroške, povezane z vsem, od napadov z izsiljevalsko programsko opremo in shem ogrožanja poslovne e-pošte, pri katerih kriminalci nekoga z zvijačo prisilijo v plačilo lažnega računa, do kršenja zasebnosti.

Kibernetska zavarovanja hitro rastejo

Motta navaja naslednji primer. Leta 2020 se je heker, ki je izrabil prijavo enega samega zaposlenega, lahko pomikal po računalniških sistemih destilarne v Kansasu in zaustavil celotno delovanje. “Tesnila na različni opremi, po kateri se je pretakala tekočina, so se posušila in razpokala,” pravi Motta, kar je povzročilo materialno škodo.

Coalition in njegove pozavarovalnice so na koncu podjetju plačali približno dva milijona dolarjev odškodnine. Ta je vključevala skoraj milijon dolarjev za izgubljeni prihodek, hekerji so dobili 600.000 dolarjev odkupnine za ponovno vzpostavitev delovanja omrežja ter stroške odvetnikov in strokovnjakov za digitalno forenziko. Destilarna je sicer sklenila polico z limitom 10 milijonov dolarjev in je letno plačevala le 21.000 dolarjev premij z odbitno franšizo 25.000 dolarjev.

Skupen obseg premij je v ZDA z manj kot milijarde dolarjev leta 2012 poskočil na približno 11 milijard dolarjev v letu 2023.

Danes bi takšna polica pri Coalitionu stala vsaj 120.000 dolarjev, za podjetje s slabim varnostnim nadzorom pa še veliko več. Vendar se cene morda končno izenačujejo. Po skoraj treh letih velikih skokov so se povprečne premije za kibernetska zavarovanja leta 2023 dejansko znižale za približno 20 odstotkov. Na trg je namreč vstopilo več zavarovalniških podjetij, številne stranke pa so okrepile svojo obrambo.

Čakajoč na dobiček

Kljub nižjim cenam je Coalition lani obračunal več kot 630 milijonov dolarjev bruto premij. To je več kot 15 odstotkov več kot leta 2022. Medtem ko je At-Bay obračunal 301 milijon dolarjev, kar je 20 odstotkov več. Toda to so seveda bruto premije kibernetskih zavarovanj: Coaltion obdrži le 10 odstotkov tveganja, At-Bay pa 20 odstotkov. Preostali del tveganja in velik del premij prevzamejo velike zavarovalnice in pozavarovalnice, kot sta Swiss Re in Munich Re. Neto prihodki Coalitiona so lani znašali skoraj 300 milijonov dolarjev, At-Bay pa jih je zabeležil več kot 110 milijonov dolarjev.

Čeprav ne Coaltion ne At-Bay še nista dobičkonosna, njuna rast izstopa v zahtevnem sektorju fintech. Prislužila sta si mesto na Forbesovem seznamu 2024 Fintech 50, ki je izšel 13. februarja. Oba imata še sredstva na banki, a če bi morala kmalu zbrati več kapitala, bi morala glede na stanje v panogi verjetno sprejeti znižanje vrednotenja. Coalition je nazadnje zbiral sredstva leta 2022 ob oceni vrednosti pet milijard dolarjev. Tako je Mottov več kot 20-odstotni lastniški delež po naši oceni vreden nekaj manj kot milijardo dolarjev.

Veliki za vratom

Nobeden od njiju še ni utrpel katastrofalne izgube – kar je vedno tveganje. Poleg tega je tu še ena velika nevarnost, s katero so se soočili drugi inovatorji na področju fintecha, vključno z robotskimi finančnimi svetovalci. Veliki, že uveljavljeni ponudniki lahko posnemajo vaše ideje in vas morda premagajo v vaši lastni igri.

David Lewison iz družbe Amwins, ki za mala in srednje velika podjetja sklene za 500 milijonov dolarjev kibernetskih zavarovanj na leto, ugotavlja, da so nekatere uveljavljene zavarovalnice pregled omrežja morebitne stranke zdaj uvedle kot standardni del svojih ocen tveganja. Vendar pravi, da so po njegovih izkušnjah Coalition, At-Bay in Corvus najhitreje in najbolj agresivno začeli aktivno iskati šibke točke in opozarjati svoje stranke na težave.

Čisti prihodki Coalitiona so lani znašali skoraj 300 milijonov dolarjev, At-Bayja pa več kot 110 milijonov dolarjev.

Corvus? To je tretje fintech podjetje za kibernetsko zavarovanje, ustanovljeno leta 2017. Družba Travelers ga je kupila v začetku leta 2024 za 435 milijonov dolarjev. To je veliko manj od 750 milijonov dolarjev, na kolikor so ga ocenili ob zbiranju sredstev leta 2021, vendar dva in pol krat več od 170 milijonov dolarjev, ki so jih vanj vložili vlagatelji.

Pomembni pravočasni popravki

Tudi ko sedi za konferenčno mizo na sedežu podjetja At-Bay v San Franciscu, je 193 cm visoki Iram višji od svojih zaposlenih. Na sestanku ga obveščajo o vplivu ranljivosti, znane kot Citrix Bleed, povezane s Citrixovo tehnologijo oddaljenega dostopa, ki jo je proizvajalec razkril in zanjo izdal popravek 10. oktobra 2023.

Potem ko so raziskovalci drugih podjetij ugotovili, kako jo je mogoče izkoristiti, so inženirji At-Baya v Tel Avivu hiteli z izdelavo kode, s katero bi ugotovili, katere stranke bodo najverjetneje postale žrtve. Dokončati so jo uspeli v dveh dneh in identificirali 345 strank (od 35.000), ki uporabljajo omenjeni izdelek. Individualno so stopili v stik s 70 najbolj ogroženimi strankami in obenem pozvali vseh 345 strank, naj uporabijo Citrixov popravek. V šestih tednih jih je to storilo 334.

Pravočasna uporaba popravkov je ključnega pomena. Ko je Citrix zaznal in opozoril na ranljivost, so se začeli pojavljati hekerji oziroma skupine z imeni, kot so Lockbit, Medusa in Alphv. Citrix Bleed je bil doslej kriv za vdore v podjetja, kot so Boeing, Toyota Financial Services in ICBC, velika kitajska banka v državni lasti.

Decembra je Comcastova internetna storitev Xfinity obvestila 36 milijonov uporabnikov, da so bila morda razkrita njihova uporabniška imena, rojstni podatki, varnostna vprašanja in deli številk socialnega zavarovanja. Vendar je le pet podjetij pri At-Bayu vložilo zahtevke za odškodnino zaradi ranljivosti Citrix Bleed. Po pričakovanjih naj bi bila skupna škoda manj kot dva milijona dolarjev.

Pri 18 letih v izraelski obveščevalni enoti

Iram je moral po napadu teroristov Hamasa na Izrael 7. oktobra in poznejši izraelski invaziji na Gazo premisliti o veliko stvareh. “Vse skupaj je bilo za nas izjemno travmatično,” pravi. Petina od njegovih 110 zaposlenih v Izraelu je bila mobilizirana in poslana v boj, zato je bilo treba odložiti nekatere manj prednostne projekte, medtem ko so se drugi uslužbenci trudili, da bi prevzeli breme nase.

Vodja At-Baya je začel obvezno služenje vojaškega roka pri 18 letih in bil dodeljen izraelski obveščevalni enoti 8200, ki je znana po tem, da so iz nje prišli zvezdniki kibernetske varnosti. Med njimi sta podjetnik in milijarder Gil Shwed, direktor in soustanovitelj podjetja Check Point Software, ter Assaf Rappaport, direktor in soustanovitelj podjetja Wiz, ki se ukvarja z varnostjo v oblaku. Iram je v enoti ostal pet let in končal kot stotnik, ki je bil nadrejen 300 ljudem.

Nato je na Hebrejski univerzi v Jeruzalemu diplomiral iz računalništva, se zaposlil na področju programskega inženirstva in kot svetovalec družbe McKinsey pridobil diplomo MBA na Harvardu in vodil oddelek kibernetske varnosti v globalnem svetovalnem podjetju s področja tveganj K2 Intelligence (zdaj K2 Integrity) s sedežem v New Yorku.

Pred osmimi leti na svojo poslovno pot

Leta 2016 je K2 zapustil in začel delati na svojem zagonskem podjetju s tremi soustanovitelji in manjšo podporo HSB, tehnološke enote Munich Re. At-Bay je uradno začel delovati leta 2017, med drugim s semenskim kapitalom Lightspeed Venture Partners. Ko je leta 2020 zaradi velikega števila napadov hekerjev z izsiljevalsko programsko opremo mnogo uveljavljenih zavarovalcev znižalo omejitve kritja in zvišalo cene, je At-Bay stopil na plin.

“Vsi drugi so pobegnili,” pravi Iram. Bruto premije so se povečale z 20 milijonov dolarjev v letu 2020 na 120 milijonov dolarjev leta 2021. Doslej je At-Bay s svojim pristopom, ki temelji predvsem na tehnologiji, pomagal zmanjšati izgube. Delež nastalih škod pri njem za leto 2022 (zadnje leto z relevantnimi podatki, saj je za uveljavljanje zahtevkov potrebnih več mesecev) je bil 29 odstotkov v primerjavi s 45-odstotnim povprečjem 20 največjih kibernetskih zavarovalnic s sedežem v ZDA.

Skušnjava širitve nabora produktov

At-Bay se danes vse bolj osredotoča na izdelavo varnostne programske opreme, ki jo prilagaja na svoja kibernetska zavarovanja. Orodje za spremljanje ranljivosti pred hekerji je standardno vključeno v njegove police. Pred kratkim je dodal še program za odkrivanje in odzivanje, ki stane približno 5.000 dolarjev na leto in se poveže z notranjimi sistemi strank, spremlja njihove računalnike in zagotavlja strankam posebej prilagojeno podporo za odkrivanje groženj.

Iram želi razširiti ponudbo varnostne programske opreme, vendar se je uprl skušnjavi, ki ji je Motta na primer podlegel, in sicer, da bi razširil nabor zavarovalniških produktov At-Baya. Njegovo podjetje je doslej zbralo 292 milijonov dolarjev od vlagateljev, pri zadnjem zbiranju denarja sredi leta 2021 pa je bilo ocenjeno na 1,4 milijarde dolarjev. At-Bay pravi, da ima v banki še vedno skoraj 200 milijonov dolarjev.

Domača pisarna kot Fort Knox

“Če uporabljate računalnik in internetno povezavo, imate kibernetsko tveganje,” pravi Motta, katerega nabor strank obsega vse od zdravniških ordinacij do ekip NFL, proizvajalcev pekočih omak in start upov s področja kripto valut. Sedi v svoji domači pisarni v prestižni losangeleški soseski Pacific Palisades s pogledom na ocean. Pred njegovo ograjo je šest tabel, ki oznanjajo, da ima hiša 24-urno varovanje in kamere. “To je kot Fort Knox,” pravi. Pri tem delu je samozaščita pred hekerji nujna. Ko se nekdo zaposli v Coalitionu ali At-Bayu in to objavi na omrežju LinkedIn, ga običajno zasujejo z lažnimi sporočili, ki naj bi jih poslal novi direktor.

Pri 12 letih izdeloval spletne strani

Motta je odraščal v predmestju Kansas Cityja, z internetom pa sta ga že zgodaj okužila strica, ki sta delala na področju omrežne tehnologije. Pri 12 letih je izdeloval spletne strani za lokalne nepremičninske posrednike. Ko je imel 15 let, je za 15 dolarjev na uro dobil poletno programersko delo pri Microsoftu, kjer so bili navdušeni nad programsko opremo za nakupovalno košarico, ki jo je ustvaril za DogToys.com in druge.

Med predavanji na smeri mednarodne študije na Univerzi v Chicagu je za polovični delovni čas delal kot analitik pri agenciji CIA. Tam je preučeval hekerske akcije ameriških nasprotnikov. Po diplomi se je preizkusil v investicijskem bančništvu pri banki Goldman Sachs v Londonu. Kratek čas je delal na področju zasebnega in tveganega kapitala. Nato pa leta 2011 postal 20. zaposleni v podjetju Cloudflare, ki se ukvarja z varnostjo internetne infrastrukture.

Kako je nastal Coalition

Leta 2016 je skupaj z Maxom Kellyjem, nekdanjim Facebookovim direktorjem za varnost, in Johnom Heringom, ustanoviteljem varnostnega podjetja Lookout, ustanovil Redacted. Medtem ko je Kelly želel ustvariti varnostno tehnologijo za velika podjetja, se je Motta osredotočil na kibernetska zavarovanja. Zato sta Hering in Motta zasnovala Coalition. Vlagatelji so ju podprli z 10 milijoni dolarjev. Coalition je svoje rojstvo naznanil 5. decembra 2017, tri tedne po zagonu At-Baya.

Motta je Coalition že od prvega dne zastavil tako, da je rasel hitreje kot At-Bay. Obe podjetji sta imeli odlične tehnologije, ki ščitijo pred hekerji, nizke cene in hitro sklepanje pogodb. Motta pa je dodal ključno človeško komponento. Zaposlil je veterane zavarovalniške industrije, ki so imeli že vpeljane odnose z neodvisnimi posredniki, ki prodajo večino poslovnih zavarovanj. To mu je pomagalo hitreje izkoristiti povečanje povpraševanja v letu 2020.

Tvegani prevzem

Motta je bil tudi bolj odločen pri izkoriščanju tveganega kapitala, ki je v času pandemije preplavilo fintech industrijo. Do sredine leta 2022 je njegovo podjetje zbralo 770 milijonov dolarjev. A je ta velika vsota omogočila tudi veliko napako. Coalition, poln tveganega kapitala, je leta 2021 plačal 200 milijonov dolarjev za nakup zavarovalnice Attune. Ta je služila 15.000 posrednikom, ki so prodajali vse vrste polic za mala podjetja za zaščito pred hekerji. Police so vključevale od poklicne odgovornosti in odškodnin delavcev do poplavnega zavarovanja.

Ko je imel Motta 15 let, je za 15 dolarjev na uro dobil poletno programersko delo pri Microsoftu.

Attune je že tako izgubljal denar, po orkanu Ian, ki je septembra 2022 prizadel Florido, pa se je njegovo finančno stanje še poslabšalo. Po samo 15 mesecih je Motta podjetje prodal. Coalition seveda ne bo povedal, za koliko ga je prodal. A po navedbah vira, ki je bil seznanjen s poslom, je šlo za veliko izgubo. Motta v svojo obrambo poudarja, da si je Coalition v okviru prodaje zagotovil pravico, da postane ekskluzivni prodajalec na platformi Attune. To naj bi bil, kot zdaj vztraja, tudi njegov prvotni cilj.

Coalition je razširil ponudbo zaščite pred hekerji na še eno zavarovalno nišo: kritje odgovornosti za direktorje in druge vodilne delavce. “Želimo postati prevladujoči ponudnik zavarovanja za digitalno poslovanje,” pravi Motta.

Coalition in At-Bay se soočata z večjim sistemskim izzivom. Kljub hitri rasti kibernetskega zavarovanja v zadnjih nekaj letih nekateri poznavalci panoge dvomijo o njegovi trajnosti. Bojijo se, da se sheme hekerjevspreminjajo prehitro in da je večina strank še vedno nepripravljenih. To vzbuja skrb pred morebitnim katastrofalnim dogodkom, ki bi povzročil škodo v višini več deset milijard dolarjev.

Avtor članka je Jeff Kauflin.