Kako su dva bivša špijuna uspjela na tržištu cyber osiguranja vrijednom 11 milijardi dolara
Fintech startupove Coalition i At-Bay osnovali su veterani sigurnosnih i špijunskih agencija koji koriste svoje tehnološke vještine kako bi transformirali brzorastući biznis zaštite kompanija od hakera.
U studenom 2022. godine, ruska računala su potajno skenirala ona američka, ali upali su u zamku: mrežu od 400 virtualnih servera s IP adresama koje su izgledale kao da pripadaju stvarnim kompanijama i organizacijama. Ipak, to su bili mamci koje je postavila tvrtka Coalition. Sa sjedištem u San Franciscu, Coalition je kombinacija jedne od najstarijih industrija na svijetu – osiguranja – i najsuvremenijih tehnika otkrivanja cyber prijetnji. “Ne postoji nikakav legitiman razlog zašto bi se netko pokušao spojiti na ijedan od tih servera,” kaže izvršni direktor i suosnivač Coalitiona, Joshua Motta, 40-godišnji bivši analitičar u CIA-i.
U Coalitionu su primijetili da uljezi traže prisutnost programa MOVEit koji se koristi za slanje velikih datoteka, koje često sadržavaju povjerljive informacije. Poslali su mailove četvorici svojih klijenata za cyber osiguranje koji koristili program MOVEit i pozvali ih da softver zaštite virtualnom privatnom mrežom.
Šest mjeseci kasnije, tvrtka koja prodaje MOVEit, Progress Software, objavila je kako program ima kritičnu slabost i izdala ispravak. Ipak, zlogalsna ruska banda za ransomware, Clop, već je iskoristila tu manu kako bi se duboko uvukla u mreže nekih organizacija i bilo je sigurno da će tražiti novac kako ne bi objavili ukradene podatke. Coalition je ponovno skenirao svoje klijente i pronašao da 19 tvrtki – čiji prihodi su se kretali od 10 milijuna do čak milijardu dolara – koriste program. Poslali su hitan email i savjetovali im da primijene izdani popravak. Četrnaest kompanija to je učinilo unutar mjesec dana.
Čini se da se toliki oprez isplatio. Nijedan od 85.000 klijenata Coalitiona dosad nije prijavio probleme vezane za MOVEit. To nije loše ako se uzme u obzir da je greška rezultirala curenjem osobnih ili korporativnih podataka od nekoliko tisuća organizacija i preko 90 milijuna pojedinaca.
Nove metode
Od 2017. godine, Coalition i njegov najveći konkurent, At-Bay (također sa sjedištem u San Franciscu), mijenjaju način upravljanja cyber sigurnošću, pogotovo za malene i srednje klijente. Stariji osiguravatelji izgledali su im beznadno pregaženi vremenom: slali su potencijalnim klijentima formulare s pitanjima poput jesu li instalirali nekakav antivirusni program. Ovi novi igrači industrije su pak skenirali sustave potencijalnih klijenata onako kako bi to mogli raditi hakeri. Ponekad su čak i zahtijevali konkrenta poboljšanja u sigurnosti prije nego su ih pristali osigurati. U drugim slučajevima bi ih jednostavno odbili. “Dat ćemo vas AIG-u ili Chubbu,” govori izvršni direktor i suosnivač At-Baya, Rotem Iram, 43-godišnji veteran jedne od elitnih izraelskih vojnih obavještajnih jedinica.
Motta kaže kako je Coalition odbio jedan teksaški školski okrug 2020. godine jer su skeniranjem otkrili da neke od njihovih IP adresa “razgovaraju s infrastrukturom poznate hakerske skupine.” Kada se okrug pet mjeseci kasnije ponovno prijavio, dodaje, Coalition je saznao kako su u međuvremenu zaista i bili hakirani i da su podnijeli zahtjev za odštetu od 2 milijuna dolara kod jedne druge osiguravajuće tvrtke koja nije bila dovoljno vješta.
Čak i nakon što Coalition ili At-Bay prihvate klijenta, nastavljaju ga skenirati i slati obavijesti kojima kontroliraju i vlastiti, ali i rizik za klijente. Ukratko rečeno, malene tvrtke koje nisu tradicionalno plaćale za samostalne usluge cyber sigurnosti, ali spremni su platiti za osiguranje, ovako dobivaju oboje – sviđalo im se to ili ne. Iram opisuje konstantne bitke koje mora voditi kako bi klijenti rizike shvatili ozbiljno.
“Ljude nije briga za sigurnost,” žali se. “Kada radite u tom polju dovoljno dugo, počnete misliti da je svima to toga stalo isto koliko i vama. Istina je da nikome nije stalo.”
Ako klijenti inzistiraju na instaliranju softvera koje je notorno po svojim slabostima, kaže, At-Bay im zaprijeti udvostručivanjem premija.
Ta kombinacija analize, opreza i pritiska omogućila je ovim kompanijama da naplaćuju niže premije, čime su zadobili naklonost posrednika u osiguranju i ulaz na tržište. Naravno, pomoglo im je da je u njihovim počecima tržište cyber osiguranja bilo maleno, kao i činjenica da su i cyber napadi i potražnja za osiguranje protiv njih eksplodirali tijekom pandemije. Ukupno su premije za cyber osiguranje u SAD-u narasle od manje od milijardu dolara 2012. godine na oko 11 milijardi dolara 2023. godine, pokazuju podaci analitičke tvrtke CyberCube.
Police uglavnom pokrivaju sanaciju, istragu, gubitke u poslovanju i pravne troškove vezane za sve od ransomware napada i lažnih poslovnih mailova u kojima zločinci nekoga na prijevaru namame da plati lažni račun, do kršenja privatnosti.
Agresivno traženje slabosti
Motta nudi ovaj jezivi primjer: 2020. godine haker se preko korisničkih podataka samo jednog zaposlenika uspio lateralno kretati sustavima jedne destilerije u Kansasu i ugasiti čitavu operaciju. “Brtve koje su zatvarale razne dijelove opreme kojom se prenosila tekućina su se osušile i popucale,” kaže Motta, i tako izazvale štetu na posjedu. Coalition i njegovi reosiguratelji na kraju su platili oko 2 milijuna dolara kompaniji, uključujući gotovo milijun dolara gubitaka u poslovanju, 600.000 dolara otkupnine kako bi se mogli vratiti online i naknade za odvjetnike i stručnjake za digitalnu forenziku. Tvrtka je kupila policu s limitom od 10 milijuna dolara i plaćala je samo 21.000 dolara godišnje premije, s odbitkom od 25.000 dolara.
Danas bi takva polica u Coalitionu stajala najmanje 120.000 dolara, a mnogo više za kompaniju s lošom kontrolom sigurnosti. No moguće je da se cijene napokon balansiraju. Nakon gotovo tri godine oštrog rasta, prosječna premija čak se 2023. smanjila za 20 posto, budući da je na tržište ušlo mnogo novih osiguravatelja, a klijenti su pojačali svoju obranu. Usprkos nižim cijenama, Coalition je u bruto premijama prošle godine ispisao preko 630 milijuna dolara (15 posto više u odnosu na 2022.), dok je At-Bay ispisao 301 milijuna dolara (20 posto više u odnosu na prethodnu godinu). Treba još jednom naglasiti da su to bruto premije: Coalition zadržava samo 10 posto rizika, a At-Bay 20 posto. Ostatak rizika i veliki dio premija prelijeva se na velike nositelje i reosiguratelje kao što su Swiss Re i Munich Re. Neto prihodi prošle godine za Coalition su iznosili gotovo 300 milijuna dolara, a za At-Bay preko 110 milijuna dolara.
Iako nijedan startup još ne donosi profit, njihov rast ističe se u fintech sektoru koji trenutno pliva u problemima. Obje tvrtke imaju novca na računima, no ako bi uskoro željele prikupljati kapital, vjerojatno bi morale umanjiti vrijednost kompanija zbog stanja u industriji. Coalition je 2022. prikupljao investicije po procjeni vrijednosti od 5 milijardi dolara, što znači da Mottin udio od nekih 20 posto vrijedi nešto ispod milijardu dolara.
Ni Coalition ni At-Bay dosad nisu pretrpjeli katastrofalne gubitke, no taj rizik uvijek je prisutan. Usto, postoji i još jedan problem na koji su naletjeli fintech inovatori, uključujući i robo-financijske savjetnike: Veliki igrači u industriji uvijek mogu oponašati vaše ideje i možda vas pobijediti na vašem terenu. David Lewison, lider nacionalnih praksi u tvrtci za posredovanje u osigurnanju Amwins (koja ispisuje 500 milijuna dolara godišnje cyber osiguravateljskih premija za malena i srednja tržišta), naglašava kako Chubb i neki drugi uspješni osiguravatelji sada provode skeniranja mreže kao standardni dio svojih procjena rizika. Ipak, kaže on, Coalition, At-Bay i Corvus bili su najraniji i najagresivniji u aktivnom skeniranju slabnosti i informiranja klijenata o problemima.
Corvus je treći fintech za cyber osiguranje osnovan 2017. godine. Tvrtka Travelers kupila ga je početkom 2024. godine za 435 milijuna dolara, što je veliki popust u odnosu na 750 milijuna dolara procijenjene vrijednosti prilikom investicijskog kruga 2021, ali ipak dva i pol puta više od 170 milijuna dolara koliko su investitori dali tvrtci.
‘U našem svijetu sve je loše’
Čak i dok sjedi za stolom u sjedištu svoje tvrtke u San Franciscu, 193 centimetra visoki Iram strši iznad svojih zaposlenika. U to siječanjsko jutro oni su ga informirali o posljedicama “Citrix Bleeda”, slabosti povezane s Citrixovom tehnologijom za pristup na daljinu koju je tvrtka objavila i za nju izdala ispravak 10. listopada 2023. godine. Nakon što su istraživači treće strane shvatili kako bit se ta slabost mogla iskoristiti, inženjeri At-Baya, bazirani u Tel Avivu, pojurili su sastaviti kod kako bi odredili koji klijenti bi mogli postati žrtve. Završili su u dva dana, identificirajući 345 klijenata (od 35.000) koji koriste taj proizvod. Pojedinačno su kontaktirali njih 70 koji su bili u najvećoj opasnosti, a istovremeno su pozvali svih 345 da primijene Citrixov ispravak. Unutar šest tjedana, to je učinilo njih 334.
Ključno je ispraviti slabosti na vrijeme. Nakon što je Citrix objavio da postoji slabost, hakerske skupine kao što su Lockbit, Medusa i Alphv počele su kružiti oko plijena. Dosad se Citrix Bleedu pripisuje odgovornost za proboje u tvrtkama među kojima su i Boeing, Toyota Financial Services i ICBC, ogromna kineska državna banka. U prosincu je Comcastova internetska usluga Xfinity obavijestila svojih 36 milijuna klijenata kako su možda procurili njihovi osobni podatci, uključujući njihova imena, datume rođenja, sigurnosna pitanja i dijelovi njihovih brojeva socijalnog osiguranja. Ipak, samo pet tvrtki su kod At-Baya podnijele zahtjeve povezane s Citrix Bleedom, a tvrtka očekuje kako će ukupni gubici biti manji od 2 milijuna dolara.
“U našem svijetu sve je loše, no ovaj rizik je srednje do niske razine,” zaključuje Iram – pogotovo u usporedbi sa slabostima fizičkih email servera u Microsoftu, koji su 2022. godine pogodili 10 posto klijenata At-Baya i prouzročili gubitke od preko 10 milijuna dolara.
Iram je morao presložiti perspektivu nakon napada terorista Hamasa na Izrael 7. listopada, kao i naknadne izraelske invazije na Gazu. “Sve je to za nas bilo nevjerojatno traumatično,” kaže on. Od ukupno 110 njegovih izraelskih zaposlenika, petina je mobilizirana, zbog čega su neki projekti nižeg prioriteta morali biti stavljeni na čekanje dok drugi djelatnici žure kako bi riješili zaostatke.
Izvršni direktor je i sam prošao obvezni izraelski vojni rok kao 18-godišnjak, a poslan je u jedinicu 8200 izraelske obavještajne službe. Ona je poznata po tome što je stvorila zvijezde u industriji cyber sigurnosti. Među njima je i poduzetnik i milijarder Gil Shwed, izvršni direktor i suosnivač Check Point Softwarea, kao i Assaf Rappaport, izvršni direktor i suosnivač tvrtke Wiz za sigurnost clouda. Iram je u jedinici bio pet godina i dobio je čin kapetana. Potom je otišao na sveučilište u Jeruzalemu gdje je studirao računalstvo, radio je poslove u struci i postao konzultant McKinseya. Nakon dodatnog studija na Harvardu gdje je dobio MBA, vodio je ured za cyber sigurnost tvrtke K2 Intelligence, savjetnika za globalni rizik.
K2 je napustio 2016. i počeo raditi na svom startupu s tri suosnivača i nešto investicija od HSB-a, jedinice Munich Rea za tehnologiju. At-Bay formalno je pokrenut 2017. s početnim financiranjem od, između ostalih, Lightspeed Venture Partnersa. Kada je veliki porast ransomware napada 2020. godine natjerao mnoge uspješne osiguravatelje da spuste svoje limite pokrivanja i povećaju cijene, At-Bay je udario po gasu. “Svi drugi su pobjegli,” priča Iram. Bruto premije ušesterostručile su se od 20 milijuna 2020. na 120 milijuna 2021. godine. Dosad im je njihov tehnološki pristup pomogao umanjiti gubitke: omjer gubitaka za 2022. godinu iznosio je 29 posto, dok je prosjek za 20 najvećih američkih cyber osiguravatelja bio 45 posto.
Ovih dana At-Bay se sve više orijentira ka kreiranju sigurnosnog softvera koji mogu povezati sa svojim osiguranjem. Alat za nadzor slabosti standardni je dio njihovih polica, a nedavno su dodali i proizvod za detekciju i odgovor koji se, s početnom cijenom od oko 5.000 dolara godišnje, priključuje na interne sustave klijenata, nadzire njihova fizička računala i pruža podršku za otkrivanje prijetnji.
Iako želi proširiti svoju ponudu sigurnosnih softvera, Iram se odupire iskušenju da proširi osiguravateljske proizvode tvrtke, iskušenju pred kojim je Motta popustio. At-Bay je zasad prikupio 292 milijuna dolara od investitora, a vrijednost tvrtke u posljednjem prikupljanju sredstava sredinom 2021. godine procijenjena je na 1,4 milijarde dolara. Kažu kako u banci imaju gotovo 200 milijuna dolara.
“Ako koristite računalo i spojeni ste na internet, čestitam, imate cyber rizik,” kaže Motta čiji klijenti se kreću od liječničkih ordinacija do NFL klubova, proizvođača ljutih umaka do kripto startupova. On sjedi u svom uredu u bogatom kvartu Los Angelesa, Pacific Palisades, s pogledom na ocean. Na ogradi ispred posjeda pričvršćeno je čak šest znakova koji upozoravaju na konstantni nadzor ureda. “Ovo je kao Fort Knox,” kaže on. Samozaštita je vrlo važan faktor u ovom poslu. Kada se netko zaposli u Coalitionu i At-Bayu i to objavi na LinkedInu, često tu osobu zasipaju phishing poruke koje izgledaju kao da ih je poslao izvršni direktor.
Motta je odrastao u predgrađu Kansas Cityja, a rano je postao opsjednut internetom zbog svoja dva ujaka koji su radili na mrežnoj tehnologiji. Do 12. godine sam je izrađivao internetske stranice za lokalne agente za nekretnine. Kao 15-godišnjak je dobio ljetni posao programiranja u Microsoftu za 15 dolara po satu. Dok je studirao međunarodne studije na sveučilištu Chicago, dobio je posao analitičara u CIA-i na pola radnog vremena, a tamo je proučavao kako hakiranje provode neprijatelji SAD-a. Nakon završetka studija okušao se u investicijskom bankarstvu u Goldman Sachsu u Londonu, nakratko je radio u tvrtkama za investicije, a 2011. je postao 20. zaposlenik Cloudfarea, tvrtke za sigurnost internetske infrastrukture.
Godine 2016. je osnovao Redacted zajedno s Maxom Kellyjem, bivšim šefom za sigurnost u Facebooku, i Johnom Heringom, osnivačem kompanije za sigurnost Lookout. No dok je Kelly želio izgraditi sigurnosnu tehnologiju za velike kompanije, Mottu je više zanimalo osiguranje. Zato su Hering i Motta osnovali Coalition; investitori kao što su Vy Ventures, Ribbit Capital i Valor u njih su uložili 10 milijuna dolara. Coalition je službeno osnovan 5. prosinca 2017. godine, tri tjedna nakon pokretanja At-Baya.
Ogromna greška
Od prvog dana Motta je Coalition usmjeravao na brži rast od rasta At-Baya. Obje kompanije imale su odličnu tehnologiju i niske cijene. Motta je dodao i ključni ljudski faktor: zaposlio je veterane osiguravajuće industrije koji su već imali dobre odnose s nezavisnim posrednicima koji prodaju većinu osiguranja. To je tvrtci pomoglo da brže iskoristi porast potražnje 2020. godine.
Motta je također agresivnije iskoristio financiranje koje je preplavilo fintech tijekom pandemije. Do sredine 2022. godine, Coalition je prikupio 770 milijuna dolara, no tako velika riznica dovela je i do ogromne greške. Puna novca, tvrtka je 2021. platila 200 milijuna dolara za kupnju tvrtke Attune, digitalne trgovine i osiguravatelja na kojoj je 15.000 posrednika prodavalo svakakve vrste polica za male biznise. Attune je već gubio novac, a kada je uragan Ian pogodio Floridu u rujnu 2022. godine, stanje se samo pogoršalo. Nakon samo 15 mjeseci, Motta je prodao Attune. Iz Coalitiona ne žele reći za koliko su tvrtku prodali, no jedan izvor upoznat s poslom kaže kako se radilo o velikom gubitku.
Motta se brani govoreći kako je Coalition u sklopu prodaje osigurao prava da postane ekskluzivni prodavatelj cyber osiguranja na Attuneovoj platformi što je, inzistira, bio i glavni cilj.
Coalition se i lateralno proširio u još jednu nišu industrije osiguranja: pokrivanje odgovornosti za direktore i menadžere. “Ideja je da postanemo dominantni pružatelj osiguranja za digitalne biznise,” kaže Motta, dodajući kako ponuda nekoliko proizvoda tvrtku čini atraktivnijom i za posrednike.
Postoji i veći sustavni izazov s kojim se suočavaju i Coalition i At-Bay. Usprkos brzom rastu cyber osiguranja u posljednjih nekoliko godina, neki insajderi u industriji sumnjaju u njegovu održivostu. Boje se kako se načini hakiranja mijenjaju prebrzo za pouzdane procjene rizika, kao i da su mnogi klijenti još uvijek na to nepripremljeni, što pojačava mogućnost nekog katastrofalnog događaja koji bi izazvao štetu u desecima milijardi dolara.
Naravno, ako bi stariji osiguravatelji imali užasnu godinu po pitanju cyber osiguranja, drugi dijelovi njihovog biznisa mogli bi ublažiti pad. Startupovi nemaju taj luksuz. “Postoji nešto što se zove ožiljci od gubitka novca. Priznajem da ja takvih ožiljaka imam puno,” kaže Iram. “Pokušavam se okružiti ljudima koji ih također imaju, jer oni imaji intuiciju i perspektivu koju možeš razviti samo ako se ovim baviš 25, 30 godina.
Autor originalnog članka: Jeff Kauflin, Forbes
Link: How Two Former Spies Cracked The $11 Billion Cyber Insurance Market
(Prevela: Nataša Belančić)