Kako su dva bivša špijuna uspjela na tržištu sajber osiguranja vrijednom 11 milijardi dolara
U novembru 2022. godine, ruske računare su potajno skenirali američki, ali upali su u zamku: mrežu od 400 virtuelnih servera s IP adresama koje su izgledale kao da pripadaju stvarnim kompanijama i organizacijama. Ipak, to su bili mamci koje je postavila kompanija Koališn (Coalition). Sa sjedištem u San Francisku, Koališn je kombinacija jedne od najstarijih industrija na svijetu – osiguranja – i najsavremenijih tehnika otkrivanja sajber (cyber) prijetnji. “Ne postoji nikakav legitiman razlog zašto bi se neko pokušao spojiti na ijedan od tih servera,” kaže izvršni direktor i suosnivač Koališna, Džošua Mota (Joshua Motta), 40-godišnji bivši analitičar u CIA.
U Koališnu su primijetili da uljezi traže prisutnost programa MOVEit koji se koristi za slanje velikih datoteka, koje često sadržavaju povjerljive informacije. Poslali su mejlove četvorici svojih klijenata za sajber osiguranje koji koristili program MOVEit i pozvali ih da softver zaštite virtualnom privatnom mrežom.
Šest mjeseci kasnije, kompanija koja prodaje MOVEit, Progress Software, objavila je da program ima kritičnu slabost i izdala ispravak. Ipak, zloglasna ruska banda za ransomware, Clop, već je iskoristila tu manu kako bi se duboko uvukla u mreže nekih organizacija i bilo je sigurno da će tražiti novac kako ne bi objavili ukradene podatke. Koališn je ponovo skenirao svoje klijente i pronašao da 19 kompanija – čiji prihodi su se kretali od 10 miliona do čak milijardu dolara – koriste program. Poslali su hitan mejl i savjetovali im da primijene izdatu popravku. Za mjesec dana 14 kompanija je to učinilo.
Čini se da se toliki oprez isplatio. Nijedan od 85.000 klijenata Koališna dosad nije prijavio probleme vezane za MOVEit. To nije loše ako se uzme u obzir da je greška rezultirala curenjem ličnih ili korporativnih podataka od nekoliko hiljada organizacija i preko 90 miliona pojedinaca.
Nove metode
Od 2017. godine, Koališn i njegov najveći konkurent, At-Bay (takođe sa sjedištem u San Francisku), mijenjaju način upravljanja sajber sigurnošću, pogotovo za male i srednje klijente. Stariji osiguravaoci izgledali su im beznadno pregaženi vremenom: slali su potencijalnim klijentima formulare s pitanjima poput jesu li instalirali nekakav antivirusni program. Ovi novi igrači industrije su skenirali sisteme potencijalnih klijenata onako kako bi to mogli raditi hakeri. Ponekad su čak i zahtijevali konkretna poboljšanja u sigurnosti prije nego su ih pristali osigurati. U drugim slučajevima bi ih jednostavno odbili. “Daćemo vas AIG-u ili Chubbu,” govori izvršni direktor i suosnivač At-Baya, Rotem Iram, 43-godišnji veteran jedne od elitnih izraelskih vojnih obavještajnih jedinica.
Motta kaže kako je Koališn odbio jedan teksaški školski okrug 2020. godine jer su skeniranjem otkrili da neke od njihovih IP adresa “razgovaraju s infrastrukturom poznate hakerske grupe.” Kada se okrug pet mjeseci kasnije ponovno prijavio, dodaje, Koališn je saznao da su u međuvremenu zaista i bili hakovani i da su podnijeli zahtjev za odštetu od 2 miliona dolara kod jedne druge osiguravajuće kompanije koja nije bila dovoljno vješta.
Čak i nakon što Koališn ili At-Bay prihvate klijenta, nastavljaju ga skenirati i slati obavijesti kojima kontrolišu i vlastiti, ali i rizik za klijente. Ukratko rečeno, male kompanije koje nisu tradicionalno plaćale za samostalne usluge sajber sigurnosti, ali spremni su platiti za osiguranje, ovako dobijaju oboje – sviđalo im se to ili ne. Iram opisuje konstantne bitke koje mora voditi kako bi klijenti rizike shvatili ozbiljno.
“Ljude nije briga za sigurnost,” žali se. “Kada radite u tom polju dovoljno dugo, počnete misliti da je svima to toga stalo isto koliko i vama. Istina je da nikome nije stalo.”
Ako klijenti insistiraju na instaliranju softvera koje je notorno po svojim slabostima, kaže, At-Bay im zaprijeti udvostručivanjem premija.
Ta kombinacija analize, opreza i pritiska omogućila je ovim kompanijama da naplaćuju niže premije, čime su zadobili naklonost posrednika u osiguranju i ulaz na tržište. Naravno, pomoglo im je da je u njihovim počecima tržište sajber osiguranja bilo maleno, kao i činjenica da su i sajber napadi i potražnja za osiguranje protiv njih eksplodirali tokom pandemije. Ukupno su premije za sajber osiguranje u SAD-u narasle od manje od milijardu dolara 2012. godine na oko 11 milijardi dolara 2023. godine, pokazuju podaci analitičke kompanije CyberCube.
Polise uglavnom pokrivaju sanaciju, istragu, gubitke u poslovanju i pravne troškove vezane za sve od ransomware napada i lažnih poslovnih mejlova u kojima zločinci nekoga na prevaru namame da plati lažni račun, do kršenja privatnosti.
Agresivno traženje slabosti
Motta nudi ovaj jezivi primjer: 2020. godine haker se preko korisničkih podataka samo jednog zaposlenog uspio lateralno kretati sistemima jedne destilerije u Kansasu i ugasiti čitavu operaciju. “Zaptivke koje su zatvarale razne djelove opreme kojom se prenosila tečnost su se osušile i popucale i tako izazvale štetu na posjedu“, kaže Motta.
Koališn i njegovi reosiguratelji na kraju su platili oko 2 miliona dolara kompaniji, uključujući gotovo milion dolara gubitaka u poslovanju, 600.000 dolara otkupnine kako bi se mogli vratiti onlajn i naknade za advokate i stručnjake za digitalnu forenziku. Kompanija je kupila polisu s limitom od 10 miliona dolara i plaćala je samo 21.000 dolara godišnje premije, s odbitkom od 25.000 dolara.
Danas bi takva polisa u Koališnu koštala najmanje 120.000 dolara, a mnogo više za kompaniju s lošom kontrolom sigurnosti. Ali moguće je da se cijene napokon balansiraju. Nakon gotovo tri godine oštrog rasta, prosječna premija čak se 2023. smanjila za 20 posto, budući da je na tržište ušlo mnogo novih osiguravatelja, a klijenti su pojačali svoju odbranu. Uprkos nižim cijenama, Koališn je u bruto premijama prošle godine ispisao preko 630 miliona dolara (15 posto više u odnosu na 2022.), dok je At-Bay ispisao 301 milion dolara (20 posto više u odnosu na prethodnu godinu). Treba još jednom naglasiti da su to bruto premije: Koališn zadržava samo 10 posto rizika, a At-Bay 20 posto. Ostatak rizika i veliki dio premija preliva se na velike nosioce i reosiguravaoce kao što su Swiss Re i Munich Re. Neto prihodi prošle godine za Koališn su iznosili gotovo 300 miliona dolara, a za At-Bay preko 110 miliona dolara.
Iako nijedan startap još ne donosi profit, njihov rast ističe se u fintech sektoru koji trenutno pliva u problemima. Obje kompanije imaju novca na računima, ali ako bi uskoro željele prikupljati kapital, vjerovatno bi morale umanjiti vrijednost kompanija zbog stanja u industriji. Koališn je 2022. prikupljao investicije po procjeni vrijednosti od 5 milijardi dolara, što znači da Mottin udio od nekih 20 posto vrijedi nešto ispod milijardu dolara.
Ni Koališn ni At-Bay dosad nisu pretrpjeli katastrofalne gubitke, ali taj rizik uvijek je prisutan. Usto, postoji i još jedan problem na koji su naletjeli fintech inovatori, uključujući i robo-finansijske savjetnike: Veliki igrači u industriji uvijek mogu oponašati vaše ideje i možda vas pobijediti na vašem terenu. David Lewison, lider nacionalnih praksi u kompaniji za posredovanje u osiguranju Amwins (koja ispisuje 500 miliona dolara godišnje sajber osiguravajućih premija za mala i srednja tržišta), naglašava kako Chubb i neki drugi uspješni osiguravaoci sada dprovode skeniranja mreže kao standardni dio svojih procjena rizika. Ipak, kaže on, Koališn, At-Bay i Corvus bili su najraniji i najagresivniji u aktivnom skeniranju slabosti i informisanja klijenata o problemima.
Corvus je treći fintech za sajber osiguranje osnovan 2017. godine. Kompaanija Travelers kupila ga je početkom 2024. godine za 435 miliona dolara, što je veliki popust u odnosu na 750 miliona dolara procijenjene vrijednosti prilikom investicionog kruga 2021, ali ipak dva i po puta više od 170 miliona dolara koliko su investitori dali kompaniji.
‘U našem svijetu sve je loše’
Čak i dok sjedi za stolom u sjedištu svoje kompanije u San Franciscu, 193 centimetra visoki Iram strši iznad svojih zaposlenih. U to januarsko jutro oni su ga informisali o posljedicama “Citrix Bleeda”, slabosti povezane s Citrixovom tehnologijom za pristup na daljinu koju je kompanija objavila i za nju izdala ispravak 10. oktobra 2023. godine. Nakon što su istraživači treće strane shvatili kako bi se ta slabost mogla iskoristiti, inženjeri At-Baya, bazirani u Tel Avivu, pojurili su sastaviti kod kako bi odredili koji klijenti bi mogli postati žrtve. Završili su u dva dana, identifikujući 345 klijenata (od 35.000) koji koriste taj proizvod. Pojedinačno su kontaktirali njih 70 koji su bili u najvećoj opasnosti, a istovremeno su pozvali svih 345 da primijene Citrixov ispravak. Za šest sedmica, to je učinilo njih 334.
Ključno je ispraviti slabosti na vrijeme. Nakon što je Citrix objavio da postoji slabost, hakerske grupe kao što su Lockbit, Medusa i Alphv počele su kružiti oko plijena. Dosad se Citrix Bleedu pripisuje odgovornost za proboje u kompanijama među kojima su i Boeing, Toyota Financial Services i ICBC, ogromna kineska državna banka. U decembru je Comcastova internetusluga Xfinity obavijestila svojih 36 miliona klijenata kako su možda procurili njihovi lični podaci, uključujući njihova imena, datume rođenja, sigurnosna pitanja i djelovi njihovih brojeva socijalnog osiguranja. Ipak, samo pet kompanija su kod At-Baya podnijele zahtjeve povezane s Citrix Bleedom, a kompanija očekuje kako će ukupni gubici biti manji od 2 miliona dolara.
“U našem svijetu sve je loše, ali ovaj rizik je srednjeg do niskog nivoa,” zaključuje Iram – pogotovo u poređenju sa slabostima fizičkih mejl servera u Microsoftu, koji su 2022. godine pogodili 10 posto klijenata At-Baya i prouzrokovali gubitke od preko 10 miliona dolara.
Iram je morao presložiti perspektivu nakon napada terorista Hamasa na Izrael 7. oktobra, kao i naknadne izraelske invazije na Gazu. “Sve je to za nas bilo nevjerovatno traumatično,” kaže on. Od ukupno 110 njegovih izraelskih radnika, petina je mobilizovana, zbog čega su neki projekti nižeg prioriteta morali biti stavljeni na čekanje dok drugi službenici žure kako bi riješili zaostatke.
Izvršni direktor je i sam prošao obvezni izraelski vojni rok kao 18-godišnjak, a poslat je u jedinicu 8200 izraelske obavještajne službe. Ona je poznata po tome što je stvorila zvijezde u industriji sajber sigurnosti. Među njima je i preduzetnik i milijarder Gil Shwed, izvršni direktor i suosnivač Check Point Softwarea, kao i Assaf Rappaport, izvršni direktor i suosnivač kompanije Wiz za sigurnost clouda. Iram je u jedinici bio pet godina i dobio je čin kapetana. Potom je otišao na univerzitet u Jerusalemu gdje je studirao računarstvo, radio je poslove u struci i postao konsultant McKinseya. Nakon dodatnih studija na Harvardu gdje je dobio MBA, vodio je kancelariju za sajber sigurnost kompanije K2 Intelligence, savjetnika za globalni rizik.
K2 je napustio 2016. i počeo raditi na svom startapu s tri suosnivača i nešto investicija od HSB-a, jedinice Munich Rea za tehnologiju. At-Bay formalno je pokrenut 2017. s početnim finansiranjem od, između ostalih, Lightspeed Venture Partnersa. Kada je veliki rast ransomware napada 2020. godine natjerao mnoge uspješne osiguravaoce da spuste svoje limite pokrivanja i povećaju cijene, At-Bay je udario po gasu. “Svi drugi su pobjegli,” priča Iram. Bruto premije ušestorostručile su se od 20 miliona 2020. na 120 miliona 2021. godine. Dosad im je njihov tehnološki pristup pomogao umanjiti gubitke: obim gubitaka za 2022. godinu iznosio je 29 posto, dok je prosjek za 20 najvećih američkih cyber osiguravaoca bio 45 posto.
Ovih dana At-Bay se sve više orjentiše ka kreiranju sigurnosnog softvera koji mogu povezati sa svojim osiguranjem. Alat za nadzor slabosti standardni je dio njihovih polisa, a nedavno su dodali i proizvod za detekciju i odgovor koji se, s početnom cijenom od oko 5.000 dolara godišnje, priključuje na interne sisteme klijenata, nadzire njihove računare i pruža podršku za otkrivanje prijetnji.
Iako želi proširiti svoju ponudu sigurnosnih softvera, Iram se odupire iskušenju da proširi proizvode osiguranja kompanije, iskušenju pred kojim je Motta popustio. At-Bay je zasad prikupio 292 miliona dolara od investitora, a vrijednost kompanije u posljednjem prikupljanju sredstava sredinom 2021. godine procijenjena je na 1,4 milijarde dolara. Kažu da u banci imaju gotovo 200 miliona dolara.
“Ako koristite računar i spojeni ste na internet, čestitam, imate sajber rizik,” kaže Motta čiji klijenti se kreću od liječničkih ordinacija do NFL klubova, proizvođača ljutih umaka do kripto startapova. On sjedi u svojoj kancelariji u bogatom kvartu Los Anđelesa, Pacific Palisades, s pogledom na okean. Na ogradi ispred posjeda pričvršćeno je čak šest znakova koji upozoravaju na konstantni nadzor kancelarije. “Ovo je kao Fort noks (Knox),” kaže on. Samozaštita je vrlo važan faktor u ovom poslu. Kada se neko zaposli u Koališnu i At-Bayu i to objavi na LinkedInu, često tu osobu zasipaju fišing poruke koje izgledaju kao da ih je poslao izvršni direktor.
Motta je odrastao u predgrađu Kanzas Sitija, a rano je postao opsjednut internetom zbog svoja dva ujaka koji su radili na mrežnoj tehnologiji. Do 12. godine sam je izrađivao internet stranice za lokalne agente za nekretnine. Kao 15-godišnjak je dobio ljetni posao programiranja u Microsoftu za 15 dolara po satu. Dok je studirao međunarodne studije na Univerzitetu Čikago, dobio je posao analitičara u CIA na pola radnog vremena, a tamo je proučavao kako hakovanje sprovode neprijatelji SAD-a. Nakon završetka studija okušao se u investicionom bankarstvu u Goldman Sachsu u Londonu, kratko je radio u kompanijama za investicije, a 2011. je postao 20. zaposlenik Cloudfarea, kompanije za sigurnost internet infrastrukture.
Godine 2016. je osnovao Redacted zajedno s Maxom Kellyjem, bivšim šefom za sigurnost u Facebooku, i Johnom Heringom, osnivačem kompanije za sigurnost Lookout. Ali dok je Kelly želio izgraditi sigurnosnu tehnologiju za velike kompanije, Mottu je više zanimalo osiguranje. Zato su Hering i Motta osnovali Koališn; investitori kao što su Vy Ventures, Ribbit Capital i Valor u njih su uložili 10 miliona dolara. Koališn je službeno osnovan 5. decembra 2017. godine, tri sedmice nakon pokretanja At-Baya.
Ogromna greška
Od prvog dana Motta je Koališn usmjeravao na brži rast od rasta At-Baya. Obje kompanije imale su odličnu tehnologiju i niske cijene. Motta je dodao i ključni ljudski faktor: zaposlio je veterane osiguravajuće industrije koji su već imali dobre odnose s nezavisnim posrednicima koji prodaju većinu osiguranja. To je kompaniji pomoglo da brže iskoristi rast potražnje 2020. godine.
Motta je takođe agresivnije iskoristio finansiranje koje je preplavilo fintech tokom pandemije. Do sredine 2022. godine, Koališn je prikupio 770 miliona dolara, ali tako velika riznica dovela je i do ogromne greške. Puna novca, kompanija je 2021. platila 200 miliona dolara za kupovinu kompanije Attune, digitalne trgovine i osiguravaoca na kojoj je 15.000 posrednika prodavalo svakakve vrste polica za male biznise. Attune je već gubio novac, a kada je uragan Ian pogodio Floridu u septembru 2022. godine, stanje se samo pogoršalo. Nakon samo 15 mjeseci, Motta je prodao Attune. Iz Koališna ne žele reći za koliko su kompaniju prodali, ali jedan izvor upoznat s poslom kaže kako se radilo o velikom gubitku.
Motta se brani govoreći kako je Koališn u okviru prodaje osigurao prava da postane ekskluzivni prodavalac sajber osiguranja na Attuneovoj platformi što je, insistira, bio i glavni cilj.
Koališn se i lateralno proširio u još jednu nišu industrije osiguranja: pokrivanje odgovornosti za direktore i menadžere. “Ideja je da postanemo dominantni pružalac osiguranja za digitalne biznise,” kaže Motta, dodajući kako ponuda nekoliko proizvoda kompaniju čini atraktivnijom i za posrednike.
Postoji i veći sistemski izazov s kojim se suočavaju i Koališn i At-Bay. Uprkos brzom rastu sajber osiguranja u posljednjih nekoliko godina, neki insajderi u industriji sumnjaju u njegovu održivost. Boje se da se načini hakovanja mijenjaju prebrzo za pouzdane procjene rizika, kao i da su mnogi klijenti još uvijek na to nepripremljeni, što pojačava mogućnost nekog katastrofalnog događaja koji bi izazvao štetu u desecima milijardi dolara.
Naravno, ako bi stariji osiguravaoci imali užasnu godinu po pitanju sajber osiguranja, drugi djelovi njihovog biznisa mogli bi ublažiti pad. Startapovi nemaju taj luksuz. “Postoji nešto što se zove ožiljci od gubitka novca. Priznajem da ja takvih ožiljaka imam puno,” kaže Iram. “Pokušavam se okružiti ljudima koji ih takođe imaju, jer oni imaji intuiciju i perspektivu koju možeš razviti samo ako se ovim baviš 25, 30 godina.
Jeff Kauflin, Forbes
How Two Former Spies Cracked The $11 Billion Cyber Insurance Market
(Prevela: Nataša Belančić)