Шпиони и агенти по сигурността се обединяват, за да трансформират сектора на киберзастраховките. Големият въпрос е ще успеят ли?
Основаните от опитни агенти по сигурността и шпиони компании Coalition и At-Bay използват технологиите, за да трансформират сектора на киберзастраховките, чиито продажби възлизат на 11 млрд. долара. Ще успеят ли тези новаци да защитят безпомощните си клиенти – и себе си – от големите престъпници?
През ноември 2022 г. руски компютри тайно сканират американски компютри, когато попадат в капан – мрежа от 400 виртуални сървъра с IP адреси, които, изглежда, принадлежат на истински компании и организации. Само че това са примамки, създадени от базираната в Сан Франциско финтех компания Coalition. Тя съчетава една от най-старите индустрии в света, каквото е застраховането, с най-съвременните техники за откриване на киберзаплахи. „Няма легитимна причина някой да се опитва да се свърже с тези сървъри“, казва Джошуа Мота, главен изпълнителен директор и съосновател на Coalition. Мота е 40-годишен бивш анализатор в ЦРУ.
Coalition засича, че нападателите търсят програмата MOVEit, използвана за прехвърляне на големи файлове, които често пъти съдържат поверителна информация. Компанията изпраща имейл до четирима от своите клиенти, които предлагат киберзастраховки и са инсталирали MOVEit във външния периметър на мрежите си, като ги призовава да поставят софтуера си зад виртуална частна мрежа.
Шест месеца по-късно масачузетската компания Progress Software, която продава MOVEit, обявява, че е налице критично ниво на уязвимост, и създава код за отстраняване на проблема. Но печално известната руска групировка за изнудвания Clop вече се е възползвала от дефекта, за да се внедри дълбоко в мрежите на някои организации, и със сигурност се готви да ги изнудва, за да не изнася откраднатите данни. Coalition отново сканира клиентите си и вижда, че 19 от тях, с приходи от 10 млн. до 1 млрд. долара, вече използват програмата. Тя спешно изпраща имейл, в който им казва да приложат кода на MOVEit. В рамките на един месец 14 от тях са го направили.
Бдителността, изглежда, се отплаща. Досега нито един от 85-те хиляди клиенти на Coalition не е подал иск заради MOVEit. Това не е лошо, като се има предвид, че според съобщенията хиляди организации и над 90 млн. физически лица са били изложени на риск от злоупотреба с корпоративни или лични данни поради пробива в MOVEit.
От 2017 г. насам Coalition и най-близкият ѝ конкурент At-Bay, също с централа в Сан Франциско, преоткриват начина, по който се сключват и се управляват киберзастраховки, особено за малки и средни клиенти. Застрахователите от старото поколение изглеждат безнадеждно незапознати със съвременните проблеми, изпращайки на потенциалните клиенти формуляри, в които се задават такива основни въпроси като дали имат инсталиран антивирусен софтуер. За разлика от тях новите застрахователи сканират системите на потенциалните клиенти, както би направил някой хакер. Понякога те изискват конкретни подобрения на сигурността, преди да се съгласят да направят застраховка. Друг път просто отказват. „Нека ги поемат AIG или Chubb“, казва главният изпълнителен директор и съосновател на At-Bay Ротем Ирам. Той е 43-годишен ветеран от една от елитните военни структури на Израел за киберразузнаване.
Мота разказва как Coalition е отказала да застрахова училище в Тексас, защото сканирането показало, че някои от IP адресите му „са си говорили с инфраструктурата на известна хакерска група“. Когато училищният комплекс кандидатствал отново пет месеца по-късно, Coalition научава, че междувременно той е бил хакнат и е предявил иск за 2 млн. долара към друг застраховател, който не е бил толкова предпазлив при сключването на застраховката.
Дори и след като Coalition или At-Bay поемат клиент, те продължават да сканират неговата инфраструктура и да изпращат предупреждения, за да контролират както собствения си риск, така и този на клиентите. Малките предприятия, които традиционно не плащат за самостоятелни услуги за киберсигурност, но желаят да се застраховат, получават и двете заедно, независимо дали искат или не. Ирам описва постоянната битка, която води, за да накара клиентите да приемат риска сериозно. „Хората не се интересуват от сигурността – оплаква се той. – Когато работиш в сферата на сигурността твърде дълго, си мислиш, че всички се интересуват от нея точно както и ти. Но на никого не му пука.“ Той казва, че ако клиентът настоява да инсталира софтуер, определен като уязвим, At-Bay заплашва да удвои застрахователната премия.
Тази комбинация от проверка, бдителност и натиск позволява на двете финтех компании да предложат по-ниски премии, печелейки благоразположението на застрахователните брокери и стъпвайки на пазара. Разбира се, помага и фактът, че киберзастраховките са сравнително нова ниша, когато те са навлезли на пазара, и че както кибератаките, така и търсенето на застраховки срещу тях рязко се увеличиха по време на пандемията. Според базираната в Сан Франциско компания за анализи CyberCube общите премии по киберзастраховки в САЩ са нараснали от под 1 млрд. долара през 2012 г. до приблизително 11 млрд. долара през 2023 г.
Полиците обикновено покриват разходи за отстраняване на нередности, разследване, пропуснати ползи и юридически разходи, свързани с всичко – от атаки с рансъмуер (при които файловете или системите се заключват и стават негодни, докато жертвата не си плати) и схеми за компрометиране на бизнес имейли (при които престъпниците подмамват някого да плати фалшива фактура) до престъпления с личната информация.
Мота разказва един смразяващ пример. През 2020 г., използвайки потребителското име на един-единствен служител, хакерът е успял да проникне в компютърните системи на винарна в Канзас и да спре цялата дейност. „Уплътненията, които запечатваха различните съоръжения, в които се транспортираше течността, изсъхнаха и се напукаха – казва Мота, – причинявайки материални щети.“ Coalition и презастрахователите изплащат сметка за около 2 млн. долара по иска на компанията, включително близо 1 млн. долара за пропуснати приходи, 600 хил. долара откуп за възстановяване на онлайн връзката и такси за адвокати и експерти по цифрова съдебна експертиза. Предприятието е било закупило полица със застрахователно покритие 10 млн. долара и е плащало 21 хил. долара премии годишно, като е имало самоучастие от 25 хил. долара.
В наши дни такава полица на Coalition би струвала поне 120 хил. долара, като премията би била много по-висока за компания със слаб контрол на сигурността. Но в крайна сметка цените се успокояват. След почти три години на значителен ръст премиите се понижиха с около 20% през 2023 г., тъй като повече застрахователи навлязоха на пазара и много клиенти подсилиха защитата си. Въпреки по-ниските цени Coalition получи над 630 млн. долара брутни премии от клиенти на киберзастрахователни компании през миналата година, което е с над 15% повече в сравнение с 2022 г., докато при At-Bay ръстът беше 20% до 301 млн. долара. Това представляват брутни премии. Coalition запазва само 10%, а At-Bay – 20%. Останалата част от риска и голяма част от премиите се прехвърлят към големите застрахователни и презастрахователни компании като Swiss Re и Munich Re. Нетните приходи на Coalition през миналата година бяха почти 300 млн. долара и над 110 млн. долара на At-Bay.
Макар че нито един от двата стартъпа все още не е рентабилен, техният растеж се откроява в изпитващия затруднения сектор на финансовите технологии и им осигурява място в класацията Fintech 50 на Forbes за 2024 г. И двата стартъпа все още имат пари, но ако скоро им се наложи да наберат повече капитал, вероятно оценката им ще намалее предвид състоянието в сектора. За последно на Coalition ѝ се наложи да набира средства през 2022 г. при оценка от 5 млрд. долара. По наша оценка това оценява дела на Мота от над 20% на малко под 1 млрд. долара.
Нито Coalition, нито At-Bay все още не са претърпели катастрофална загуба, което обаче винаги е възможно да се случи. Съществува и друг проблем, с който са се сблъсквали други новатори във финтех сектора, включително роботизирани финансови консултанти – огромните традиционни компании могат да изкопират вашите идеи и да ви победят в това, в което сте най-силни. Дейвид Люисън, ръководител за националния пазар в застрахователния брокер Amwins, който събира премии на стойност 500 млн. долара годишно от продажбата на киберзастраховки на малки и средни компании, отбелязва, че Chubb и някои други утвърдени застрахователи вече са превърнали сканирането на мрежите в стандартна практика при оценяването на риска. На база на своя опит той казва, че Coalition, At-Bay и Corvus са били сред първите и най-агресивните, които активно са сканирали за слабости и са обръщали внимание на проблемите на своите клиенти.
Corvus? Това е трети финтех в областта на киберзастраховането. Travelers го придобива в началото на 2024 г. за 435 млн. долара – значително по-ниска цена в сравнение със 750-те млн. долара, на които компанията е оценена при набирането на средства през 2021 г., но два и половина пъти повече от 170-те млн. долара, които инвеститорите са вложили в нея.
Дори когато седи на конферентната маса в централата на At-Bay в Сан Франциско, високият метър и осемдесет и четири Ирам се извисява над служителите си. В тази януарска сутрин те го информират за потенциалния ефект от Citrix Bleed – уязвимост на технологията за отдалечен достъп на системите Citrix, която At-Bay установи и на 10 октомври 2023 г. създаде код за отстраняването ѝ. След като външни анализатори разбраха как този пропуск в системата може да бъде експлоатиран, инженерите на At-Bay се впуснаха да създадат код, за да определят кои клиенти е най-вероятно да станат жертви. Те приключиха за два дни, като идентифицираха 345 клиенти (от общо 35 хил. потребители на Citrix) и се свързаха индивидуално със 70-те, изложени на най-голям риск. Инженерите призоваха всички рискови 345-а да приложат кода на At-Bay за отстраняване на пропуска. В рамките на шест седмици 334 от тях го бяха направили.
Навременната реакция е от решаващо значение. След като Citrix сигнализира за уязвимостта, хакерски групи с имена като Lockbit, Medusa и Alphv започнаха да търсят начини как да се възползват от нея. Досега Citrix Bleed е обвинявана за пробиви в компании като Boeing, Toyota Financial Services, включително и огромната китайска държавна банка ICBC. През декември интернет услугата Xfinity на Comcast уведоми 36 млн. клиенти, че техните потребителски имена, рождени дати, въпроси за сигурност и части от номерата на социалните им осигуровки може да са били разкрити. Но само пет предприятия подадоха искове заради Citrix Bleed в At-Bay. Застрахователят очаква общите загуби да възлязат на под 2 млн. долара. „В нашия свят всичко е лошо, но този риск е между среден и нисък“, заключава Ирам, особено в сравнение с уязвимостта във физическите имейл сървъри на Microsoft, която засегна 10% от клиентите на At-Bay през 2022 г. и доведе до загуби за над 10 млн. долара.
След нападението на терористите от Хамас срещу Израел на 7 октомври и последвалата израелска инвазия в Газа на Ирам му се налага да анализира в перспектива множество фактори. „Всичко това беше изключително травмиращо за нас“, казва той. Една пета от 110-те служители на компанията в Израел са мобилизирани да се бият. Това е причина някои проекти с по-нисък приоритет да бъдат отложени, докато останалите служители се борят да наваксат с изоставането.
Главният изпълнителен директор започва задължителната си военна повинност на 18 г. и е разпределен в поделение 8200 на Израелската разузнавателна служба. То е прочуто, че създава звезди в областта на киберсигурността, сред които предприемачите милиардери Гил Швед – главен изпълнителен директор и съосновател на Check Point Software, и Асаф Рапапорт – главен изпълнителен директор и съосновател на компанията за сигурност на данните в облака Wiz. Ирам остава на военна служба пет години, като в крайна сметка става капитан и ръководител на 300 души. След това следва в Еврейския университет в Йерусалим, където завършва компютърно инженерство, работи като софтуерен инженер и консултант в McKinsey, получава магистърска степен в Харвард и ръководи практиката за киберсигурност на базираната в Ню Йорк глобална консултантска фирма за рискове K2 Intelligence (сега K2 Integrity).
През 2016 г. той напуска K2 и започва да разработва свой стартъп с помощта на трима други съоснователи и скромната подкрепа от технологичното подразделение на Munich Re – HSB. Компанията на Ирам, At-Bay, е създадена официално през 2017 г. с начално финансиране от Lightspeed Venture Partners и други. Когато през 2020 г. рязкото нарастване на атаките с рансъмуер принуждава много от утвърдените играчи да намалят лимитите на покритие и да увеличат цените, At-Bay дава пълна газ. „Всички избягаха“, казва Ирам. Брутните премии нараснаха шесткратно – от 20 млн. долара през 2020 г. до 120 млн. долара през 2021 г. Досега технологичният подход на At-Bay ѝ е помогнал да задържи нивата на загубите – коефициентът на понесените загуби за 2022 г. (последната година с обобщени данни, защото разглеждането на исковете отнема месеци) е 29%, в сравнение със средно 45% за 20-те най-големи киберзастрахователи, базирани в САЩ.
В наши дни At-Bay все повече се фокусира върху създаването на софтуер за сигурност, който да се предлага в комплект със застраховката. В застрахователните полици на компанията е включен инструмент за мониторинг на уязвимите места. Неотдавна тя добави продукт за откриване и реагиране, чиято цена стартира от около 5000 долара годишно. Той се свързва с вътрешните системи на клиентите, включително с Microsoft 365, с цел да се направи по-добра оценка на риска. Например продуктът на At-Bay позволява да се провери дали служителите на компанията използват многофакторна автентикация, за да достъпват до корпоративните системи.
Макар да желае да разшири предлагания софтуер за сигурност, Ирам устоява на изкушението да увеличи броя на застрахователните продукти на At-Bay. За разлика от Мота, който се поддава на това изкушение. Досега At-Bay е набрала 292 млн. долара от инвеститори, като при последния кръг, проведен в средата на 2021 г., компанията е оценена на 1.4 млрд. долара. At-Bay твърди, че все още разполага с близо 200 млн. долара в банковите си сметки.
Ако използвате компютър и интернет свързаност, поздравления, вие имате киберриск“, казва Мота, чиито клиенти варират от лекарски кабинети до отбори от Националната футболна лига, производители на лют сос и стартъпи за криптовалути. Той седи в домашния си офис в луксозния квартал „Пасифик Палисейдс“ в Лос Анджелис, с гледка към океана. Не по-малко от шест табели пред оградата съобщават за денонощно наблюдение и охрана. „Тук е като Форт Нокс“, казва той. Самозащитата е необходим житейски факт в тази сфера на дейност. Когато някой постъпи на работа в Coalition или At-Bay и обяви това в LinkedIn, обикновено бива бомбардиран с фишинг съобщения, представящи се за съобщения от новия главен изпълнителен директор.
Мота израства в предградие на Канзас Сити и отрано се запознава с интернет благодарение на двама чичовци, които работят в областта на мрежовите технологии. На 12-годишна възраст той създава уебсайтове за местни брокери на недвижими имоти. На 15 години получава лятна работа по програмиране за 15 долара на час в Microsoft. В софтуерната компания са впечатлени от софтуера за колички за пазаруване, създаден от него за DogToys.com и други търговски вериги.
Докато следва международни науки в Чикагския университет, Мота работи като анализатор на непълно работно време в ЦРУ, където изучава хакерските кампании на враговете на Америка. След дипломирането си прави опити в областта на инвестиционното банкиране в Goldman Sachs в Лондон, работи за кратко в сферата на частния капитал и рисковия капитал, а през 2011 г. става 20-ият служител на Cloudflare – компанията за сигурност на интернет инфраструктурата.
През 2016 г. той основава Redacted заедно с Макс Кели, бившия главен служител по сигурността на Facebook, и Джон Херинг, основател на компанията за сигурност Lookout. Но докато Кели иска да създава технологии за големи компании, Мота формира собствена компания – Coalition. Инвеститори в нея са Vy Ventures, Ribbit Capital и Valor. Те я подкрепят с финансиране от 10 млн. долара. Основаването на Coalition е обявено на 5 декември 2017 г., три седмици след At-Bay.
Още от първия ден Мота позиционира Coalition така, че да се разраства по-бързо от At-Bay. И двете компании разполагат с чудесни технологии, ниски цени и са бързи в сключването на застраховки. Мота добавя човешки елемент – наема ветерани от застрахователния бранш. Те имат взаимоотношения с независимите брокери, които продават бизнес застраховки. Това му помага да се възползва по-добре от рязкото нарастване на търсенето през 2020 г.
Мота също така прави опити да се възползва по-агресивно от рисковия капитал, който се насочва към финансовите технологии по време на пандемията. До средата на 2022 г. Coalition набира капитал от 770 млн. долара. Но именно този капитал е причина компанията да допусне една голяма грешка. Подсигурена с пари от фондове за рисков капитал, Coalition през 2021 г. плаща 200 млн. долара, за да придобие базираната в Ню Йорк дигитална застрахователна компания Attune. Тя обслужва 15 хил. брокери, които продават всякакви полици за малкия бизнес – от професионална отговорност и обезщетения за работниците до застраховки срещу наводнения. Застрахователният портфейл на Attune вече е на загуба и след като ураганът „Йън“ удря Флорида през септември 2022 г., финансите на компанията се влошават.
Само 15 месеца по-късно Мота продава Attune. Coalition не разкрива за каква сума, но според източник, запознат със сделката, тя е била на голяма загуба. В своя защита Мота посочва, че в рамките на продажбата Coalition си е осигурила правото да стане ексклузивен продавач на киберзастраховки в платформата на Attune, което според думите му е било основната му цел.
Coalition също така разширява дейността си в друга застрахователна ниша – застраховки от типа гражданска отговорност за директори и мениджъри. „Идеята е да се превърнем в доминиращ доставчик на застраховки за дигиталния бизнес“, казва Мота и добавя, че предлагането на множество продукти прави Coalition по-привлекателна за брокерите.
Съществува обаче едно голямо системно предизвикателство, пред което са изправени както Coalition, така и At-Bay. Въпреки бързото нарастване на киберзастраховането през последните няколко години, някои представители на индустрията поставят под въпрос устойчивостта. Те се опасяват, че схемите на хакерите се променят твърде бързо, за да може надеждно да се оцени рискът, а повечето клиенти все още не са подготвени. Всичко това говори за възможност за катастрофално събитие, което ще причини щети за десетки милиарди долари.
Разбира се, ако традиционните застрахователни компании преживеят ужасна година по отношение на кибернетиката, други части от бизнеса им могат да им послужат като защита. Стартъпите обаче нямат този лукс. „Съществуват т.нар. белези от загубата. Признавам, че върху мен няма много такива. Затова се стремя да се обграждам с хора, които са натрупали такива белези, защото интуицията и прозорливостта се развиват, когато практикуваш нещо в продължение на 25–30 години“, казва Ирам.
Автор: Джеф Кауфлин, Forbes