Dve firmy, ktoré založili veteráni z bezpečnostných a špionážnych služieb, si vďaka inteligentným technológiám podmaňujú a súčasne aj transformujú celý nový sektor – poistenie proti hackerom.
Tento trh má len v USA hodnotu 11 miliárd dolárov. Dokážu však nováčikovia ochrániť aj ľahkovážnych klientov a samých seba pred veľkou kybernetickou katastrofou?
Keď v novembri 2022 ruské počítače potajomky prehľadávali americké servery, padli do pasce. Narazili na sieť štyristo virtuálnych serverov s IP adresami, ktoré vyzerali ako adresy skutočných firiem a organizácií. V skutočnosti však išlo o návnady. Nastražila ich Coalition, finančno-technologická spoločnosť so sídlom v San Franciscu.
Táto firma prináša do jedného z najstarších odvetví na svete, poisťovníctva, najmodernejšie technológie na odhaľovanie kybernetických hrozieb. „Neexistuje legitímny dôvod, prečo by sa mal niekto pokúšať pripojiť k niektorému z týchto serverov,“ hovorí bývalý analytik CIA a súčasný CEO i spoluzakladateľ spoločnosti Coalition Joshua Motta.
Coalition odhalila, že útočníci sa zamerali na prítomnosť programu MOVEit, ktorý slúži na prenos veľkých súborov, často aj dôverných informácií. Štyrom klientom, ktorí mali MOVEit nainštalovaný v prístupnejších častiach ich sietí, poslala e-mail s výzvou, aby si softvér presunuli za virtuálnu súkromnú sieť.
Útok zaručene príde
O šesť mesiacov oznámila firma Progress Software z Massachusetts, ktorá MOVEit predáva, že jej softvér obsahuje kritickú zraniteľnosť, a vydala opravu. Známy ruský ransomvérový gang Clop však chybu stihol využiť a prenikol hlboko do sietí niektorých organizácií. Za to, že nevyzradí ukradnuté údaje, si vypýtal nemalé peniaze.
Coalition si opäť posvietila na svojich klientov a zistila, že program využíva devätnásť z nich. Išlo o firmy s tržbami od desať miliónov do miliardy dolárov. Rozposlala im e-mail s naliehavou výzvou, aby aplikovali opravu MOVEit. Do mesiaca tak urobili štrnásti.
Zdá sa, že ostražitosť sa vyplatila. O poistné plnenie v súvislosti s MOVEit nepožiadal v najbližších mesiacoch žiadny z 85-tisíc klientov Coalition. Celkom dobrý výsledok, keďže diera v softvéri pravdepodobne ohrozila firemné alebo osobné údaje tisícich organizácií a viac než 90 miliónov ľudí.
Takých nech poisťujú iní
Coalition a jej konkurent At-Bay, tiež so sídlom v San Franciscu, menia od roku 2017 spôsob, akým sa uzatvára a spravuje kyberpoistenie, najmä pre malých a stredne veľkých klientov. Tradičné poisťovne boli zastarané, potenciálnym zákazníkom posielali formuláre s primitívnymi otázkami, napríklad či majú nainštalovaný antivírus.
Nováčikovia sa naopak na budúcich klientov pozerali očami hackera. Niekedy si pred uzavretím poistky vyžiadali, aby klienti zaviedli konkrétne bezpečnostné vylepšenia. Inokedy klienta jednoducho odmietli. „Takých nech poisťuje AIG alebo Chubb,“ hovorí 43 ročný Rotem Iram, CEO a spoluzakladateľ spoločnosti At-Bay, veterán elitnej vojenskej kyberjednotky izraelského spravodajstva.
Firmy neberú bezpečnosť vážne
Motta vraví, že Coalition v roku 2020 odmietla poistiť okresný školský úrad v Texase, keď zistila, že niektoré z jeho IP adries „komunikujú s riadiacou a kontrolnou infraštruktúrou známej hackerskej skupiny“. Dodáva, že o päť mesiacov, keď sa úrad na nich obrátil znovu, zistili, že sa medzičasom stal terčom hackerov a požiadal o dvojmiliónové poistné plnenie v inej poisťovni.
Aj po tom, ako Coalition alebo At-Bay akceptujú zákazníka, ďalej ho pravidelne preverujú a posielajú mu upozornenia. Riadia tak vlastné riziko aj riziko klienta. Malé podniky, ktoré kvôli kybernetickej bezpečnosti zvyčajne nesiahnu hlboko do vrecka, ale sú ochotné priplatiť si za poistenie, získajú oboje – či sa im to páči, alebo nie.
Keď v oblasti pracujete dlho, myslíte si, že všetkým na bezpečnosti záleží rovnako ako vám. Ale bezpečnosť nezaujíma nikoho.
Rotem iram
Iram vysvetľuje, že na klientov treba tlačiť, aby nebrali riziko na ľahkú váhu. „Ľudia nedbajú na bezpečnosť,“ sťažuje sa. „Keď v oblasti pracujete dlho, myslíte si, že všetkým na bezpečnosti záleží rovnako ako vám. Ale bezpečnosť nezaujíma nikoho.“ Ak si chce zákazník silou-mocou inštalovať softvér známy náchylnosťou na zneužitie, At-Bay mu pohrozí zdvojnásobením poistného.
Kombinácia preverovania, ostražitosti a nátlaku bola pre tieto dva fintechy receptom, ako vyrubovať nižšie poistné, získať priazeň poisťovacích maklérov a presadiť sa na trhu. Počas pandémie tiež prudko vzrástol počet útokov aj dopyt po poistení.
Podľa sanfranciskej analytickej spoločnosti CyberCube sa v USA celková hodnota kyberpoistného vyšplhala z necelej miliardy dolárov v roku 2012 na odhadovaných 11 miliárd v roku 2023.
Poistenie zvyčajne pokrýva náklady spojené s nápravou, vyšetrovaním, stratou v podnikaní a právnymi službami spôsobené rôznymi trikmi. Môže to byť ransomvérový útok, e-mailové podvody (útočníci si nechajú vyplatiť falošnú faktúru) alebo narušenie ochrany osobných údajov.
Útok na liehovar? Prečo nie.
Motta uvádza tento príklad: V roku 2020 sa istému hackerovi podarilo nabúrať do systémov liehovaru v Kansase. Pomocou prihlasovacích údajov zamestnanca sa mohol pohybovať naprieč systémom a odstaviť celú prevádzku. „Vysušili sa a popraskali tesnenia zariadení na prepravu kvapalín,“ vysvetľuje Motta.
Vznikli tak veľké škody. Coalition a jej zaisťovatelia napokon vyplatili približne dvojmiliónové plnenie vrátane necelého milióna za stratu príjmov, výkupného 600-tisíc dolárov za obnovenie prevádzky a poplatkov za právnikov a digitálnych forenzných expertov. Podnik mal uzatvorenú poistku s limitom 10 miliónov dolárov, ročným poistným len 21-tisíc a spoluúčasťou 25-tisíc.
Dnes by takáto poistka u Coalition stála najmenej 120-tisíc a pre firmu so slabým zabezpečením ešte viac. Po takmer troch rokoch prudkého stúpania pritom kleslo priemerné poistné v roku 2023 asi o 20 percent. Na trh totiž vstúpili ďalšie poisťovne a mnohí zákazníci posilnili obranu.
Hrubé poistné: zatiaľ asi 630 miliónov
Napriek nižším cenám mala Coalition za minulý rok upísané hrubé kyberpoistné vo výške viac ako 630 miliónov dolárov. To je 15-percentný nárast oproti roku 2022, kým At-Bay mala 301 miliónov dolárov (nárast o 20 percent). Ide však o hrubé poistné, Coalition si ponecháva len desať percent rizika a At-Bay dvadsať percent.
Zvyšok rizika, ako aj veľká časť poistného prechádzajú na veľkých poisťovateľov a zaisťovateľov ako Swiss Re a Munich Re. Coalition dosiahla v minulom roku čistý príjem necelých 300 miliónov dolárov a At-Bay o niečo viac než 110 miliónov dolárov.
Hoci ani jeden z týchto startupov ešte nie je ziskový, rastú tempom, ktoré vo fintechovom sektore plnom problémov len tak nevidieť. Vyslúžili si preto miesto v rebríčku Forbes Fintech 50 na rok 2024.
Valuácie už v rádoch miliárd
Obe firmy majú ešte stále peniaze „v banke“, ale ak by v dohľadnom čase potrebovali kapitálovú injekciu, vzhľadom na stav odvetvia by sa pravdepodobne museli uspokojiť s nižšou valuáciou. Coalition naposledy získala investície v roku 2022 pri ocenení 5 miliárd dolárov. Mottov vyše 20-percentný vlastnícky podiel má hodnotu takmer jednu miliardu dolárov.
Coalition ani At-Bay zatiaľ neutrpeli žiadnu katastrofickú stratu, to je však prakticky stála hrozba. Ich nápady tiež môžu skopírovať veľké etablované firmy.
„Každý, kto používa počítač a internet, si môže rovno pogratulovať aj ku kybernetickému riziku,“ hovorí Motta, ktorého spektrum zákazníkov siaha od ordinácií lekárov cez futbalové tímy NFL, výrobcov pikantných omáčok až po kryptomenové startupy.
Sedí v luxusnej losangelskej štvrti Pacific Palisades s výhľadom na oceán. Vonku aspoň šesť tabúľ upozorňuje, že objekt je nepretržite monitorovaný. „Je to ako Fort Knox,“ vraví. Pri tejto práci je vlastná ochrana nevyhnutná.
Keď do spoločností Coalition alebo At-Bay nastúpi nový zamestnanec a pochváli sa tým na LinkedIne, zvyčajne sa naňho spustí smršť podvodných phishingových správ, ktoré sa tvária, že prichádzajú od nového šéfa.
Uspejú tak aj hackeri?
„Kybernetické poisťovne“ však stoja aj pred ešte väčšou systémovou výzvou. Napriek rýchlemu rastu kyberpoistenia v posledných rokoch sa niektorí odborníci vyjadrujú o jeho udržateľnosti skepticky.
Obávajú sa, že hackerské prístupy sa menia príliš rýchlo na to, aby bolo možné spoľahlivo vyhodnocovať riziká a väčšina zákazníkov je stále len slabo pripravená. Vo vzduchu preto stále visí hrozba veľkej katastrofy, ktorá spôsobí škody za desiatky miliárd dolárov.
Ak tradičné poisťovne zažijú v kyberpoistení veľmi zlý rok, môžu si pád stlmiť financiami z iných segmentov. Tieto startupy takýto luxus nemajú. „Strata peňazí zanechá na človeku skutočné jazvy. Musím priznať, že sám ich veľa nemám,“ hovorí Iram.
„Snažím sa obklopovať ľuďmi, ktorí si prešli niečím podobným. Keď niečo robíte dvadsaťpäť až tridsať rokov, získate intuíciu a nadhľad.“
Autorom článku je Jeff Kauflin, redaktor Forbes.com.