Как бывшие шпионы «взломали» рынок киберстрахования стоимостью $11 млрд

 
Финтех-стартапы Coalition и At-Bay, основанные ветеранами служб безопасности и шпионских агентств, используют свои технические знания для преобразования быстрорастущего бизнеса по страхованию и защите компаний от хакеров. Как стартапы помогают компаниям избегать киберрисков и какие риски несут сами — в материале Forbes USA

В ноябре 2022 года группа хакеров тайно сканировала американские компьютеры и наткнулась на ловушку, состоящую из сети 400 виртуальных серверов с IP-адресами, которые, как казалось, принадлежали реальным компаниям и организациям. Но это были приманки, созданные Coalition, базирующейся в Сан–Франциско финтех-компанией, которая объединяет одну из старейших отраслей в мире — страхование — с передовыми методами обнаружения киберугроз. «Нет никаких законных причин, по которым кто-либо должен пытаться подключиться к любому из этих серверов», — говорит генеральный директор и соучредитель Coalition Джошуа Мотта, 40-летний бывший аналитик ЦРУ.
Coalition убедилась, что злоумышленники проверяли наличие MOVEit, программы, используемой для передачи больших файлов, часто содержащих конфиденциальную информацию. В электронном письме компания обратилась к четырем клиентам по киберстрахованию, у которых MOVEit был установлен на внешнем периметре их сетей, с призывом разместить программное обеспечение за виртуальной частной сетью.
Шесть месяцев спустя Progress Software, массачусетская компания, продающая MOVEit, объявила о наличии критической уязвимости и выпустила исправления. Однако печально известная российская банда вымогателей Clop уже воспользовалась этим недостатком, чтобы глубоко проникнуть в сети некоторых организаций, и наверняка потребовала плату за то, чтобы не допустить утечки украденных данных. Коалиция провела дополнительную проверку своих клиентов и обнаружила, что 19 из них с доходом от $10 млн до $1 млрд теперь используют программу. Компания отправила им срочное электронное письмо с просьбой применить исправление MOVEit. В течение месяца это сделали 14 из них.
Такая бдительность принесла свои плоды. Ни один из 85 000 клиентов Coalition до сих пор не подал иск, связанный с MOVEit. Неплохо, учитывая, что, по сообщениям, тысячи организаций и более 90 млн частных лиц «открыли» доступ к своим корпоративным или личным данным из-за ошибки.
С 2017 года Coalition и ее ближайший конкурент At-Bay, также базирующийся в Сан-Франциско, переосмысливают способы страхования в киберпространстве и управления им, особенно для клиентов малого и среднего бизнеса. Казалось, что традиционные страховщики совершенно отстали от жизни, рассылая потенциальным клиентам формы с такими элементарными вопросами, как, например, установлено ли у них антивирусное программное обеспечение. Новички, напротив, исследовали способы, с помощью которых хакер может взломать системы потенциальных клиентов. Иногда им требовались специальные обновления безопасности, прежде чем согласиться застраховать их. В других случаях они просто отказывали им. «Мы отдадим вас AIG или Chubb», — говорит генеральный директор и соучредитель At-Bay Ротем Ирам, 43-летний ветеран одного из элитных подразделений военной киберразведки Израиля.
Мотта говорит, что Coalition отклонила заявку школьного округа Техаса на финансовое покрытие в 2020 году, потому что сканирование андеррайтинга показало, что некоторые из его IP-адресов «вели связь с командно-контрольной инфраструктурой известной хакерской группы». Он говорит, что после того, как округ повторно подал заявку пять месяцев спустя, Coalition узнала, что за это время их взломали, и подала иск на сумму $2 млн к другому страховщику, который не был столь умен в отношении андеррайтинга.
Чтобы контролировать как свой собственный, так и риск клиентов, Coalition и At-Bay продолжают сканировать данные и отправлять уведомления даже после того, как они принимают клиента. По сути, малые предприятия, которые традиционно не платили за отдельные услуги по кибербезопасности, но готовы раскошелиться на страховку, получают и то и другое — нравится им это или нет. Ирам говорит о постоянной борьбе за то, чтобы заставить клиентов серьезно относиться к риску. «Люди не заботятся о безопасности, — жалуется он. — Когда ты слишком долго работаешь в сфере безопасности, тебе кажется, что все заботятся об этом так же, как и ты. Но это никого не волнует». Если клиент настаивает на установке программного обеспечения, которое заведомо подвержено взлому, по его словам, At-Bay пригрозит удвоить свои страховые взносы.
Риск и вознаграждение
В начале пандемии потери от кибератак резко возросли, что привело к значительному росту как спроса, так и цен на киберстрахование в США.
Такое сочетание скрининга, бдительности и жесткости позволило двум финтехам взимать более низкие страховые взносы, завоевав расположение страховых брокеров и закрепившись на рынке. Конечно, помогло то, что киберпространство было новой нишей, когда они вышли на рынок, и то, что кибератаки и спрос на страховку от них резко возросли во время пандемии. По данным аналитической компании CyberCube, базирующейся в Сан-Франциско, общий объем премий по киберстрахованию в США вырос с менее чем $1 млрд в 2012 году до примерно $11 млрд в 2023-м.
Полисы обычно включают восстановление, расследование, потерю бизнеса и судебные издержки, связанные со всем, начиная от атак программ-вымогателей и схем компрометации деловой электронной почты (при которых преступники обманом заставляют кого-то оплатить поддельный счет) и заканчивая нарушениями конфиденциальности.
Мотта приводит такой пугающий пример: в 2020 году, используя логин одного сотрудника, хакер смог проникнуть в компьютерные системы ликеро-водочного завода в Канзасе и остановить всю работу. «Прокладки, которые герметизировали различное оборудование, по которому транспортировалась жидкость, высохли и треснули, что привело к материальному ущербу», — говорит Мотта. Coalition и ее перестраховщики в конечном итоге выплатили около $2 млн по иску завода, включая почти $1 млн упущенной выгоды, $600 000 выкупа за возвращение доступа завода в онлайн и гонорары адвокатам и экспертам по цифровой криминалистике. Завод купил полис с лимитом в $10 млн и выплачивал всего $21 000 премий в год с франшизой в $25 000.
В наши дни такая политика Coalition обошлась бы по меньшей мере в $120 000 — и намного дороже для компании со слабым контролем безопасности. Однако, возможно, цены наконец-то выровняются. После почти трехлетнего резкого повышения средние страховые премии фактически снизились примерно на 20% в 2023 году, поскольку на рынок вышло больше страховщиков, а многие клиенты усилили свою защиту. Несмотря на более низкие цены, в прошлом году валовые премии (прибыль до вычета из нее амортизационных отчислений и уплаты налога, но после вычета процентов по задолженностям) Coalition составили более $630 млн, что на 15% больше, чем в 2022 году, в то время как At-Bay — $301 млн, что на 20% больше. Но это, опять же, валовые премии: Coalition сохраняет за собой всего 10% риска, а At-Bay — 20%. Остальные риски и значительная часть премий перекладываются на крупных перестраховщиков, таких как Swiss Re и Munich Re. Чистая выручка в прошлом году составила почти $300 млн у Coalition и более $110 млн у At-Bay.
Хотя ни один из стартапов пока не является прибыльным, их развитие выделяется на фоне испытывающего трудности финтех-сектора и привело к тому, что они были включены в список почетных гостей Forbes Fintech 50 за 2024 год. У обоих все еще есть деньги в банке, но если в ближайшее время им понадобится привлечь больше капитала, то, скорее всего, придется снизить собственную оценку, учитывая нынешнее состояние отрасли. В последний раз Coalition привлекала средства на сумму $5 млрд в 2022 году, в результате чего, по оценке Forbes USA, 20% с лишним акций Мотта стоят чуть меньше $1 млрд.
Ни Coalition, ни At-Bay еще не понесли катастрофических потерь, что всегда сопряжено с растущим риском. Кроме того, есть еще одна проблема, с которой столкнулись другие финтех-новаторы, включая робо-финансовых консультантов: крупные компании могут имитировать ваши идеи и, возможно, победить вас в вашей собственной игре. Руководитель национальной практики страховой брокерской компании Amwins Дэвид Льюисон отмечает, что Chubb и некоторые другие известные страховщики теперь включают сканирование сети в свои оценки рисков. Amwins ежегодно выплачивает премии по киберстрахованию на сумму $500 млн для рынков малого и среднего бизнеса. Но, по его словам, Coalition, At-Bay и Corvus были первыми и проявили наибольшую агрессивность в активном поиске слабых мест и привлечении внимания своих клиентов к проблемам.
Corvus — третья финтех-компания по киберстрахованию, основанная в 2017 году. Одна из крупнейших страховых компаний США Travelers приобрела стартап в начале 2024 года за $435 млн, со значительной скидкой по сравнению с $750 млн, в которые он был оценен при сборе средств в 2021-м, но в два с половиной раза больше $170 млн, которые вложили в него инвесторы.
В январе во время переговоров в штаб-квартире At-Bay в Сан-Франциско Ираму доложили о Citrix Bleed — уязвимости, которая связана с технологией удаленного доступа разработчика Citrix и которую он раскрыл, выпустив исправления 10 октября 2023 года. После того как сторонние исследователи выяснили, как это можно использовать, инженеры At-Bay бросились создавать код, чтобы определить, какие клиенты с наибольшей вероятностью станут жертвами. За два дня они завершили работу, выявив 345 клиентов (из 35 000), использующих продукт, и связались с 70 клиентами с наибольшим риском индивидуально, одновременно призывая всех 345 клиентов применить исправление Citrix. В течение шести недель это сделали 334 из них.
Своевременное исправление имеет решающее значение; после того как Citrix обнаружила уязвимость, начали заявляться хакерские группы с такими названиями, как Lockbit, Medusa и Alphv. До сих пор Citrix Bleed обвиняли в нарушениях такие компании, как Boeing, Toyota Financial Services и ICBC — крупнейшем государственном банке Китая. В декабре 2023-го интернет-сервис Comcast Xfinity сообщил 36 млн клиентов о том, что их имена, даты рождения, секретные вопросы и часть номеров социального страхования, возможно, были раскрыты. Но только пять компаний подали иски Citrix об утечке данных в At-Bay, и компания ожидает, что общие убытки составят менее $2 млн.
«Наши дела сейчас не очень, но это риск от среднего до низкого уровня», — заключает Ирам, сравнивая текущее положение вокруг Citrix Bleed с уязвимостью на физических почтовых серверах Microsoft, которая затронула 10% клиентов At-Bay в 2022 году и привела к убыткам более чем на $10 млн.
Ираму было о чем подумать после нападения террористов ХАМАСа на Израиль 7 октября и последующего вторжения Израиля в Газу. «Все это было невероятно травмирующим для нас», — говорит он. Пятая часть из его 110 израильских сотрудников была мобилизована на борьбу, что вынудило отложить некоторые менее приоритетные проекты, в то время как другие работники изо всех сил стараются наверстать упущенное.
Генеральный директор сам начал обязательную военную службу в 18 лет и был назначен в 8200 Израильское разведывательное подразделение, известное тем, что выпускало звезд кибербезопасности, включая предпринимателей-миллиардеров Гила Шведа, генерального директора и соучредителя Check Point Software, и Ассафа Раппапорта, генерального директора и соучредителя Wiz, стартапа по облачной безопасности. Ирам оставался в подразделении в течение пяти лет, в итоге став капитаном, ему подчинялись 300 человек. Затем поступил в Еврейский университет в Иерусалиме, получил степень компьютерного инженера, работал в области разработки программного обеспечения и консультантом McKinsey, получил степень MBA в Гарварде и некоторое время руководил практикой кибербезопасности в базирующейся в Нью–Йорке глобальной консалтинговой фирме по рискам K2 Intelligence (ныне K2 Integrity).
В 2016 году он покинул K2 и начал работать над своим стартапом с тремя соучредителями и небольшой поддержкой HSB, технологического подразделения немецкой перестраховочной компании Munich Re. At-Bay официально запущен в 2017 году при начальном финансировании, в частности, от Lightspeed Venture Partners. Когда всплеск атак программ-вымогателей в 2020 году заставил многих известных страховых операторов снизить лимиты покрытия и повысить цены, At-Bay нажал на газ. «Все остальные разбежались», — говорит Ирам. Валовые премии выросли в шесть раз — с $20 млн в 2020 году до $120 млн в 2021-м. До сих пор подход At-Bay, основанный на технологиях, помогал компании сдерживать потери: коэффициент понесенных убытков за 2022 год (самый последний год с достоверными данными, учитывая, что для рассмотрения претензий требуются месяцы) составил 29%, по сравнению со средним показателем в 45% для 20 крупнейших киберстраховщиков, зарегистрированных в США.
В настоящее время At-Bay все больше уделяет внимание созданию программного обеспечения для безопасности в комплекте со своей страховкой. Инструмент мониторинга уязвимостей включен в стандартную комплектацию ее политик. Недавно компания добавила продукт управляемого обнаружения и реагирования, стоимость которого начинается примерно с $5000 в год и который подключается к внутренним системам клиентов, контролирует их физические компьютеры и обеспечивает специализированную поддержку клиентов для обнаружения угроз.
Стремясь расширить свои предложения программного обеспечения для безопасности, Ирам устоял перед искушением расширить страховые продукты At-Bay — соблазн, которому поддался Мотта. На данный момент At-Bay привлекла $292 млн средств инвесторов, получив оценку в $1,4 млрд в середине 2021 года. Тогда же в At-Bay отмечалось, что в банке по-прежнему находится около $200 млн.
«Если вы пользуетесь компьютером и подключением к Интернету, поздравляю, у вас есть подверженность киберриску», — говорит Мотта, чьи клиенты варьируются от кабинетов врачей до команд НФЛ, производителей острых соусов и криптовалютных стартапов. Он сидит в своем домашнем офисе в шикарном районе Pacific Palisades в Лос-Анджелесе, с видом на океан. Не менее шести табличек за его забором сообщают о круглосуточном наблюдении и безопасности. «Это как Форт-Нокс», — говорит он. Самозащита — необходимый жизненный факт в этой сфере деятельности. Когда кто-то устраивается на работу в Coalition или At-Bay и объявляет об этом в LinkedIn, его, как правило, засыпают фишинговыми сообщениями якобы от его нового генерального директора.
Мотта вырос в пригороде Канзас-Сити и рано начал пользоваться Интернетом благодаря двум дядям, которые работали в сфере сетевых технологий. К 12 годам он создавал веб-сайты для местных риэлторов. К 15 годам у него была летняя работа программиста за $15 в час в Microsoft, на которую произвело впечатление программное обеспечение для корзины покупок, созданное им для DogToys.com и других. Специализируясь на международных исследованиях в Чикагском университете, он устроился аналитиком на неполный рабочий день в ЦРУ, где изучал хакерские кампании противников Америки. После окончания университета он попробовал себя в инвестиционном банкинге в Goldman Sachs в Лондоне, недолго работал в сфере прямых инвестиций и венчурного капитала, а затем, в 2011 году, стал двадцатым сотрудником Cloudflare, компании по обеспечению безопасности интернет-инфраструктуры.
В 2016 году Мотта стал соучредителем Redacted вместе с Максом Келли, бывшим директором по безопасности Facebook (принадлежит Meta, которая признана в России экстремисткой и запрещена), и Джоном Херингом, основателем охранной компании Lookout. Но в то время, как Келли хотел создавать технологии безопасности для крупных компаний, Мотта сосредоточился на страховании. Таким образом, Херинг и Мотта превратили Coalition в собственную компанию: инвесторы, включая Vy Ventures, Ribbit Capital и Valor, поддержали их финансированием в размере $10 млн. Coalition объявила о своем рождении 5 декабря 2017 года, через три недели после запуска At-Bay.
С самого начала Мотта позиционировал Coalition как компанию, растущую быстрее, чем At-Bay. Оба стартапа обладали передовыми технологиями, низкими ценами и быстрым андеррайтингом. Мотта добавил важный человеческий фактор: он нанял ветеранов страховой отрасли, у которых были существующие отношения с независимыми брокерами, которые продают большинство видов страхования бизнеса. Это помогло компании быстрее извлечь выгоду из резкого роста спроса в 2020 году.
Мотта также более агрессивно относился к привлечению венчурного финансирования, которое хлынуло в финтех во время пандемии. К середине 2022 года Coalition привлекла $770 млн. Но были и ошибки. Так, в 2021 году Coalition заплатила $200 млн за приобретение Attune, базирующегося в Нью–Йорке страховщика и цифровой торговой площадки. Эта компания обслуживает 15 000 брокеров и продает полисы малого бизнеса всех видов: от профессиональной ответственности и компенсаций работникам до страхования от наводнений. Attune уже приносила убытки, а после того, как ураган «Иэн» обрушился на Флориду в сентябре 2022 года, ее финансы ухудшились. Всего через 15 месяцев после приобретения Мотта продал Attune. Coalition не сообщает, за сколько она была продана, но, по словам знакомого со сделкой источника, компания Мотта понесла большие убытки. Предприниматель, в свою защиту, утверждает, что в рамках продажи Coalition получила права стать эксклюзивным продавцом киберстрахования на платформе Attune, что, как он теперь настаивает, и было его главной целью.
Coalition также расширила свою деятельность в другую страховую нишу: страхование ответственности директоров и должностных лиц. «Идея состоит в том, чтобы стать доминирующим поставщиком страхования для цифрового бизнеса», — говорит Мотта, добавляя, что предложение нескольких продуктов также делает его стартап более привлекательным для брокеров.
Существует более серьезная системная проблема, стоящая как перед Coalition, так и перед At-Bay. Несмотря на быстрый рост киберстрахования за последние несколько лет, некоторые инсайдеры отрасли ставят под сомнение его устойчивость. Они опасаются, что схемы взлома меняются слишком быстро, чтобы надежно оценить риск, и большинство клиентов по-прежнему к этому не готовы, что увеличивает вероятность катастрофического события, причиняющего ущерб в десятки миллиардов долларов.
Очевидно, что в случае, если у традиционных страховщиков в киберпространстве год выдался неудачным, другие сферы их бизнеса могли бы стать подушкой безопасности. Эти стартапы не могут позволить себе такой роскоши. «Есть реальная вещь, называемая «шрамы от потери денег». И я признаю, что у меня не так уж много таких шрамов», — говорит Ирам. — Я стараюсь окружать себя людьми, у которых появились эти шрамы, потому что интуиция и видение перспективы вырабатываются, когда занимаешься чем-то в течение 25-30 лет».