Hai cựu điệp viên khuấy đảo an ninh mạng

Tháng 11.2022, các tin tặc Nga từng bí mật xâm nhập vào mạng lưới máy tính của Mỹ, trong đó có 400 máy chủ ảo với địa chỉ IP giống như của những tổ chức và doanh nghiệp thực sự. Nhưng họ rơi vào bẫy của Coalition – công ty fintech đặt tại San Francisco áp dụng công nghệ tân tiến vào bảo hiểm, vốn là một trong những lĩnh vực đã phát triển lâu đời nhất thế giới, để ngăn chặn những cuộc tấn công mạng.

“Chỉ có tin tặc mới cố kết nối với các máy chủ này,” đồng sáng lập kiêm CEO Coalition Joshua Motta, 40 tuổi, cựu chuyên viên phân tích của CIA, cho biết.

Coalition phát hiện tin tặc đang tìm lỗ hổng trong MOVEit, loại phần mềm thường dùng để chuyển tập tin dung lượng lớn chứa thông tin mật. Sau đó công ty gửi mail cho bốn khách hàng đã cài đặt MOVEit ngoài phạm vi mạng máy tính của họ, khuyến cáo họ chuyển sang mạng riêng ảo (VPN).

Sáu tháng sau, Progress Software, công ty đặt tại Massachusetts cung cấp MOVEit, thông báo phát hiện lỗ hổng bảo mật nghiêm trọng trong phần mềm này và đưa ra bản vá để khắc phục.

Tuy nhiên, Clop, nhóm tin tặc dùng mã độc tống tiền (ransomeware) nổi tiếng của Nga, đã khai thác lỗ hổng này để tấn công vào mạng máy tính của một số tổ chức và doanh nghiệp. Nhóm này yêu cầu nạn nhân phải trả tiền chuộc nếu muốn không công khai dữ liệu nhạy cảm.

Coalition tiến hành điều tra hệ thống bảo mật của khách hàng thêm một lần nữa và ghi nhận 19 tổ chức và doanh nghiệp, có doanh thu từ 10 triệu đến một tỷ USD, đang sử dụng MOVEit và gửi mail hướng dẫn cách cài đặt bản vá. Trong vòng một tháng, 14 công ty đã làm theo.

Thái độ cảnh giác như vậy mang lại thành quả. Đến nay, không ai trong số 85 ngàn khách hàng của Coalition khiếu nại vấn đề nào liên quan đến MOVEit. Đây là kết quả tích cực nếu so sánh với việc hàng ngàn tổ chức và doanh nghiệp, cùng hơn 90 triệu người cho biết dữ liệu công ty hoặc cá nhân đã bị ảnh hưởng do sự cố của MOVEit.

Kể từ năm 2017, Coalition và đối thủ đáng gờm nhất At-Bay, công ty cũng đặt trụ sở tại San Francisco, đã đổi mới cách thẩm định và quản lý bảo hiểm an ninh mạng, đặc biệt là cho khách hàng tổ chức, doanh nghiệp quy mô vừa và nhỏ.

Các công ty bảo hiểm truyền thống thường không theo kịp tình hình hiện tại nên chỉ gửi đến khách hàng tiềm năng những câu hỏi đơn giản, ví dụ như họ đã cài đặt phần mềm diệt virus hay chưa. Ngược lại, những công ty mới sẽ có cách làm tương tự như tin tặc là sàng lọc khách hàng tiềm năng.

Đôi khi các công ty sẽ đưa ra yêu cầu cụ thể về cập nhật hệ thống bảo mật trước khi đồng ý cung cấp bảo hiểm, hoặc thẳng thắn từ chối khách hàng.

“Chúng tôi sẵn sàng để khách hàng lựa chọn các công ty khác như AIG hay Chubb,” Rotem Iram (43 tuổi), đồng sáng lập và CEO At-Bay, cho biết. Rotem Iram từng là thành viên thuộc đơn vị thông tin tình báo an ninh mạng của Israel.

Joshua Motta cho biết Coalition từng từ chối cung cấp bảo hiểm cho một trường học ở Texas năm 2020 khi quá trình thẩm định cho thấy một vài địa chỉ IP kết nối với hệ thống máy chủ C2 (Kiểm soát và Giám sát) của một nhóm tin tặc nổi tiếng.

Năm tháng sau, khi trường này nộp lại hồ sơ đăng ký bảo hiểm, thông qua đánh giá sơ bộ Coalition phát hiện nơi đây từng bị tấn công mạng và đã yêu cầu khoản bồi thường hai triệu USD từ một công ty bảo hiểm khác không quá nghiêm ngặt trong khâu thẩm định.

Ngay cả khi đồng ý cung cấp bảo hiểm, Coalition và At-Bay vẫn sẽ đánh giá và gửi đi cảnh báo để kiểm soát rủi ro trong hệ thống bảo mật của cả công ty lẫn khách hàng. Trên thực tế, các doanh nghiệp nhỏ thường không trả tiền cho các dịch vụ an ninh mạng độc lập, nhưng lại sẵn sàng chi tiền bảo hiểm để có cả hai lợi ích – dù họ cũng không thực sự quan tâm.

Rotem Iram mô tả việc thuyết phục khách hàng nhìn nhận nghiêm túc về rủi ro an ninh mạng là quá trình dài hơi.

“Mọi người không để tâm đến an ninh mạng. Vì tôi đã làm việc lâu năm trong lĩnh vực này, nên tôi tưởng ai cũng nghĩ giống mình. Nhưng thực tế thì ngược lại,” Iram chia sẻ. Ông cho biết nếu một khách hàng cố tình cài phần mềm có nguy cơ bị xâm nhập, At-Bay sẽ thông báo thu gấp đôi phí bảo hiểm.

Việc kết hợp cả thẩm định, cảnh báo và thuyết phục như vậy cho phép Coalition và At-Bay đưa ra mức phí bảo hiểm thấp hơn, giúp hai công ty xây dựng niềm tin của những nhà môi giới bảo hiểm và có chỗ đứng vững chắc trên thị trường.

Khi công ty bắt đầu hoạt động, an ninh mạng là thị trường ngách còn khá mới mẻ, nhưng nhu cầu tăng cao do ngày càng có nhiều vụ tấn công mạng kể từ thời điểm dịch Covid-19 là nguyên nhân góp phần tạo nên thành công của Coalition và At-Bay.

Theo công ty phân tích thị trường CyberCuber có trụ sở tại San Francisco, quy mô thị trường bảo hiểm an ninh mạng toàn cầu ước tính tăng từ dưới một tỷ USD năm 2012 lên 11 tỷ USD năm 2023.

Các hợp đồng bảo hiểm thường sẽ hỗ trợ chi phí khắc phục, điều tra, thiệt hại tài chính và quy trình pháp lý liên quan đến những vụ tấn công bằng mã độc, lừa đảo qua email doanh nghiệp (hình thức tội phạm mạo danh công ty để lừa người khác thanh toán hóa đơn giả) và vi phạm quyền riêng tư.

Motta đưa ra ví dụ: Năm 2020, tin tặc sử dụng tài khoản đăng nhập của nhân viên làm việc tại nhà máy chưng cất rượu ở Kansas để tấn công và đánh sập toàn bộ hệ thống máy tính. Sự cố này làm miếng đệm bịt kín thiết bị dùng để vận chuyển chất lỏng bị khô và nứt, gây thiệt hại về tài sản.

Coalition và các công ty tái bảo hiểm thanh toán khoản bồi thường khoảng hai triệu USD cho cơ sở này, bao gồm gần một triệu USD thiệt hại doanh thu, 600 ngàn USD tiền ngăn chặn mã độc để hệ thống hoạt động trở lại và chi phí cho luật sư cũng như pháp y kỹ thuật số. Nhà máy này đã mua hợp đồng bảo hiểm có giá trị không quá 10 triệu USD, mỗi năm chỉ đóng khoản phí 21 ngàn USD với mức khấu trừ 25 ngàn USD.

Hiện tại, hợp đồng bảo hiểm của Coalition có mức phí tối thiểu 120 ngàn USD và cao hơn đối với công ty có hệ thống bảo mật kém. Tuy vậy, mức phí có thể sẽ chững lại. Sau gần ba năm duy trì mức cao, phí bảo hiểm trung bình đã giảm khoảng 20% trong năm 2023 khi số lượng công ty bảo hiểm gia tăng và nhiều khách hàng nâng cao khả năng bảo mật hơn.

Dù vậy, Coalition vẫn thu về hơn 630 triệu USD tổng doanh thu chi phí bảo hiểm an ninh mạng năm 2023, tăng 15% so với năm 2022. Trong khi đó, doanh thu của At-Bay tăng 20% lên 301 triệu USD. Hai công ty không giữ lại toàn bộ phí bảo hiểm. Coalition chỉ giữ 10% phí bảo hiểm rủi ro và At-Bay là 20%. Khoản còn lại và phần lớn phí bảo hiểm sẽ chuyển sang các đại lý và công ty tái bảo hiểm lớn như Swiss Re và Munich Re. Trong năm 2023, doanh thu thuần của Coalition và At-Bay lần lượt đạt gần 300 triệu USD và hơn 100 triệu USD.

Tuy chưa có lãi, nhưng hai công ty đều có kết quả tăng trưởng tốt trong lĩnh vực fintech đầy thách thức và lọt vào danh sách Forbes Fintech 50 năm 2024. Cả Coalition và At-Bay vẫn còn nguồn vốn hoạt động, song hai công ty cần huy động thêm tiền trong thời gian tới và chấp nhận giảm mức định giá doanh nghiệp do tình hình chung của thị trường.

Lần gần nhất Coalition huy động vốn đã từ năm 2022, khi đó công ty đạt vốn hóa thị trường năm tỷ USD. Theo ước tính của Forbes, điều này nâng giá trị 20% cổ phần của Motta trong công ty lên gần một tỷ USD.

Coalition và At-Bay chưa từng phải chịu tổn thất lớn nào, dẫu đó vẫn luôn là rủi ro tiềm ẩn. Bên cạnh đó, hai công ty đối mặt với khó khăn chung mà các doanh nghiệp thực hiện những ý tưởng mới trong công nghệ tài chính, bao gồm tư vấn tài chính tự động, hay gặp phải. Đó là nguy cơ những công ty lớn hơn có thể sao chép ý tưởng và vượt qua các công ty này ngay trong chính lĩnh vực mà họ đang tiên phong.

David Lewison, giám đốc công ty môi giới bảo hiểm Amwins, người đã thẩm định hợp đồng bảo hiểm an ninh mạng trị giá 500 triệu USD cho những doanh nghiệp vừa và nhỏ, lưu ý rằng Chubb và một vài công ty bảo hiểm nổi tiếng khác đã đưa việc kiểm tra mạng máy tính vào quy trình đánh giá rủi ro. Tuy vậy, từ kinh nghiệm của bản thân, Lewison tin Coalition, At-Bay và Corvus tiên phong và chủ động nhất trong rà soát lỗ hổng và cảnh báo tới khách hàng.

Corvus là công ty fintech về bảo hiểm an ninh mạng thành lập năm 2017. Vào đầu năm 2024, Travelers mua lại Corvus với giá trị 435 triệu USD, thấp hơn nhiều so với mức định giá 750 triệu USD công ty đạt được từ đợt huy động vốn trong năm 2021. Nhưng con số này cao hơn gần ba lần so với số tiền 170 triệu USD mà các nhà đầu tư đã rót cho Corvus.

•  •  •

Một buổi sáng tháng 1.2024, Iram ngồi cùng nhân viên trong phòng họp ở trụ sở chính của At-Bay tại San Francisco, Mỹ. Dẫu đang ngồi, nhưng với chiều cao 1,93m, Iram vẫn tạo cảm giác vô cùng to lớn. Ông đang lắng nghe nhân viên báo cáo về ảnh hưởng từ “Citrix Bleed,” sự cố liên quan đến lỗ hổng trong công nghệ truy cập từ xa do công ty phần mềm Citrix phát triển.

Citrix trước đó đã thông tin về lỗ hổng này và phát hành bản vá sửa lỗi hồi tháng 10.2023. Sau khi các nhà nghiên cứu từ bên thứ ba phát hiện lỗ hổng có nguy cơ bị lợi dụng, đội ngũ kỹ sư At-Bay làm việc tại Tel Aviv (Israel) đã nhanh chóng phát triển loại mã lập trình để xác định khách hàng nào có khả năng bị tấn công mạng cao nhất và hoàn thành sau hai ngày.

Họ ghi nhận 345 trong 35 ngàn khách hàng đang sử dụng công nghệ này, yêu cầu họ mau chóng cài đặt bản vá từ Citrix và liên lạc với 70 khách hàng có nguy cơ nhất. Trong sáu tuần, 334 khách hàng đã cài bản vá.

Việc đưa ra bản vá đúng thời điểm là điều quan trọng. Sau khi Citrix công bố về lỗ hổng, các nhóm tin tặc nổi tiếng như Lockbit, Medusa và Alphy đã tận dụng điều đó.

Đến nay, Citrix Bleed được xem là nguyên nhân dẫn đến những vụ tấn công vào hệ thống máy tính của các doanh nghiệp gồm Boeing, Toyota Financial Services và Ngân hàng Công thương Trung Quốc (ICBC).

Vào tháng 12.2023, Xfinity, đơn vị cung cấp dịch vụ Internet của Comcast, thông báo tới 36 triệu khách hàng rằng thông tin cá nhân của họ, gồm họ tên, ngày tháng năm sinh, câu hỏi bảo mật và những chi tiết trong mã số an sinh xã hội, có thể đã bị rò rỉ. Tuy nhiên, chỉ có năm công ty gửi yêu cầu bồi thường thiệt hại từ sự cố Citrix Bleed tới At-Bay và công ty ước tính tổng thiệt hại dưới hai triệu USD.

Iram nhận định, “Citrix Bleed” có độ rủi ro chỉ ở mức trung bình đến thấp so với sự cố lỗ hổng trong máy chủ email của Microsoft, từng ảnh hưởng đến 10% khách hàng của At-Bay hồi năm 2022 với thiệt hại hơn 10 triệu USD.

Iram phải đối mặt với nhiều khó khăn kể từ khi lực lượng Hamas tiến hành cuộc tấn công tại Israel và Israel đưa quân đội vào dải Gaza vào ngày 7.10.2023. 20% trong tổng số 110 nhân viên người Israel tại At-Bay phải ra chiến trận, khiến công ty phải gác lại một số dự án. Những nhân viên còn lại phải cật lực làm việc để đảm bảo tiến độ hoàn thành công việc.

Năm 18 tuổi, Iram tham gia nghĩa vụ quân sự bắt buộc và được điều vào đơn vị 8200 thuộc tổ chức Israeli Intelligence Corp. Đây là nơi đào tạo nên những nhân vật nổi tiếng trong lĩnh vực an ninh mạng, gồm tỷ phú Gil Shwed, đồng sáng lập kiêm CEO Check Point Software và Assaf Rappaport, đồng sáng lập kiêm CEO công ty cung cấp dịch vụ bảo mật điện toán đám mây Wiz.

Iram hoạt động năm năm tại đơn vị này và thăng bậc đội trưởng với 300 nhân viên dưới quyền. Thời gian sau, Iram theo học ngành kỹ thuật máy tính tại Đại học Hebrew của Jerusalem, làm kỹ sư phần mềm rồi tư vấn viên cho McKinsey và tốt nghiệp chương trình MBA của Havard. Ông có thời gian ngắn phụ trách mảng an ninh mạng ở K2 Intelligence (nay đổi tên thành K2 Intergrity), công ty tư vấn về rủi ro toàn cầu đặt trụ sở tại New York.

Năm 2016, Iram rời K2, thành lập At-Bay cùng ba nhà sáng lập khác với khoản đầu tư ban đầu từ HSB, đơn vị tập trung vào công nghệ thuộc công ty tái bảo hiểm Munich Re.

Đến năm 2017, At-Bay chính thức hoạt động, nhận vốn hạt giống từ Lightspeed Venture Partners và những nhà đầu tư khác. Năm 2020, trong khi nhiều công ty lâu năm trong ngành hạ hạn mức và nâng phí bảo hiểm do các vụ tấn công mã độc tăng, At-Bay lại đi hướng khác. Trong năm 2021, At-Bay ghi nhận tổng doanh thu phí bảo hiểm tăng vọt lên 120 triệu USD từ 20 triệu USD năm 2020.

Tính đến hiện tại, chiến lược ứng dụng công nghệ của At-Bay giúp công ty duy trì tỷ lệ tổn thất trong năm 2022 ở mức 29%, thấp hơn đáng kể so với tỷ lệ trung bình 45% của nhóm 20 công ty bảo hiểm an ninh mạng hàng đầu nước Mỹ (năm 2022 là năm gần nhất có đầy đủ dữ liệu, vì các yêu cầu bồi thường phải cần nhiều tháng để xử lý).

Hiện nay, At-Bay đang tập trung vào phát triển công cụ bảo mật để đưa vào hợp đồng bảo hiểm. Việc giám sát lỗ hổng bảo mật trở thành một phần trong hợp đồng bảo hiểm tiêu chuẩn của công ty này. Gần đây, At-Bay ra mắt sản phẩm quản trị phát hiện và xử lý sự cố (MDR) có mức phí khởi điểm khoảng 5.000 USD. Giải pháp này được phát triển để kết nối với hệ thống máy tính nội bộ của khách hàng, bao gồm cả Microsoft 365.

Điều đó sẽ giúp công ty đánh giá rủi ro hiệu quả hơn. Chẳng hạn, MDR cho phép At-Bay kiểm tra xem liệu nhân viên của một công ty nào đó có sử dụng phương thức xác thực đa yếu tố (MFA) để đăng nhập hay không.

Iram muốn nâng cao hơn nữa các phần mềm bảo mật của At-Bay. Tuy vậy, ông quyết định không đa dạng hóa sản phẩm, tương tự dự tính của Motta. Đến nay, At-Bay huy động được 292 triệu USD, đạt mức định giá 1,4 tỷ USD từ vòng gọi vốn gần nhất vào giữa năm 2021. Công ty cho biết có dự trữ tiền mặt gần 200 triệu USD.

•  •  •

Với lượng khách hàng đa dạng từ các phòng khám của bác sĩ, đội bóng bầu dục NFL cho đến các hãng sản xuất tương ớt và startup tiền mã hóa, Motta cảnh báo: “Nếu sử dụng máy tính và kết nối Internet thì bạn thường sẽ gặp rủi ro về bảo mật trên không gian mạng.”

Văn phòng tại nhà của ông nằm ở khu dân cư Pacific Palisades, Los Angeles, hướng ra biển. Có không dưới sáu tấm biển ghi dòng chữ “giám sát và bảo mật 24/7” đặt ở hàng rào bên ngoài ngôi nhà.

“Giống như bảo mật ở kho vàng Fort Knox vậy,” ông cho biết. Với đặc thù công việc như của Motta, tỉnh táo và tự bảo vệ bản thân là những yếu tố rất quan trọng. Khi gia nhập Coalition hoặc At-Bay và cập nhật thông tin việc làm trên nền tảng LinkedIn, nhân viên thường sẽ nhận nhiều tin nhắn lừa đảo mạo danh CEO mới của mình.

Lớn lên ở ngoại ô Kansas City, Motta sớm hình thành niềm đam mê về Internet nhờ hai người chú làm việc trong lĩnh vực kỹ thuật mạng. Đến năm 12 tuổi, ông phát triển trang web cho các công ty môi giới bất động sản địa phương và được nhận vào chương trình thực tập sinh lập trình hè tại Microsoft với thu nhập 15 USD/ giờ ở tuổi 15.

Tại Microsoft, Motta tạo ấn tượng với phần mềm giỏ hàng mua sắm mà ông phát triển cho các công ty như DogToys.com. Trong khoảng thời gian theo học ngành quốc tế học ở Đại học Chicago, Motta từng làm nhân viên phân tích bán thời gian cho Cơ quan Tình báo Mỹ (CIA), nơi ông học về các chiến lược tấn công mạng mà những cá nhân/ tổ chức thù địch của Mỹ thực hiện.

Sau khi tốt nghiệp đại học, Motta thử sức trong lĩnh vực ngân hàng đầu tư tại Goldman Sachs ở London, tham gia lĩnh vực đầu tư tư nhân và mạo hiểm trong thời gian ngắn. Năm 2011, Motta gia nhập Cloudflare và trở thành nhân viên thứ 20 của công ty bảo mật cơ sở hạ tầng mạng này.

Năm 2016, Motta cùng Max Kelly, cựu giám đốc bảo mật tại Facebook, và John Hering, nhà sáng lập Công ty Lookout, đồng sáng lập Công ty Redacted. Tuy vậy, trong khi Max Kelly muốn phát triển công nghệ bảo mật cho các doanh nghiệp lớn, Motta lại tập trung vào lĩnh vực bảo hiểm. Do đó, Hering và Motta tách ra lập công ty riêng, lấy tên là Coalition với nguồn vốn 10 triệu USD từ các nhà đầu tư gồm Vy Ventures, Ribbit Capital và Valor. Coalition ra mắt ngày 5.12.2017, ba tuần sau khi At-Bay đi vào hoạt động.

Ngay từ khi mới thành lập, Motta đã định hướng Coalition phát triển nhanh hơn At-Bay. Cả hai công ty đều có công nghệ tân tiến, chi phí thấp và quy trình thẩm định nhanh chóng.

Nhưng Motta có thêm nhân tố quan trọng là con người. Ông tuyển dụng nhân lực có kinh nghiệm lâu năm trong ngành bảo hiểm, những người đã xây dựng mối quan hệ với các công ty môi giới độc lập chủ yếu cung cấp bảo hiểm kinh doanh. Điều này giúp Coalition mau chóng huy động tài chính vào năm 2020 khi nhu cầu bảo hiểm tăng cao.

Motta cũng chủ động hơn trong việc tiếp cận nguồn vốn đầu tư mạo hiểm đang đổ vào lĩnh vực fintech kể từ giai đoạn dịch Covid-19. Đến giữa năm 2022, Coalition huy động thành công số vốn ấn tượng 770 triệu USD.

Tuy nhiên, việc nắm trong tay khoản tài chính lớn như vậy cũng dẫn đến quyết định sai lầm. Năm 2021, Coalition mua lại Attune, công ty về bảo hiểm và giao dịch số có trụ sở tại New York cung cấp dịch vụ cho 15 ngàn môi giới chuyên bán các hợp đồng bảo hiểm kinh doanh nhỏ, từ bảo hiểm trách nhiệm nghề nghiệp, bảo hiểm bồi thường người lao động đến bảo hiểm lũ lụt. Nhưng việc kinh doanh bảo hiểm của Attune khi đó đang thua lỗ và tình hình tài chính trở nên tồi tệ hơn sau trận bão đổ bộ vào Florida hồi tháng 9.2022.

Chỉ sau 15 tháng, Motta phải bán Attune. Coalition không tiết lộ đã thu về bao nhiêu từ thương vụ này, nhưng một nguồn tin thân cận cho biết công ty đã thiệt hại đáng kể về mặt tài chính khi bán Attune. Lý giải về quyết định trên, Motta cho biết Coalition đã trở thành nhà cung cấp độc quyền bảo hiểm an ninh mạng cho nền tảng của Attune. Ông khẳng định đây là mục tiêu mà mình đã vạch ra từ đầu.

Coalition cũng mở rộng sang các mảng khác của bảo hiểm: bảo hiểm trách nhiệm cho giám đốc và nhân viên văn phòng. “Tôi muốn trở thành nhà cung cấp bảo hiểm hàng đầu thế giới cho kinh doanh số,” Motta chia sẻ. Ông cho biết thêm, việc ra mắt nhiều sản phẩm giúp Coalition có sức hút hơn với các công ty môi giới.

Coalition và At-Bay đều đang đứng trước những thách thức lớn. Mặc dù thị trường bảo hiểm an ninh mạng phát triển nhanh chóng trong một vài năm qua, các chuyên gia vẫn hoài nghi về khả năng tăng trưởng ổn định về lâu dài. Họ cho rằng các phương thức tấn công liên tục thay đổi sẽ khiến việc đánh giá rủi ro trở nên khó khăn và phần lớn khách hàng chưa có sự chuẩn bị, dấy lên những lo ngại về sự cố nghiêm trọng có thể gây ra thiệt hại lên đến hàng chục tỷ USD.

Một điều chắc chắn là trong lĩnh vực an ninh mạng, các startup sẽ không có những mảng kinh doanh khác để bù đắp mỗi khi trải qua giai đoạn khó khăn như những doanh nghiệp bảo hiểm truyền thống.

“Tôi thừa nhận bản thân chưa gặp quá nhiều tổn thất về tài chính. Do vậy, tôi cố gắng kết nối, học hỏi những người có trực giác và góc nhìn hình thành từ trải nghiệm trong 25, 30 năm qua,” Iram cho biết. 

Biên dịch: Quỳnh Anh