Axio, платформа для оценки рисков кибербезопасности, сегодня объявила о закрытии раунда серии B на сумму 23 млн. долл. под руководством ISTARI Temasek с участием инвесторов NFP Ventures, IA Capital Group и бывшего генерального директора BP Боба Дадли. Генеральный директор Axio Скотт Каннри сообщил TechCrunch, что выручка, в результате которой общий капитал Axio в Нью-Йорке увеличился до 30 млн. долл., будет направлена на разработку продуктов и команду инженеров, а также на поддержку функций выхода на рынок и расширение в «ключевых регионах».
Axio была основана в 2016 году Каннри и Дэйвом Уайтами, которые говорят, что их вдохновили трудности, с которыми компании часто сталкиваются при принятии решений об инвестициях в кибербезопасность. Каннри несколько лет руководил группой киберстрахования в Aon, а Дэйв пришел из Карнеги-Меллона и большую часть своей карьеры посвятил разработке систем кибербезопасности, включая модель C2M2 (модель зрелости возможностей кибербезопасности), принятую Министерством энергетики США.
«Мы видели, как генеральным директорам и советам директоров не удавалось даже приблизиться к обсуждению киберрисков. В то время было распространено мнение, что киберпространство — это, по сути, техническая проблема, решаемая за счет инвестиций в ИТ людей, которые управляют ИТ», — сказал Каннри в интервью TechCrunch по электронной почте. «Теперь, учитывая волну громких нарушений, затрагивающих практически каждый сектор, отрасль и размер организации, советы директоров и генеральные директора признают, что кибербезопасность — это, по сути, проблема бизнеса, которая буквально требует обсуждения с финансовой точки зрения».
Axio стремится помочь предприятиям ответить на такие вопросы, как, должны ли они инвестировать в средства кибербезопасности (например, в безопасность конечных точек) или в киберстрахование, и какой бюджет нужен группе безопасности, чтобы снизить вероятность убытков, сказал Каннри. Продукт создает отчеты, которые количественно оценивают киберриски в финансовом выражении, не прибегая к оценкам и техническому жаргону, позволяя отделам вводить информацию для создания показателей, показывающих, как компания улучшается или не улучшается с течением времени.
Такие стартапы, как BitSight, предлагают аналогичные продукты, которые оценивают вероятность взлома организации. Но Каннри говорит, что Axio отличается акцентом на моделировании воздействия киберсценариев. Другими словами, Axio меньше беспокоится о вероятностях при оценке рисков и больше об их серьезных последствиях.
Axio недавно представила динамические сценарии, которые позволяют компаниям моделировать сценарии «что, если», чтобы помочь им понять, как расставить приоритеты в своих элементах управления безопасностью. Он также подписал стратегическое партнерство с несколькими крупными киберстраховщиками, которые, по словам Каннри, используют платформу Axio в рамках своих процессов андеррайтинга киберстрахования.
Кредиты изображений: Аксио
«Наша платформа позволяет лидерам в области безопасности определить базовые параметры существующих средств контроля безопасности, количественно оценить свои кибер-уязвимости в долларах и провести стресс-тестирование своего страхового покрытия, чтобы понять, достаточно ли оно покрыто. [It moves] Помимо устаревших подходов к кибербезопасности, основанных на соблюдении требований, к моделям, основанным на рисках, которые [look] в кибербезопасности в целом и в контексте расходов», — сказал Каннри. «За последние два года мы наблюдаем значительный рост числа лидеров в области безопасности, использующих нашу платформу для оценки и количественной оценки своих киберрисков. Многие из наших основных клиентов в сфере энергетики и критической инфраструктуры, несмотря на то, что в некоторых случаях они тратят миллионы долларов в год на контроль кибербезопасности, начали критически оценивать свои киберпрограммы после громких атак, таких как SolarWinds, и закрытия Colonial из-за программы-вымогателя. Трубопровод. В то же время киберстраховщики и перестраховщики просили нас предоставить более глубокую количественную информацию о рисках для поддержки их групп андеррайтеров».
Безусловно, на предприятия, особенно на государственные, оказывается давление, чтобы они лучше управляли кибер-рисками. Ранее в этом году Комиссия по ценным бумагам и биржам США предложила новые правила отчетности, касающиеся положений и политик кибербезопасности для всех публичных компаний. Хотя они не были официально приняты, предлагаемые требования включают периодические обновления информации о ранее выявленных инцидентах кибербезопасности и раскрытие информации о роли руководства в снижении рисков и внедрении процедур кибербезопасности.
Между тем некоторые формы кибератак становятся обычным явлением. Согласно отчету фирмы по кибербезопасности Sophos за 2022 год, 66% организаций пострадали от атак программ-вымогателей в прошлом году, по сравнению с 37% в 2020 году.
Gartner прогнозирует, что к 2025 году 40% всех государственных советов будут иметь специальные комитеты по кибербезопасности, подстегиваемые этим давлением.
«Несмотря на значительное увеличение расходов на кибербезопасность в последние годы, киберугрозы продолжают создавать серьезные проблемы для компаний во всех секторах, особенно для операторов критической инфраструктуры, которые исторически составляли основу нашей клиентской базы», — добавил Каннри. «Рост кибератак, спонсируемых государством, геополитическая нестабильность и «программы-вымогатели как услуга» — все это продемонстрировало восприимчивость сектора критической инфраструктуры к атакам… Пандемия [also] изменили ландшафт киберрисков для наших клиентов, особенно в секторе критической инфраструктуры. Компании перешли на удаленку, предоставляя удаленный доступ для сотрудников и систем и внедряя ряд новых технологий и инструментов для совместной работы, которые создавали дополнительные векторы атак».
Индустрия кибербезопасности, которая когда-то была любимицей венчурного капитала, недавно пострадала от увольнений, поскольку макроэкономические факторы берут свое. Но Каннри говорит, что у Axio не было никаких проблем с привлечением клиентов, а клиентская база насчитывает более 350 компаний, включая коммунальные предприятия, поставщиков нефти и газа и торговые ассоциации энергосетей.
Хотя он отказался раскрыть финансовые показатели, Каннри сказал, что он «очень доволен» размером раунда и условиями сделки, которые, как он ожидает, позволят Axio удвоить размер своей команды из 35 человек к концу года. «У нас есть агрессивная дорожная карта продукта до 2023 года», — сказал он. “[We'll] использовать средства частично для ускорения инвестиций в наши команды по искусственному интеллекту, машинному обучению и науке о данных, чтобы добавить более глубокие возможности автоматизации».