Axio, eine Plattform für die Bewertung von Cybersicherheitsrisiken, gab heute den Abschluss einer Serie-B-Runde in Höhe von 23 Millionen US-Dollar unter der Leitung von Temaseks ISTARIS bekannt, an der sich die Investoren NFP Ventures, IA Capital Group und der frühere CEO von BP, Bob Dudley, beteiligen. Scott Kannry, CEO von Axio, teilt Tech mit, dass die Erlöse – die das Gesamtkapital von Axio mit Sitz in New York auf 30 Millionen US-Dollar bringen – für die Entwicklung von Produkten und Ingenieurteams, die Unterstützung von Markteinführungsfunktionen und die Expansion in „Schlüsselregionen“ verwendet werden.
Axio wurde 2016 von Kannry und Dave White mitbegründet, die sagen, dass sie von den Schwierigkeiten inspiriert wurden, die Unternehmen oft haben, Entscheidungen über Cybersicherheitsinvestitionen zu treffen. Kannry leitete mehrere Jahre lang das Cyber-Versicherungsteam bei Aon, während Dave von Carnegie Mellon kam und den Großteil seiner Karriere damit verbrachte, Cybersicherheits-Frameworks zu entwickeln, darunter ein Modell – C2M2 (Cybersecurity Capability Maturity Model) –, das vom US-Energieministerium übernommen wurde.
„Wir haben gesehen, wie CEOs und Vorstände damit zu kämpfen hatten, Diskussionen über Cyber-Risiken überhaupt anzusprechen. Zu dieser Zeit war die allgemeine Ansicht, dass Cyber im Grunde ein technisches Problem sei, das durch Investitionen in IT von den Leuten, die die IT betreiben, gelöst werde“, sagte Kannry in einem E-Mail-Interview mit Tech. „Angesichts der Welle hochkarätiger Verstöße, die praktisch alle Sektoren, Branchen und Größen von Unternehmen betreffen, erkennen Vorstände und CEOs, dass Cybersicherheit im Grunde ein Geschäftsproblem ist, das buchstäblich eine Diskussion darüber in finanzieller Hinsicht erfordert.“
Axio soll Unternehmen bei der Beantwortung von Fragen helfen, z. B. ob sie in Cyber-Kontrollen (z. B. Endpunktsicherheit) oder in Cyber-Versicherungen investieren sollten und wie viel Budget ein Sicherheitsteam benötigt, um die Wahrscheinlichkeit eines Verlusts zu verringern, sagte Kannry. Das Produkt erstellt Berichte, die das Cyber-Risiko in finanzieller Hinsicht quantifizieren, ohne auf Bewertungen und Fachjargon zurückzugreifen, sodass Abteilungen Informationen eingeben können, um Metriken zu generieren, die zeigen, wie sich ein Unternehmen im Laufe der Zeit verbessert – oder nicht.
Startups wie BitSight bieten ähnliche Produkte an, die die Wahrscheinlichkeit bewerten, dass eine Organisation verletzt wird. Aber Kannry sagt, dass sich Axio durch einen Fokus auf die Modellierung der Auswirkungen von Cyber-Szenarien unterscheidet. Mit anderen Worten, Axio kümmert sich bei der Risikobewertung weniger um Wahrscheinlichkeiten als vielmehr um deren schwerwiegendste Auswirkungen.
Axio hat kürzlich dynamische Szenarien eingeführt, mit denen Unternehmen „Was-wäre-wenn“-Szenarien modellieren können, um zu verstehen, wie sie ihre Sicherheitskontrollen priorisieren können. Es hat auch strategische Partnerschaften mit mehreren großen Cyber-Versicherern geschlossen, die laut Kannry die Axio-Plattform als Teil ihrer Cyber-Versicherungs-Underwriting-Prozesse nutzen.
„Unsere Plattform ermöglicht es Sicherheitsverantwortlichen, ihre bestehenden Sicherheitskontrollen zu überprüfen, ihre Cyber-Exposure in Dollar zu quantifizieren und ihren Versicherungsschutz einem Stresstest zu unterziehen, um zu verstehen, ob sie ausreichend abgedeckt sind. [It moves] über Legacy- und Compliance-gesteuerte Ansätze zur Cybersicherheit hinaus zu stärker risikobasierten Modellen [look] auf Cybersicherheit ganzheitlich und im Kontext der Ausgaben“, sagte Kannry. „In den letzten zwei Jahren haben wir einen deutlichen Anstieg bei den Sicherheitsführern festgestellt, die unsere Plattform nutzen, um ihr Cyberrisiko zu bewerten und zu quantifizieren. Viele unserer Kernkunden im Energiesektor und in kritischen Infrastrukturen begannen, obwohl sie in einigen Fällen Millionen von Dollar pro Jahr für Cybersicherheitskontrollen ausgaben, ihre Cyberprogramme nach hochkarätigen Angriffen wie SolarWinds und der Ransomware-bedingten Abschaltung von Colonial kritisch zu prüfen Pipeline. Gleichzeitig haben uns Cyber-Versicherer und -Rückversicherer gebeten, eine tiefere, quantifizierte Risikotransparenz bereitzustellen, um ihre Underwriting-Teams zu unterstützen.“
Es ist sicherlich richtig, dass Unternehmen, insbesondere öffentliche Unternehmen, unter Druck stehen, Cyber-Risiken besser zu managen. Anfang dieses Jahres die US Securities and Exchange Commission vorgeschlagen neue Berichtsregeln, die sich auf Cybersicherheitshaltungen und -richtlinien für alle börsennotierten Unternehmen beziehen. Obwohl sie noch nicht offiziell verabschiedet wurden, umfassen die vorgeschlagenen Anforderungen regelmäßige Aktualisierungen über zuvor aufgedeckte Cybersicherheitsvorfälle und die Offenlegung der Rolle des Managements bei der Risikominderung und der Implementierung von Cybersicherheitsverfahren.
Inzwischen werden bestimmte Formen von Cyberangriffen immer häufiger. Nach Laut dem Bericht 2022 des Cybersicherheitsunternehmens Sophos wurden 66 % der Unternehmen im vergangenen Jahr von Ransomware-Angriffen getroffen, gegenüber nur 37 % im Jahr 2020.
Angespornt durch diesen Druck, Gartner prognostiziert dass 40 % aller öffentlichen Gremien bis 2025 dedizierte Ausschüsse für Cybersicherheit haben werden.
„Trotz deutlich gestiegener Ausgaben für Cybersicherheit in den letzten Jahren stellen Cyber-Bedrohungen Unternehmen in allen Branchen weiterhin vor große Herausforderungen, insbesondere für Betreiber kritischer Infrastrukturen, die historisch gesehen das Herzstück unseres Kundenstamms waren“, fügte Kannry hinzu. „Die Zunahme staatlich geförderter Cyberangriffe, geopolitischer Instabilität und ‚Ransomware-as-a-Service‘ haben alle die Anfälligkeit des Sektors kritischer Infrastrukturen für Angriffe gezeigt … Die Pandemie [also] die Cyber-Risikolandschaft für unsere Kunden verändert, insbesondere im Bereich der kritischen Infrastruktur. Unternehmen gingen in die Ferne, ermöglichten Mitarbeitern und Systemen den Fernzugriff und führten eine Reihe neuer Technologien und Tools für die Zusammenarbeit ein, die zusätzliche Angriffsvektoren einführten.“
Die Cybersicherheitsbranche, einst der VC-Liebling, wurde kürzlich von Entlassungen heimgesucht, da makroökonomische Faktoren ihren Tribut fordern. Aber Kannry sagt, dass Axio überhaupt keine Probleme hatte, Kunden zu gewinnen, mit einem Kundenstamm, der jetzt insgesamt über 350 Unternehmen umfasst, darunter Versorgungsunternehmen, Öl- und Gasversorger und Energienetz-Fachverbände.
Während er sich weigerte, die Finanzdaten offenzulegen, sagte Kannry, er sei „sehr zufrieden“ mit der runden Größe und den Geschäftsbedingungen, von denen er erwartet, dass Axio die Größe seines 35-köpfigen Teams bis Ende des Jahres verdoppeln wird. „Wir haben eine aggressive Produkt-Roadmap bis 2023“, sagte er. „[We’ll] Wir werden die Mittel teilweise verwenden, um Investitionen in unsere Teams für KI, maschinelles Lernen und Data Science zu beschleunigen, um tiefere Automatisierungsmöglichkeiten hinzuzufügen.“