Fyrir um ári komu saman nokkrir reynsluboltar í netöryggismálum hér á landi og ræddu saman um nýja hugmynd varðandi netöryggislausnir sem hafði kviknað hjá dr. Ými Vigfússyni. Boltinn fór fljótt að rúlla eftir það, sótt var um einkaleyfi og erlendur fjárfestir og frumkvöðull fjárfesti í hugmyndinni eftir að hafa rætt við hópinn í þrjá daga. Í dag er fyrirtækið að ljúka þriðju umferð fjármögnunar og er það þar metið á 10 milljónir Bandaríkjadala, eða um 1,4 milljarða.
Hugmyndin sem fyrirtækið byggir á er nokkuð sérstæð og snýr í raun núverandi aðferðum við tölvuöryggi á hvolf, en með því telja forsvarsmenn þess að hægt verði að draga verulega úr hættu á að tölvuþrjótar nái að valda miklum skaða eða stela mikilvægum gögnum þegar brotist er inn. Í rauninni að tölvuþrjótar komist ekki lengra en inn í vél þess sem ráðist er á, en nái ekki að brjóta sér lengra leið inn í kerfi viðkomandi fyrirtækja eða stofnana.
Valdimar Óskarsson, forstjóri fyrirtækisins, Keystrike, segir í samtali við mbl.is að Ýmir hafi upphaflega rætt hugmyndina við sig í mars í fyrra. Ýmir, sem er einn af stofnendum tölvuöryggisfyrirtækisins Syndis og Adversary og undanfarið dósent við Emory háskólann í Georgíu í Bandaríkjunum, hafi því næst sett hugmyndina niður á blað og var hún valin hugmynd ársins hjá háskólanum. Í kjölfarið sótti skólinn um foreinkaleyfi á hugmyndinni fyrir hann.
„Við komum svo saman sem hópur seinni part ársins og stofnuðum fyrirtæki í Bandaríkjunum í janúar, en með útibú á Íslandi,“ útskýrir Valdimar. Emory háskólinn er einn hluthafa í fyrirtækinu vegna starfa Ýmis þar og er það ástæða staðsetningarinnar. Háskólinn hefur verið virkur hluthafi hingað til og sendi meðal annars forsvarsmenn Keystrike á viðskiptahraðal fyrir tæknifyrirtæki í Bandaríkjunum.
Hinir stofnendurnir eru svo Árni S. Pétursson, fyrrverandi yfirmaður viðskiptaþróunar og markaðsmála hjá Betware, Steindór Guðmundsson, fyrrverandi framkvæmdastjóri Adversary (sproti út frá Syndis) og þróunarstjóri hjá Betware og Árni Þór Árnason, fyrrverandi rekstrarstjóri AwareGO. Valdimar var sjálfur framkvæmdastjóri Syndis og rekstrarstjóri Betware í áratug.
Til að gera langa sögu stutta gengur hugmyndin og í dag lausn fyrirtækisins út á að votta að innsláttur hafi átt sér stað frá vinnustöð notenda. Það þýðir í raun að hugbúnaðurinn vottar að það hafi verið manneskja á bak við lyklaborðið sem framkvæmir þær skipanir sem eru sendar áfram t.d. inn á tölvukerfi fyrirtækja eða stofnana, eða í gegnum fjarvinnslukerfi. Valdimar tekur fram að þetta staðfesti ekki hvaða manneskja hafi verið að slá inn skipanirnar, en að þær komi frá ákveðinni vél.
En hvaða máli skiptir þetta umfram þær öryggislausnir sem eru í boði í dag? Valdimar segir að með þessu sé í raun verið að koma í veg fyrir nokkrar ef ekki flestar af helstu innbrotaleiðum sem tölvuþrjótar noti í dag eða nái allavega að draga verulega úr áhrifum þeirra, meðal annars þegar kemur að svokölluðum einbeittum tölvuárásum (e. spear phishing).
„Við köllum þetta stöðuga auðkenningu,“ segir Valdimar. Í hvert sinn sem stafur, eða músarsmellur er framkvæmdur á tölvu er bæði innslátturinn og framkvæmdin kóðuð og send af stað á netþjón viðkomandi fyrirtækis eða stofnunar sem starfsmaðurinn er að tengja sig við. Ef bæði innslátturinn og framkvæmdin stemma getur notandinn haldið áfram starfi sínu áfram án vandræða, en komi upp einhver skekkja stöðvast notkun hans samstundis þannig að ekki er lengur hægt að slá neitt inn.
Við getum hugsað okkur starfsmann sem vinnur heima og skráir sig inn á tölvukerfi fyrirtækis þar sem hann vinnur, en þar eru jafnframt öll viðkvæm gögn fyrirtækisins hýst. Komist tölvuþrjótur inn í tölvu stafsmannsins þá getur hann auðvitað sótt einhver gögn þar, excel skjöl sem hafa verið vistuð beint á tölvuna o.s.frv., en strax og hann reynir að framkvæma eitthvað inn á netþjónin, þá lokast strax á þá tengingu.
Þær lausnir sem hafa verið í boði hingað til ganga allar út á að auka öryggi við innskráningu eða með að þefa uppi mögulega veikleika í kerfum og umferð um netkerfi. Að sögn Valdimars hefur hins vegar ekki verið nein lausn sem kemur í veg fyrir að tölvuþrjótar, sem hafa komist inn á eina tölvu sem tengist fyrirtækjaneti, geti athafnað sig inn á fyrirtækjanetinu eða farið þaðan lengra áfram.
„Þessu er í raun snúið smá á haus. Allar varnir sem þú sérð í netöryggi í dag eru að reyna að finna óeðlilega hegðun, en við erum ekki að gera það heldur að votta æskilega hegðun,“ segir hann.
Valdimar tekur fram að áfram verði auðkenning, og þá helst tvíþætt auðkenning, mjög mikilvæg fyrir notendur að staðfest hver það sé sem er að skrá sig inn í kerfi. En með því að bæta við öryggisventli sem svo tryggi líka að viðkomandi innskráning og öll notkun í kjölfarið sé frá ákveðinni tölvu sem hafi fyrirfram fengið heimild til að vera skráð inn, þá verði allt öryggi mun betra.
Valdimar segir að þessi lausn hafi ekki áhrif ef einhver beitir valdi eða hafi komist yfir efnislegt eintak tölvu, en að slíkt eigi við um fæst tölvuinnbrot í dag. „Árásarvinkillinn er svo stór og frá löndum eins og Rússlandi, Norður-Kóreu, Ísrael og fleirum. Með þessu ertu að blokka þessar árásir sem eru gerðar yfir netið,“ segir hann. Þetta hafi meðal annars verið algengar aðferðir þegar tölvuþrjótar hafi reynt að komast yfir aðgang hjá kerfislega mikilvægum fyrirtækjum eins og orkuframleiðslu. Þar séu starfsmenn eða kerfisstjórar sem skrái sig inn í mikilvæg kerfi, en með þessu sé komið í veg fyrir að einhver komist svo langt áfram, nema þá ef hann er með viðkomandi tölvu starfsmannsins ofan á það að geta skráð sig inn.
Spurður hvort þetta sé þá 100% örugg lausn stígur Valdimar varlega til jarðar. „Við myndum aldrei segja að eitthvað sé 100% öruggt, en við teljum þetta vera gríðarlega hækkun á þeim þröskuldi sem fyrir er,“ segir hann. „Það geta alltaf verið mannleg mistök, eða að einhver gleymi einhverju.“ Fyrir flesta tölvuþrjóta yrði einnig öryggislausn sem þessi það mikill viðbótarhöfuðverkur að það væri ekki tímans virði að reyna innbrot.
Áður en fyrirtækið var formlega stofnað í janúar hafði erlendur fjárfestir og frumkvöðull í netöryggismálum, Philippe Langlois, heimsótt Keystrike til Íslands og varið þremur dögum með teyminu. Í kjölfarið setti hann 350 þúsund Bandaríkjadali í fyrirtækið gegn 5% hlut og var það þar með komið með 7 milljón dala verðmiða, eða tæplega milljarð íslenskra króna. Valdimar segir að hann hafi einnig átt kost á að bæta í fyrirtækinu fyrir 500 þúsund dali, sem hann hafi gert.
Langlois þessi var einn af stofnendum netöryggisfyrirtækisins Qualys, en það er í dag metið á tæplega sex milljarða Bandaríkjadali og er með á þriðja þúsund starfsmenn.
Á fyrrnefndum viðskiptahraðli komust Keystrike-menn einnig í samband við hjón sem ákváðu að fjárfesta í fyrirtækinu og þá var heildarverðmatið komið upp í 8,1 milljón dala. Í dag er svo í gangi þriðja umferð fjármögnunar sem Valdimar segir að sé verið að loka. Þar sé verið að selja takmörkuðum hópi fjárfesta, aðallega erlendum, en einnig nokkrum innlendum einkafjárfestum, og er verðmat fyrirtækisins þar upp á 10 milljónir dala, en það jafngildir 1,4 milljörðum króna. Og það í raun áður en lausn fyrirtækisins hefur formlega verið gefin út.
Lausn Keystrike er þó þegar komin í tilraunafasa hjá um tug fyrirtækja hér á landi og einu stóru alþjóðlegu smásölufyrirtæki sem er með yfir níu þúsund starfsmenn að sögn Valdimars.
Hjá Keystrike starfa í dag 11 starfsmenn, þar af sölumenn bæði í Bandaríkjunum og Evrópu. Valdimar segir að áætlun fyrirtækisins geri ráð fyrir að það verði reglulega bætt við starfsfólki næstu misserin og að fjöldi starfsmanna verði kominn upp í 27 í lok næsta árs. Í ljósi þess að fyrirtækið er skráð í Bandaríkjunum er ekki úr vegi að spyrja hvort áform eru um að færa þróunina erlendis. Valdimar segir það hins vegar ekki planið.
Hér á landi sé gott umhverfi fyrir nýsköpunarfyrirtæki, þar sem fyrirtækið hafi fengið styrk frá Rannís og í boði sé 35% endurgreiðsla á þróunarkostnaði. Rétt sé að starfsmannakostnaður hér sé hærri en víða, en á móti standi þéttur hópur á bak við fyrirtækið og að tengingar hér á landi séu mikilvægar. Segir hann ljóst að sölu- og markaðsstarf muni verða erlendis, en að þeir vilji eftir fremsta megni halda þróuninni og stjórnun fyrirtækisins hér á landi.