På ét år er sikkerhedsstartuppet Cobalt vokset fra seks til 17 mand og har landet en investering på knap ti millioner. Inden de for alvor kunne trykke på vækstpedalen, skulle produktet dog tilpasses efterspørgslen på markedet.

Fire danske iværksættere stiftede i 2013 Cobalt, og virksomheden endte hurtigt i San Francisco – tæt på de mange tech-virksomheder i Silicon Valley. Lige siden har de hjulpet andre virksomheder med netsikkerheden, og det har de gjort så godt, at de i august sidste år fik en investering på knap ti millioner til vækst.

Bug bounty-konceptet var fra start Cobalts claim-to-fame. Et koncept hvor Cobalt gennem sin platform formidler kontakt mellem virksomheder, der gerne vil have testet deres sikkerhed, og venligtsindede hackere som får en lille dusør – eller bounty – hver gang de finder en fejl. Men siden sidste års investering er en anden model blevet det primære produkt.

”Allerede da vi rejste pengene, oplevede vi interesse i et lidt anderledes produkt. Oprindeligt var det bug bounty – og det tilbyder vi stadig – men vi laver nu noget, der mere ligner det, man har brugt traditionelt; en tidsbegrænset penetrationstest af sikkerheden,” forklarer Esben Friis-Jensen, Chief Product Officer i Cobalt.

Markedet vil have noget nyt – men ikke for nyt

I den oprindelige bug bounty-model, skulle de deltagende virksomheder åbne sin applikation og lade Cobalts hackere søge efter sikkerhedshuller helt frit. Men den model viste sig at være lige visionær nok.

”Med bug bounty inviterer man 200+ hackere til programmet og kører en kontinuerlig sikkerhedstest. Det var meget nyt, og de fleste virksomheder var ikke klar. At gå fra ikke at have et sikkerhedsprogram til at have helt åben, kontinuerlig test, var simpelthen for stort et skridt,” fortæller Esben Friis-Jensen.

For at komme kunderne i møde, skævede de derfor til, hvordan konsulenthuse laver en traditionel penetrationstest: en tidsbegrænset, målrettet sikkerhedstest, hvor de til sidst leverer en sikkerhedsrapport til virksomheden, der har bestilt testen.

”Vi kunne mærke en efterspørgsel på mere traditionelle penetrationstests, så dem har vi ladet os inspirere af. Men vi synes, at måden de blev udført på var outdated – med leverance via word-dokumenter og e-mails. Vi gør det på en ny måde, hvor virksomhederne kommer i direkte kontakt med vores testere rundt i hele verden, og får rapporterne leveret direkte i vores moderne platform,” siger Esben Friis-Jensen.

”Modellen har vist sig at være god, og jeg tror, det har noget at gøre med, at det er noget nyt, men det er ikke for nyt.”

Øjne og ører åbne

Med den nye model kan virksomhederne bedre selv styre, hvad der skal testes og hvor længe, og de får samtidig en sikkerhedsrapport, som de er vant til. Men Cobalt har stadig beholdt så mange nye elementer, at de skiller sig væsentligt ud fra konkurrenterne.

”Vi bruger stadig vores crowd, og hele konceptet bygger på en moderne platform, hvor workflows er gjort så lette som mulige. Vi vil fortsætte med at holde øjne og ører åbne for vores kunder og forstærke vores model yderligere,” siger Esben.

Med den nye model på plads og bug bounty-konceptet som et supplement, mener han, at de har fundet det helt rette produkt til for alvor at vokse.

”Med den nye model, har vi bare set et product/market fit. Vi har sat et stærkt team og har fået skabt det rigtige netværk i sikkerhedsbranchen herovre – så nu er vi klar til for alvor at sætte gang i væksten,” siger Esben Friis-Jensen.

En del af Cobalt teamet på en trappe i San Francisco. Esben Friis-Jensen sidder i midten.
En del af Cobalt-teamet på en trappe i San Francisco. Esben Friis-Jensen sidder som nrummer to fra højre.