Het moet er nu eindelijk maar eens van komen: de doorbraak van beveiliging als ‘managed service’. Wellicht gestimuleerd door de groeiende verkoop van ‘appliances’. Dat is de verwachting van onderzoeksbureau IDC en grote beveiligingsfabrikanten als Check Point, Symantec en Network Associates. De vraag naar beveiligingsproducten blijft ondertussen onverminderd hoog.
Antivirus, VPN, intrusion detection, firewalls en authenticiteit-software, Nederland blijft investeren in de beveiliging van netwerken en computersystemen. Op een moment dat de IT-branchehet zwaar heeft, laat de markt voor beveiligingssoftware en ûhardware nog steeds een flinke groei zien. Oorlog en de dreiging van terrorisme zorgt ongetwijfeld voor alertheid in de zakelijke wereld. Maar ook de zich steeds sneller verspreidende en agressieve virussen zullen er een bijdrage aan leveren, zoals SQL Slammer die onlangs slechts 10 minuten nodig had om de wereld over te gaan. Onderzoeksbureau IDC noteerde in 2002 in Nederland een stijging in de omzet van beveiligingsproducten met ruim 23 procent ten opzichte van 2001. In 2003 wordt nog steeds een stijging in de omzet van deze producten verwacht met ruim twintig procent.
De grote beveiligingsfabrikanten signaleren vooral een toenemende vraag vanuit de overheidsmarkt. De gebeurtenissen van 11 september 2001 worden nog steeds aangevoerd als reden voor de stijgende interesse voor beveiliging vanuit de ambtenarenwereld, maar misschien wel minstens zo belangrijk is de huidige omschakeling van een papieren overheid naar een digitale overheid. Sinds eind vorig jaar zijn alle gemeenten en overheidsdiensten online en sommige overheden bieden inmiddels al de mogelijkheid om online producten of diensten af te nemen. Beveiliging is daarbij zeker voor de overheid een belangrijk gegeven. Banken en verzekeraars accepteren misschien nog een fraudepercentage van een procent, waarbij het verlies versleuteld kan worden over de breedte van alle klanten. Een gemeente kan zich een zelfde marge niet permitteren als het gaat om bijvoorbeeld het online aanvragen van een paspoort.
|
Het appliance-concept spreekt gebruikers volgens IDC aan, omdat zij zich geen zorgen hoeven maken of de software compatible is met de gekochte hardware. En het zou minder installatie- en configuratieproblemen opleveren.
Doorbraak
Fabrikanten zijn het er over eens dat managed security services, het 24×7 volledig laten beheren van de beveiliging door fabrikanten of derde partijen, nu een keer zal doorbreken. Menigeen zal zich afvragen of dat niet een ontwikkeling is waar al drie jaar lang over wordt gepraat. Ja, dat klopt. En elk jaar worden de verwachtingen wederom bijgesteld en zegt men: maar volgend jaar gaat het wel gebeuren. "De trend is nog niet doorgebroken, maar het komt wel", zegt Bart Ankoné, regional director Benelux bij fabrikant Check Point. "Het heeft natuurlijk ook te maken gehad met de economie. Kijk maar naar vorig jaar, welke managed services providers er niet zijn omgevallen: Worldcom, KPNQuest. En het heeft ook met perceptie in de markt te maken. Bedrijven vinden security essentieel, maar vinden tegelijkertijd dat ze het in huis moeten blijven doen. Ook al is de eigen organisatie tien keer meer lek dan wanneer ze het professioneel op afstand laten doen."
Check Point levert dergelijke services zelf niet, maar verkoopt wel programmatuur aan managed services providers. Symantec is twee jaar geleden begonnen met deze diensten en heeft inmiddels zes grote service-centra verspreid over de wereld staan. "In Amerika is er zeer duidelijk vraag naar", zegt Patrick Dalvinck directeur Benelux bij Symantec. "In Europa zie je nu steeds meer vraag opkomen. Initieel waren het vooral de grote ondernemingen die het beheer gingen uitbesteden, maar steeds meer zien we de grote MBK-bedrijven die het ook gaan doen, bedrijven met 300 tot 500 werknemers."
Network Associates verwacht dat managed security services in de vorm van geautomatiseerde security diensten via internet wel een vlucht zullen nemen, maar gelooft niet zozeer in handmatige diensten zoals Symantec die voorstaat. Een bedrijf moet volgens de fabrikant online kunnen checken hoeveel virussen er op zijn netwerk gepakt zijn, ‘monitoring en tracking’, een aantal rapporten inkijken, dat soort services. Network Associates denkt dat de behoeften van de zakelijke en de consumentenmarkt niet eens zo heel ver uit elkaar zullen liggen. Het zou voor beide markten vooral simpel moeten zijn om te gebruiken.
Onderzoeksbureau IDC denkt dat de toenemende vraag naar bijvoorbeeld firewall appliances zou kunnen zorgen voor een verdere ontwikkeling van managed security services. Om een firewall appliance te kunnen managen, zijn er steeds meer fabrikanten die zelf of in samenwerking met service providers dergelijke services aanbieden. IDC verwacht dat deze trend de komende tijd zal doorzetten.
Totaaloplossingen
De afgelopen jaren hebben afnemers van beveiligingsproducten zich over het algemeen gefocust op puntoplossingen; specifieke technologieën voor specifieke (kleine) problemen. Langzamerhand wordt het echter steeds duidelijker dat beveiliging een wat meer complete aanpak vereist. Toch bestaat er nog steeds geen totaaloplossing om in één keer een bedrijf van voren en van achteren volledig ‘dicht te timmeren’. En als een fabrikant het wel levert, dan kan men zich afvragen of het een echte totaaloplossing is. De definities van ’totaaloplossing’ verschillen namelijk van fabrikant tot fabrikant. Symantec bracht een jaar geleden een geïntegreerde oplossing onder de naam Gateway Security op de markt, met daarin een firewall, antivirussoftware, intrusion detection, contentfiltering en VPN. Via één grafische interface kunnen bedrijven vanaf 100 gebruikers met dit product worden beveiligd.
Maar is dit product nu compleet te noemen? Volgens de definities van Network Associates niet, omdat die meer nadruk legt op het proactief aanpakken van beveiligingsproblemen; zoals het in kaart brengen van zwakke plekken in een netwerk, voordat er überhaupt sprake is van een aanval of een virus. De meningen van fabrikanten zijn ook verdeeld als het gaat om het nut van totaaloplossingen. Symantec gelooft er op dit moment heilig in, maar Check Point en Network Associates denken dat de markt er niet op zit te wachten. Network Associates heeft drie jaar geleden zelf ook geprobeerd om een totaaloplossing te slijten, maar interesse vanuit de markt was er nauwelijks. "Wij hebben toen bundels van producten op de markt gebracht, die ongelooflijk compleet waren", zegt Ryan McGee, director of product marketing bij Network Associates.
"De producten communiceerden met elkaar en waren totaal geïntegreerd, maar klanten weigerden absoluut om het te kopen. Die wilden alleen het beste van het beste uit de markt voor elk individueel product. Ze wilden bijvoorbeeld een firewall van Check Point, intrusion detection van ISS en antivirus van McAfee." Network Associates is daarom vrij snel weer van het totale integratie- idee afgestapt en heeft ‘mindere’ producten uit het assortiment afgestoten. Alleen producten waarbij het handig kan zijn dat ze op elkaar zijn afgestemd, brengt Network Associates nu nog geïntegreerd op de markt, zoals een antivirus met een intrusion prevention systeem. Check Point heeft om dezelfde reden nooit geprobeerd om een totaaloplossing uit te brengen en heeft een jaar of zes geleden OPSEC opgezet, een leveranciersonafhankelijk beveiligingsraamwerk, waar inmiddels al ongeveer 300 hardware- en softwareleveranciers hun standaarden op elkaar hebben afgestemd. Het raamwerk garandeert de integratie en uitwisselbaarheid van producten.
Plan
De vraag naar beveiligingsproducten is niet slecht, maar het zou nog beter kunnen, vinden fabrikanten. Het bewustzijn in de markt dat beveiliging een noodzaak is, ontbreekt nog te vaak. "Er wordt nog onvoldoende aan uitgegeven.", zegt Bart Ankoné van Check Point. "Zelfs bedrijfskritische onderdelen van bedrijven worden niet altijd goed beveiligd" IDC denkt ook dat er meer in zit, maar vindt dat hier niet alleen een verantwoordelijkheid ligt bij kopers, ook bij de producenten zelf. Op dit moment is er een veelheid aan beveiligingsproducten op de markt zonder dat duidelijk is wat echt nodig is. Volgens IDC werkt dit als een rem op de bestedingen. Fabrikanten zouden klanten moeten helpen om de echte risico’s op waarde te schatten, prioriteiten te stellen, het beschikbare budget in ogenschouw te nemen en op basis daarvan klanten te helpen om een goed beveiligingsplan te maken. Niet alle risico’s hoeven met beveiligingsoplossingen te worden afgedekt. De markt wordt op dit moment bovendien gedragen door verkeerde motieven. De afgelopen tijd is het te vaak gebeurd dat bedrijven in paniek een beveiligingsoplossing kochten, gedreven door de angst na 11 september, en er achteraf ontevreden over zijn. IDC denkt dat de beveiligingsmarkt op de langere termijn er meer bij gebaat is, als fabrikanten positieve redenen aanvoeren voor het beveiligen van een organisatie. Bijvoorbeeld door aan te geven dat je met beveiligingsoplossingen ebusiness kunt faciliteren, of ononderbroken bedrijfsprocessen kunt garanderen. Dat de markt voor beveiligingsproducten steeds meer volwassen vormen begint aan te nemen, blijkt uit de gewijzigde strategieën van fabrikanten die zich richten op groei buiten de eigen marktgrenzen. Check Point richtte zich voorheen voornamelijk op de hele grote ondernemingen, maar moet inmiddels groei in andere markten zoeken. Dit jaar haalt de fabrikant al zo’n 15 procent van haar omzet uit consumenten en de onderkant van het MKB. Volgend jaar moet dat percentage tussen de 25 en 30 procent liggen. Bij Symantec is het precies andersom. Vier jaar geleden was nog 80 procent van de omzet gerelateerd aan consumenten. Nu is dat nog maar 40 procent, tegenover 60 procent uit omzet bij zakelijke klanten.