De Israëliër Marius Nacht richtte bijna tien jaar geleden samen met Gil Shwed en Shlomo Kramer het beveiligingssoftwarebedrijf Check Point op. In een tijd waarin internet volgens Nacht alleen nog maar gebruikt werd door universiteiten en onderzoeksinstituten, voorzag het drietal dat het medium zou groeien en dat die groei risico’s met zich mee zou brengen.
De verwachtingen van Nacht waren niet helemaal juist, bekent hij nu. ‘We verwachtten wel groei, maar dat die groei zo groot zou zijn, konden we niet voorzien. De kracht van het medium hebben we niet direct onderkend. En dat terwijl we volgens mij nog niet op de helft zijn van wat we van internet kunnen verwachten. De laatste drie jaar is er al zoveel veranderd; ieder jaar komen er nieuwe toepassingen bij. Het internet zoals we dat nu kennen, is alleen maar de basis, een primitief medium.’
Nacht blikt terug op de tijd dat Microsoft nog amper bestond en computers draaiden op Unix. Inmiddels draait het overgrote deel van alle computers op Windows en springen de meeste virussen dankzij Outlook binnen de kortste tijd de hele wereld over. De vraag dringt zich op of Nacht de opkomst van Windows een zegen voor de security branche vindt. ‘Windows is een erg uitgebreid platform en is mede daardoor kwetsbaar. Overal waar mensen werken, worden fouten gemaakt en hackers maken daar misbruik van.’ Nacht benadrukt dat niet alleen Windows kwetsbaar is. Volgens hem weten de meeste ontwerpers niet hoe ze applicaties veilig kunnen ontwerpen. ‘Het is wel mogelijk om dat te doen, maar het kost veel extra tijd. Het is veel makkelijker om een goede firewall te gebruiken dan ontwerpers bij te scholen.’
Check Point heeft zelf een extranet waar haar tweeduizend partners gebruik van kunnen maken. ‘Daar komen voortdurend nieuwe features op te staan, ieder met hun eigen zwaktes. Zo hebben we er, zoals ieder extranet wel ergens heeft, formulieren op staan. Zo’n formulier is een hemel voor hackers. Als ze in plaats van hun naam een asterisk invullen, kunnen ze soms de gegevens van alle relaties van een bedrijf te zien krijgen. Dat wil je natuurlijk koste wat kost voorkomen. Onze technologie weet op welke plaatsen het onlogisch is om een asterisk in te vullen en komt in actie zodra mensen toch een poging doen.’
Nacht noemt Application Intelligence nog maar het begin. ‘Daarmee hebben we nog maar net onze eerste stappen gezet naar een grotere bescherming van netwerken. De komende tijd krijgen we veel werk aan de bescherming van GPRS en VoIP. Daarnaast zijn er de mobiele devices die onze aandacht hebben. Er worden steeds meer laptops en PDA’s gebruikt die contact zoeken met het netwerk. Via de VPN kunnen ze het netwerk besmetten. We hebben nu al SSL-VPN’s in ons portfolio, maar zullen ook op dit terrein meer van ons laten horen.’
Standaard
Vele vendors begeven zich op de beveiligingsmarkt. Is Nacht bang dat eindgebruikers door de bomen het bos niet meer kunnen zien? ‘Voor ons is het juist positief als eindgebruikers te veel keuzes hebben en niet meer weten wat ze moeten. Dan kiezen ze namelijk voor de standaard, en dat zijn wij. Natuurlijk is het zo dat alle IT-budgetten onder druk staan, en dat klanten al snel kiezen voor producten die maar 10 procent van die van ons kosten, maar ze moeten dan wel beseffen dat ze ook maar 10 procent van de functionaliteit krijgen. Aan ons de taak om ze dat uit te leggen, net als het feit dat het overgrote deel van de aanvallen niet gericht is tegen een bepaald bedrijf. Hackers gebruiken tools die voor hen op zoek gaan naar mogelijkheden om toe te slaan. Zelfs als je denkt dat jouw bedrijf niet interessant voor ze is, kun je het slachtoffer worden. Microsoft is slachtoffer geworden van het SQL-slammer-virus. Als zelfs Microsoft getroffen kan worden, waarom zou dat anderen dan niet gebeuren?’
Nacht haalt zijn neus op voor hardware-vendors die hun klanten gratis of bijna gratis firewalls leveren. ‘Onze grootste concurrent is Cisco. Bijna alle bedrijven doen zaken met hen, maar wij noemen de security-producten die zij aan hun klanten geven “deurstoppers”. Mensen hebben geen idee wat ze ermee moeten en gebruiken ze dan maar om de deur mee open te houden. Om een goede beveiliging te bereiken, moet je veel voorlichting geven. Er is een groot verschil in filosofie tussen ons en onze concurrenten. Wij verkopen geen software, maar security. Concurrenten hebben vaak andere belangen, zoals zoveel mogelijk hardware verkopen, maar wij zijn er puur voor de beveiliging.’
Met de stelling dat strengere regelgeving mensen en bedrijven ertoe zal brengen de beveiliging van hun computers te verbeteren, is Nacht het niet eens. ‘Het moet uit henzelf komen. Ik draag mijn autogordel niet omdat het moet volgens de wet, maar omdat ik niet uit de auto geslingerd wil worden. En ik weet dat er mensen zijn die een hekel hebben aan een gordel, maar die dragen hem ook niet als het verplicht is. Je bent er nog niet als je mensen verplicht om hun gegevens te beschermen. Ik hoef alleen maar naar mijn kinderen te kijken om dat te begrijpen. Wanneer ik ze dwing om iets te doen, gebeurt het wel, maar halfslachtig, zodat ze er snel van af zijn. Zolang ze niet begrijpen waarom iets moet, doen mensen niet echt hun best. Het is iets anders wanneer ze aan den lijve nadeel ondervinden van nalatig gedrag. Zo worden bedrijven in Israël sinds kort niet meer verzekerd wanneer ze niet kunnen aantonen dat ze hun gegevens goed beschermen. Zulke gevolgen hebben een veel groter effect dan het simpelweg aannemen van een wet.’
