Een rondje langs leveranciers en resellers leert dat er steeds meer beveiligingsoplossingen komen die specifiek bestemd zijn voor de kleinzakelijke markt. Daarbij wint security as a service aan belangstelling. Resellers kunnen hier niet alleen een bemiddelende rol, maar ook een uitvoerende rol spelen.
Arthur van Uden, country manager Benelux van Check Point, brengt het punt naar voren dat er voor het midden- en kleinbedrijf (mkb) in toenemende mate producten beschikbaar komen die de beveiliging van computernetwerken moeten garanderen. Dat zijn dan producten die de specifieke mkb-kenmerken dragen: relatief goedkoop en absoluut makkelijk in het gebruik. Check Point levert dan ook, wat hij noemt, ‘volledige appliances': apparaten die je aan de rand van het netwerk hangt en verder alle handelingen verrichten die nodig zijn om van veilig netwerkverkeer te kunnen spreken. Volgens Van Uden is er veel vraag naar in de markt.
Hij vertelt hoge eisen te stellen aan zijn resellers. "Onze verkoopadressen zijn allemaal gecertificeerd. En dan niet alleen op technisch niveau, maar ook op het gebied van sales. Ik wil businessplannen zien, weten op welke markten zij zich richten en hoe ze dat aanpakken. Want het productportfolio dat een reseller samenstelt, moet natuurlijk zijn afgestemd op de markt die hij wil bedienen. Wij hebben een uitgebreid programma om resellers daarbij te ondersteunen."
Van Uden is ervan overtuigd dat het mkb ‘schreeuwt om beveiligingsmaatregelen'. "Deze bedrijven dienen vaak als toeleverancier voor grotere ondernemingen. Vaak gaan de contacten en soms ook de leveringen via internet. Een producent eist dan van zijn toeleveranciers dat het veilig gebeurt. Tevens zijn wij een voorstander, vanuit maatschappelijke overwegingen, van thuiswerken waar dat maar enigszins mogelijk is. Maar dan wel veilig."
Georganiseerde misdaad
Om het belang van beveiliging aan te geven, gaan we te rade bij Cisco, dat in Nederland onderzoek heeft laten doen naar dit fenomeen. De studie wijst uit dat 64 procent van de middelgrote en kleine bedrijven in hoge mate afhankelijk is van ict en internet, maar dat 80 procent geen gestructureerd beveiligingsbeleid heeft. Dat zijn verontrustende cijfers.
Temeer daar het, zoals Peter Harris, product marketing manager bij Trend Micro, aangeeft, niet meer gaat om puistige tieners die indruk willen maken met een inbraak in een systeem of verspreiding van een virus, maar om professionele criminelen. "De georganiseerde misdaad heeft het strijdtoneel betreden. Deze misdadigers hengelen naar creditcard- en bankgegevens, of zij gebruiken jouw pc als bot in een wijdverbreid netwerk om aanvallen te verrichten. Je ziet ook verschil met vroeger. Eerst waren er massale aanvallen met virussen. Iedereen had er in een mum van tijd last van. Tegenwoordig gaat het heel gericht en veel stiekemer. Het geheel is veel agressiever geworden", zegt Harris.
Cisco wijst in dit verband op het toenemende gebruik van e-commerce en software as a service. In het laatste geval neemt een bedrijf het gebruik van een softwarepakket af als een dienst. Vooral boekhoudsoftware en klantbeheersystemen (denk aan het succes van Salesforce.com) worden volop op deze wijze aangeboden. Dat betekent dat bedrijfskritische informatie, zoals financiële gegevens en klantinformatie, op een server bij de dienstverlener wordt opgeslagen en via internet toegankelijk is voor alle medewerkers die beschikken over een gebruikersnaam en wachtwoord. Zonder goede beveiliging kunnen die gegevens makkelijk op straat komen te liggen.
Educatie
Dat zoveel mkb-bedrijven geen gestructureerd beveiligingsbeleid hebben, geeft aan dat velen denken dat het wel zal loslopen. Twee beweegredenen kunnen hieraan ten grondslag liggen. De eerste is dat ze niet op de hoogte zijn van de gevaren die op de loer liggen, noch van de ontvankelijkheid van hun geautomatiseerde systemen voor die gevaren. De tweede is dat ze wel weten dat ze een risico lopen, maar de uitgaven voor een goede beveiligingsoplossing hoger inschatten dan het geld dat zij eventueel kwijt zouden zijn bij een geslaagde aanval. En dan is er nog de categorie ondernemers die gewoonweg denkt goed beveiligd te zijn.
Educatie is hier het antwoord. Alle leveranciers wijzen erop dat hier een schone taak is weggelegd voor de resellers. Zij geven zelf in zijn algemeenheid via allerlei uitingen wel weer aan dat computercriminaliteit bestaat en dat het nodig is zich daartegen te wapenen, maar de resellers kennen de specifieke markten en de specifieke risico's die daarbij horen. "Het probleem is dat zo heel moeilijk is in te schatten hoeveel geld er in de computercriminaliteit omgaat. Als iemand wordt aangevallen en daarbij veel geld is verloren, zal hij dat niet aan de grote klok hangen. De FBI vermoedt echter dat het in de VS alleen al om zo'n vierhonderd miljard dollar gaat. Dan steken de investeringen om tot een goede beveiliging te komen daar maar magertjes tegen af", aldus Harris.
Hij wijst nog op het fenomeen dat mensen gewend beginnen te raken aan weer eens een virusaanval of een spamstorm. "Dat is wel het grootste gevaar, dat mensen zich er niet meer om bekommeren. Daarom is educatie zo belangrijk. Zeker in de mkb-sector, waar veelal geen gedegen it-kennis aanwezig is."
Onzichtbaar
Terwijl voorheen een virus zo'n beetje de enige boosdoener was, hebben we nu te maken met phishers, ‘man in the middle'- en ‘man in the browser'-attacks, spam en wat dies niet meer zij. De aanvallen zijn veel complexer geworden. Je weet bijvoorbeeld niet, zo vertelt Harris, of jouw pc een zombie is en wacht op het seintje om actief te worden in een gezamenlijke aanval. Daarbij komt nog eens dat sommige bedreigingen een combinatie vormen van afzonderlijke technieken en de zogenoemde blended threats vormen.
Hoewel de aanvallen dus gewiekster worden, moet de verdediginglinie juist veel simpeler zijn; onzichtbaar zelfs. Want een gemiddeld mkb-bedrijf heeft geen goed uitgeruste it-afdeling die in staat is om alle benodigde metertjes op firewalls, spamfilters en dergelijke in de goede stand te zetten. Het moet gewoon werken. Daar ligt voor de resellers volgens de leveranciers een belangrijke taak. Zij moeten die metertjes in de juiste stand zetten, afhankelijk van de behoeften van de klant. Het is dus zaak die behoeften te achterhalen en te weten hoe de variabelen zijn in te stellen.
De meest vergaande vorm hierin is ‘security as a service'. Symantec noemt het ‘managed security'. Daarbij loopt al het verkeer over de systemen die Symantec in een fysiek zwaar beveiligde bunker heeft staan voordat het naar of uit het computernetwerk van de klant komt. Apothekersgroothandel OPG is een afnemer van deze Symantec-dienst. Daarbij houdt OPG nog een belangrijke vinger aan de pols en vlooit het zelf alle logfiles door op afwijkingen. Reseller Avensus heeft bemiddeld bij de inrichting van deze dienst.
Extra kennis
Ook Motiv, aldus business development manager Bastiaan Bakker, is een leverancier van managed security services (Motiv MSS genaamd). Om een indruk te krijgen; die dienst bestaat uit managed firewall/VPN, managed e-mail security (spam-, virus- en contentfilters) en veilig websurfen (url-, spyware- en virusfilter). Verder managet Motiv telewerken inclusief tokens voor remote access, en doet het managed hosting van bijvoorbeeld webapplicaties. "Dit hebben we onder andere geleverd aan de gemeente Amstelveen en de stichting Hivos", aldus Bakker. Hivos staat voor Humanistisch Instituut voor Ontwikkelingssamenwerking.
Bakker vindt dat een reseller een compleet pakket moet leveren om zich te onderscheiden in de markt. "Wij leveren behalve technische kennis ook de complete oplossing inclusief lijnverbindingen en cybercenter services. Daarmee gaan we veel verder dan de gangbare aanbieders in dit segment."
Hij haalt nog een ander punt aan waarmee een reseller zich kan onderscheiden. "Wij hebben een ruime expertise op web- en databasetechnologie; we zijn niet alleen gericht op netwerkbeveiliging."
Totaalprogramma
Als voorlichting wordt gegeven over de risico's van netwerkverkeer, is het nodig om een integrale benadering te kiezen, benadrukken zowel leveranciers als resellers. Het gaat niet alleen om een antiviruspakket of een firewall; het gaat om het totale programma – wat de leveranciers een end-to-end-oplossing noemen. De totale keten waarlangs gegevens hun weg vervolgen, moet beveiligd zijn. Dat geldt voor de routers, de switches, de access points van een draadloos netwerk, de verbinding tussen een medewerker die thuis werkt en het bedrijfsnetwerk, de website en webwinkel en de e-mail, of tegenwoordig het complete berichtenverkeer, waaronder ook ip-telefonie en beeld valt.
Cisco haalt dan ook aan dat beveiliging geen confectiepak verdraagt: het is maatwerk. "Een bedrijf dat weinig zaken doet via internet en alleen intern communiceert, heeft een heel andere beveiliging nodig dan een bedrijf dat grotendeels afhankelijk is van internet, en bijvoorbeeld een webwinkel heeft. Daar ligt een taak voor de resellers: inventariseer de risico's die een klant loopt en kom vervolgens met een voorstel dat die risico's afdekt", aldus Fred Gerritse, directeur mkb bij Cisco.
Hij legt uit dat Cisco alle producten in huis heeft om wat hij noemt een ‘self defending network' te bouwen. Daarbij werken alle onderdelen waaruit het netwerk bestaat nauw met elkaar samen om informatie uit te wisselen en de beveiliging verder te verbeteren, terwijl dit alles vanuit één centraal punt is te beheren.
Hij haalt nog een punt naar voren dat bij de voorlichting een rol moet spelen: de scherpere wet- en regelgeving. "De overheid eist van bedrijven dat zij gegevens jarenlang bewaren en snel ter beschikking kunnen stellen als daarom wordt gevraagd. Daarbij moeten die gegevens aantoonbaar integer zijn. Je moet kunnen aantonen dat niemand ermee heeft kunnen rommelen; dat geldt vooral de financiële gegevens van de onderneming. De overheid stelt echter ook eisen aan de bescherming van klantgegevens. Klanten hebben recht op persoonsbescherming en organisaties zijn in overtreding als onbevoegden aan die gegevens kunnen komen. En dan heb ik het nog niet eens over de imagoschade die ontstaat als bijvoorbeeld een verzekeringsmaatschappij niet heeft kunnen verhinderen dat klantgegevens openbaar worden", aldus Gerritse.
Verticale markt
Erik van Veen, senior solutions marketing specialist bij Symantec, gaat ook in op de eisen die wet- en regelgeving stellen. "De Belastingdienst stelt een bewaarplicht. Dan moet een bedrijf nagaan welke informatie het allemaal heeft en welke informatie bewaard moet worden, en voor hoe lang. Wij bieden met onze Enterprise Vault een goede archiveringsoplossing, maar de reseller zal met de klant het traject door moeten om antwoorden te geven op die vragen. De partners kunnen diensten opbouwen rond onze archiveringsoplossing. Dan gaat het om een totaaloplossing waar beveiliging een onderdeel van is."
Volgens Van Veen zijn er nog te weinig partners die zich heel specifiek richten op een verticale markt, zoals gezondheidszorg of de bouw.
Hij komt nog even terug op de managed security dienst van Symantec. Die loopt via servers van Symantec, maar Van Veen ziet een toenemende trend dat bedrijven toch alles liever in eigen huis houden en binnen de bedrijfsmuren een Security Operating Centre (SOC) willen hebben. "Ook daar liggen voor partners kansen, want zij kunnen een dienst ontwikkelen om zo'n SOC bij een klant te beheren, zodat die er geen omkijken naar heeft."
Van Veen noemt nog een verse ontwikkeling waar partners zich kunnen profileren: pci-certificatie. Pci staat voor payment card industry en is een standaard (uitgegeven voor de Security Standards Council) voor ondernemingen die betalingstransacties op basis van creditcards uitvoeren. In bijvoorbeeld de horeca, transportbedrijven, en rijdende winkels worden draadloze terminals gebruikt om creditcardtransacties af te handelen. De standaard zorgt ervoor dat die transacties veilig gebeuren. "Wij merken dat bedrijven in toenemende mate pci-gecertificeerd willen worden. Symantec heeft zelf auditors in dienst die dat kunnen doen, maar de partners moeten dit in hun dienstenpakket opnemen."
Ecosysteem
De aanpak van Trend Micro moge wellicht als voorbeeld dienen over hoe fabrikanten met hun resellers te werk gaan. Zij leveren allemaal (technische en verkoop-)ondersteuning, training en stellen allemaal eisen aan de kwaliteit en inzet van de partners.
Trend Micro heeft zijn partnerprogramma sterk uitgebreid en wil met het Alliance Partner Program tot een partnerecosysteem komen. "Tegen de achtergrond van onze gestage groei in het leveren van toonaangevende content security-oplossingen onderkennen we de noodzaak van het creëren van een enkelvoudig partnerecosysteem voor een brede reeks businesspartners", ronkt Eva Chen, ceo van Trend Micro. Het betekent dat producten en diensten die partners hun klanten aanbieden ‘open' moeten zijn en naadloos moeten kunnen samenwerken met de producten en diensten van Trend Micro zelf, maar ook van andere leveranciers. Daarom is het bedrijf toegetreden tot het Technical Support Alliance Network, waarvan onder andere Symantec, HP, IBM en Sophos al lid zijn.
Dankzij dit netwerk werken leveranciers samen bij het oplossen van gemeenschappelijke problemen bij een klant.
