Vasco Data Security draaide in 2011 een topjaar. Ondanks het Diginotar-drama. In 2012 zit het orderboek opnieuw goed vol. Het vizier van de Amerikaanse leverancier van authenticatie- en e-handtekeningoplossingen en -diensten staat al een tijdlang gericht op het breed in de markt zetten van zijn beveiligingsplatform MyDigipass.com. Naast de vanouds vertrouwde bancaire sector en een aantal niches, waaronder de game-industrie en de zorg, wil Vasco de sprong maken naar de consumentenmarkt.
Vasco kocht Diginotar, de Beverwijkse leverancier van beveiligingscertificaten, begin 2011. Het bleek een kat in de zak. Vorig jaar zomer bleken de digitale certificaten gehackt en zegde de overheid – de belangrijkste klant van Diginotar – het vertrouwen in het bedrijf op. Diginotar ging in september 2011 na veel mediagekrakeel failliet. Vasco, dat het bedrijf voor tien miljoen euro had gekocht, moest in het derde kwartaal van het boekjaar 2011 4,8 miljoen euro afschrijven. Daar komen nog lopende juridische kosten bovenop, wat zorgt voor een strop van naar schatting ruim vijf miljoen euro.
'Inmiddels hebben we de operationele kant van het Diginotar-hoofdstuk afgesloten', zegt Jan Valcke, de Belgische topman van Vasco. Hij heeft zelf weinig bemoeienis meer met de zaak; de Diginotar-boedel is in handen van de curator. 'Het is nu vooral voer voor advocaten', zegt Valcke. Het echec was voor zijn bedrijf een vervelende en soms tijdrovende situatie, met veel overleg met allerlei hoge Nederlandse ambtenaren. 'Maar gelukkig heeft het merendeel van het ontslagen Diginotar- personeel een andere werkkring kunnen vinden.'
Niet voor niets
De president en chief operational officer (coo) vindt achteraf dat Vasco zich na de overname meer had kunnen bemoeien met Diginotar; misschien had dan de digitale inbraak voorkomen kunnen worden. Aan de andere kant: omdat de integratie van de Diginotar-technologie in Vasco's producten pas gepland stond voor 2012 bleven die schadevrij. 'Diginotar was voor ons interessant omdat we nog niet over kennis van certificaten en pki (public key infrastructure) beschikten. Maar het was een 'nice to have'-business. Er bestond geen dringende noodzaak om de technologie te integreren. Nu de overname is mislukt hebben we besloten geen aparte beveiligingscertificaten-dienstverlening meer te willen opbouwen.'
Wel heeft Vasco de broncode van Diginotars kernproduct opgenomen in de software van Alfa & Ariss, een Nederlandse leverancier van identity & access management die het in april 2011 overnam. Daarmee kan Vasco zelf pki-beveiligde tools ontwikkelen voor bijvoorbeeld documentondertekening en andere registratie- en bewaardoeleinden. 'De aankoop van Diginotar is niet helemaal voor niets geweest', stelt Valcke vast.
Recordomzet
Behalve de Diginotar-klanten verloor Vasco geen andere klanten tijdens de ophef die was ontstaan na de digitale inbraak, meldt hij. En het aantal telefoontjes van verontruste klanten die om opheldering vroegen, viel mee. Sterker nog, het Amerikaanse beursgenoteerde bedrijf draaide in 2011 zijn beste jaar. De omzet steeg tot zo'n 168,1 miljoen dollar, een forse stijging van 56 procent ten opzichte van 2010 (108 miljoen dollar), een net als 2009 moeilijk jaar vanwege de bankencrisis. De winst bleef met 18,1 miljoen dollar (2010: 10,8 miljoen dollar) overeind, ondanks de afschrijving op Diginotar. De meeste omzet haalde Vasco uit de regio Emea (Europa, Midden-Oosten en Afrika). In 2011 was dat zo'n 111 miljoen dollar. De rest van de omzet is verdeeld over de regio's Verenigde Staten (16 miljoen), Azië (15 miljoen) en overig (onder andere Australië, Latijns-Amerika en India; 26 miljoen dollar).
Onrustige economie
Het eerste halfjaar van 2012 sloot Vasco echter weer met een minieme omzetgroei af: 78,9 miljoen dollar ten opzichte van 78,2 miljoen dollar in de eerste zes maanden van 2011. Dit kwam vooral door een zwak eerste kwartaal. De omzetgroei keerde terug in het tweede kwartaal van 2012 en coo Valcke is voorzichtig positief over de vooruitzichten voor de rest van het jaar. 'We zullen niet dezelfde grote omzetgroei realiseren zoals in 2011. Maar voor aanvang van het derde kwartaal is er een record-orderintake genoteerd. Banken zijn bijvoorbeeld weer actief aan het investeren in elektronisch bankieren en beveiliging. Alleen de vraag naar netwerkbeveiligingsproducten blijft wat achter.'
De topman wijst op het fantastische groeicijfer van Vasco: sinds 2004 is het bedrijf gemiddeld genomen jaarlijks gegroeid met 30 procent. Tegelijkertijd heeft hij de afgelopen jaren gezien wat de invloed kan zijn van de huidige onrustige economie. Het maakt voorspellen en plannen lastiger. 'Door de bankencrisis viel in 2009 de omzet vanuit de bancaire wereld ineens terug met 32 procent. In 2010 zag je langzaam herstel, waarvan wij in 2011 door veel uitleveringen van bestellingen fors konden profiteren. Begin 2012 lag onze backlog echter weer veel lager dan begin 2011, maar zagen we herstel in het tweede kwartaal. Het blijft dus afwachten, ook al zijn we positief. En onze marges zijn goed en de kosten onder controle.'
Nieuwe koers
Vasco is een internationale leverancier van sterke remote access-, authenticatie-, e-handtekening- en e-walletoplossingen. Het softwarebedrijf is gespecialiseerd in het beveiligen van internettoepassingen en -transacties. Van oudsher is het bedrijf met zijn producten gericht op banken en een aantal niches, zoals gaming en zorg. Maar sinds 2011 heeft Vasco zijn koers verlegd en is het actief geworden op de consumentenmarkt. 'Onze business is op een veilige manier toegang geven tot informatie', stelt Valcke. 'Onze marktbenadering werkte goed, maar met name de bancaire sector blijkt structurele gevoeligheden te kennen, weten we uit de afgelopen jaren. Bovendien, duurt het bij een bank steeds een aantal jaar voordat er tot vervanging wordt overgegaan. Om dit soort omzetschommelingen te kunnen opvangen, zijn we op zoek gegaan naar andere groeimarkten.'
Slapende systemen
In het nieuwe, derde business model staat het leveren van het Digipass-beveiligingsplatform als dienst aan consumenten centraal. Dat gebeurt deels indirect, waarbij webapplicatieproviders en website-eigenaren de authenticatieoplossing voor het inloggen met een dynamisch wachtwoord aan hun klanten aanbieden. Daarnaast wil Vasco een Mydigipass.com-gemeenschap opbouwen. Dit is een gehost authenticatieplatform waarmee consumenten op een veilige manier via een dashboard met een klik ('single sign on') al hun favoriete applicaties kunnen openen. Het bedrijf zoekt naar partners die de Digipass-technologie alvast slapend inbouwen in hun systemen. Een sprekend voorbeeld is de recente samenwerking met Intel waarbij de Digipass-authenticatie wordt geïntegreerd met Intels Identity Protection Technology (IPT) in de ultrabooks met Intel-processor. Ultrabook-gebruikers kunnen via de Digipass-technologie lid worden van Mydigipass.com.
Ambities
De ambities zijn hoog: Vasco wil zo snel mogelijk tien miljoen consumenten aan Mydigipass.com hebben gebonden, in 2013 de eerste structurele omzet kunnen boeken en eind 2014 een miljard slapende Digipassen in omloop hebben. Topman Valcke gelooft er heilig in: 'Consumenten zijn bereid geld neer te leggen voor een oplossing die hen goed beschermt. Sociale media, e-commerce sites en de gamingindustrie zijn bezorgd of ze hun beveiliging goed op orde hebben. Ook bij banken en overheden merk je door de voortdurende roep om beveiliging een groeiend besef dat een voortdurende technologische vernieuwing belangrijk is om cybercriminelen voor te kunnen blijven.'
Ik heb bijzonder veel waardering hier voor zoals Vasco het doet en heeft gedaan. Kijken, er van leren en vervolgens weer verder.
Het lastige is in dit soort zaken dat je nu eenmaal, in dit soort trajecten, niet altijd even goed en diep de inhoud kunt ingaan. Je spreekt een aantal zaken goed door en af en daarbij speelt vertrouwen een hele grote rol.
Maar ook hier, juist omdat twee bijzondere factoren samenkomen, IT en security, gaan de wetmatigheden van IT als materie dubbel op.
Never Asume, Always Verify!
Dat het heel erg aantrekkelijk kan zijn wat mensen soms presenteren, sterker nog, dit vanuit de dagelijkse praktijk, dat je met enkele gerichte vragen meteen weet hoe die andere partij denkt over zaken zoals IT ketens, en indicators die er juist voor moeten zorgen dat processen en procedures goed lopen en sluitend zijn.
Die had Vasco moeten kunnen stellen aan Diginotar. Hadden namelijk die vragen niet naar tevredenheid kunnen worden beantwoord, dan had Vasco de aankoop zeker niet gedaan. Want als een aantal processen en procedures goed in elkaar hadden gestoken, dan had men binnen enekel dagen geweten dat er ‘iets’ fout was met de certificaten en niet pas na zo’n lange tijd.
Ik geef toe, makkelijk praten van de zijlijn maar met de kennis van dit moment, is het weer een reminder hoe voorspelbaar IT als materie is.
Veel vaker zullen we jammer genoeg van dit soort incidenten gaan zien diem te voorkomen is. Louter en alleen omdat cruciale rollen door de crisis worden losgelaten en processen daarmee vervagen.
Het is wachten op het volgende ben ik bang.