Security

Er is veel aandacht voor beveiliging, maar dat vertaalt zich nog niet in hoge budgetten. Gemiddeld 10 procent van het ict-budget wordt ervoor gereserveerd. En dat terwijl volgend jaar een op de vijf bedrijven te maken krijgt met een ernstig beveiligingsincident, aldus onderzoeksbureau Gartner.

Vertrouwelijke gegevens van klanten die via een lek in de beveiliging zichtbaar worden, websites die een aanval van hackers niet kunnen afslaan, virussen die hele bedrijven plat leggen. Het zijn berichten waarvan er wekelijks wel een paar naar buiten komen. Schadelijk voor de bedrijfsvoering, schadelijk voor de naam van het bedrijf en daarmee uiteraard ook funest voor het vertrouwen dat klanten in een getroffen bedrijf stellen.

De markt voor beveiligingsproducten en beveiligingsdiensten, bedoeld om informatie/data in een internetomgeving te beveiligen, mag zich dan ook verheugen in een snel groeiende aandacht. Volgens onderzoeksbureau IDC werd in 2003 wereldwijd voor 42 miljard dollar besteed aan beveiliging. Overigens gaat onderzoeksbureau Forrester Research uit van een nogal verschillend bedrag, het stelt dat er in 2006 een omzet gedraaid zal worden van 20 miljard dollar. De markt is nog jong en daarmee onoverzichtelijk.

Laten we er hier van uitgaan dat IDC het aan het rechte einde heeft. Om genoemd bedrag van 42 miljard dollar in perspectief te plaatsen, het is ongeveer vier keer zoveel als in 2003 in zijn geheel werd uitgegeven in de Nederlandse zakelijke markt aan alle ict-producten en –diensten. Wereldwijd gezien betekent 42 miljard overigens dat maar vijf procent van alle ict-budgetten wordt uitgegeven aan beveiliging.

Voor West-Europa gaat IDC uit van de volgende omzetontwikkeling op de markt voor beveiligingsproducten:

2002 2 miljard euro
2007 4,5 miljard euro

De cijfers van de Nederlandse uitgaven aan security soft- en hardware, zoals geïnventariseerd door IDC, geven aan hoe de groei vorig jaar lag:

2002 173,7 miljoen euro
2003 208,9 miljoen

Op de keeper gezien vallen deze uitgaven aan antiviruspakketten, firewalls, en andere zaken als intrusion detection of managed security dus eigenlijk nog wel mee. De hoogte van de uitgaven geeft aan dat bedrijven denken dat het nog wel mee zal vallen met bedreigingen op internet. Ze doen in ieder geval minder dan de beveiligingsindustrie zou willen. Terecht of onterecht? 

Virus uitbuiten
Feit is dat de gehele bedrijfstak rond beveiliging om commerciële redenen niet nalaat om elke inbraak en elk virus breed in de pers uit te meten. Hierdoor ontstaat de indruk dat beveiliging een zeer groot probleem is. Daar staat tegenover dat het beveiligingsrisico vele malen kleiner is dan bijvoorbeeld het risico van het mislukken van ict-projecten. Wanneer een ict-project mislukt kost dat nog steeds vele malen meer.

Hoe het ook zij: de beveiligingsmarkt groeit en dat heeft zo zijn redenen. Bedrijven en instellingen bieden steeds meer diensten en functionaliteiten aan via internet. De rol van internet zal in de toekomst verder toenemen. Bijvoorbeeld omdat deze internet gebaseerde diensten via steeds meer apparaten zijn te benaderen; van draadloze- breedbandverbindingen, laptops tot pda’s aan toe.
Het aantal virussen houdt met deze ontwikkeling gelijke tred, er valt op steeds meer plekken schade aan te richten, waarmee de virusschrijver zich nog succesvoller kan wanen. Per dag komen er zo’n 25 nieuwe virussen bij. Ze worden ook steeds sneller. Had het ‘I love you’- virus twaalf uur nodig om de wereld rond te gaan, SQL Slammer deed het vorig jaar in 10 minuten.

Veel virussen krijgen de kans toe te slaan door de aanwezigheid van fouten in software of besturingssysteem. Het probleem is aan te pakken met antivirussoftware en met patches zoals die door Microsoft regelmatig worden uitgegeven om fouten in hun besturingssysteem te repareren. Er is nog een andere optie. Maak gebruik van software die intrinsiek veilig is. Het Duitse overheidskantoor voor informatiebeveiliging is een voorbeeld van een organisatie die deze optie heeft omarmd en Internet Explorer van Microsoft de deur uit heeft gedaan. Dit op advies van het Amerikaanse Computer Emergency Response Team.

Secure content
IDC raamde recent de Secure Content Markt, zoals dit segment heet (webfiltering, berichtenbeveiliging en antivirus) op 3,2 miljard dollar. Dit bedrag kan zo zegt het bureau doorgroeien tot 7,2 miljard dollar in 2008. De vraag is evenwel of deze voorspelling juist is. Het lijkt er namelijk op dat in de toekomst steeds minder geld naar aanbieders van secure content oplossingen zal gaan en steeds meer naar aanbieders van beveiligingsdiensten. Deze bedrijven implementeren behalve producten en diensten ook veiligheidsstrategieën bij organisaties. En nemen binnen deze strategie vaak ook delen van de beveiliging over, als het op afstand bewaken van de Firewall.

Deze ontwikkeling naar managed security services via internet vloeit voort uit de constatering van organisaties, dat beveiliging meer is dan het installeren van software. Men komt er steeds meer achter dat fysieke beveiligingsmaatregelen effectiever zijn, als ze zijn ingebed in een strategie. Een beveiligingsproduct kan alarm slaan bij een aanval, een strategie is vervolgens nodig om op deze aanval een passend antwoord te kunnen geven. Daarvoor is specifieke kennis nodig die bij een organisatie niet altijd aanwezig is en bij een security dienstverlener wel. Overigens richten zich steeds meer bedrijven op het aanbieden van genoemde zogeheten security alert service. Op abonnementsbasis bewaakt een aanbieder van deze service de databases van de abonnee en slaat alarm als de database wordt aangevallen.

Wanneer het gaat om beveiliging zetten bedrijven het vaakst een firewall in, samen met antivirus en patch-management. De firewall laat alleen toegestane data door tot het netwerk en wordt steeds vaker gebruikt in combinatie met een virtual private network (VPN) waarmee een veilige verbinding kan worden opgezet over een publiek netwerk zoals internet dat is. Naast Firewalls, antivirus, patches kunnen organisaties gebruik maken van beveilingsmethodieken als authenticatie (zich kenbaar maken) of authorisatie (toegang krijgen tot applicaties).
Ook kan een organisatie besluiten een pc te voorzien van een lezer voor smart cards zoals die worden gebruikt voor betaalautomaten, maar identificatie kan ook via een USB-token die in de USB-poort van de pc moet worden gestoken. En er zijn tegenwoordig kleine apparaatjes die een tijdsgeboden, eenmalig password genereren die toegang tot een systeem geven.

En wie weet wordt er in de toekomst ook wel meer gebruik gemaakt van het PKI-systeem dat informatie versleuteld en kan men via lichaamskenmerken als vingerafdruk of irisherkenning (biometerie) zich kenbaar maken en toegang krijgen tot een systeem. Maar vooralsnog zijn het voornamelijk firewalls, antivirus en patchmanagement waarmee bedrijven zich beschermen.

Mobiel nieuwe markt
Nieuwe kansen voor de beveiligingsindustrie liggen er in het beveiligen van informatiesystemen die gebruikt worden door medewerkers die mobiel werken. En dat aantal stijgt met de dag. Dergelijke netwerken zijn steeds meer het doelwit van virusschrijvers, zo blijkt. Onderzoekbureau IDC verwacht dan ook dat er steeds meer beveilingsproducten en –diensten beschikbaar komen die het mobiel werken veilig moeten maken. Het gaat uit van de volgende ontwikkelingen: 

in 2007 een omzet van 1,27 miljard dollar aan mobiele beveiligingsproducten en – diensten 
groei van deze markt in de komende jaren met 71 procent

Ook VoIP is een nieuw aandachtsgebied voor security dienstverleners, hoewel veel organisaties nog vergeten om additionele veiligheidsmaatregelen te treffen als ze spraak aan hun datanetwerken toevoegen. Traditionele beveiligingsmaatregelen zoals in datanetwerken wordt gebruikt, zijn bij VoIP uit den boze omdat ze de spraak vertragen. En dat is niet iets wat gebruikers graag horen.

Meer geld kan de beveiligingsindustrie ook gaan verdienen aan het beveiligen van systemen tegen Spyware dat het surfgedrag van mensen in de gaten houdt en advertenties inlaadt waardoor systemen uiterst traag kunnen worden. Experts vrezen dat de Spyware-methode ook kan worden gebruikt om achter inlognamen en wachtwoorden te komen. 

Digitale inbreker
Een redelijk nieuwe accent in beveiligingsland heet: applicaties voor veilig contentbeheer. Daaronder vallen IDS-applicaties. De afkorting staat voor Intrusion Detection System. De software van dergelijke applicaties ziet de typische handelingen waaraan een digitale inbreker is te herkennen. Zo maken hackers bijvoorbeeld steeds meer gebruik van Google om in databases te komen: online databases gebruiken vaak templates om data te presenteren op het web. Hackers zoeken op standaard teksten als ‘Select a database to view’ en krijgen zo toegang tot deze templates met daarin vrij toegankelijke informatie. Een IDS-applicatie signaleert dergelijk gedrag en slaat vervolgens alarm.

Contentbeveiliging is een ander voorbeeld van een contentbeheersapplicatie. Met contentbeveiligingsapplicaties zijn onder meer e-mailberichten te filteren op hun inhoud. Ze kunnen zo spam tegenhouden of in een hoekje wegzetten waar ze niemand tot last zijn. Maar ze kunnen ook het bezoek aan webpagina’s filteren of onmogelijk maken.

Volgens IDC zal er in 2007 wereldwijd voor 6,4 miljard dollar verkocht worden aan software die content beveiligt. Aardig is hier te vermelden dat, zo zegt Ferris Research, er net zoveel software wordt verkocht om spam tegen te houden (130 miljoen dollar), als er door spammers wordt omgezet (ook 130 miljoen dollar). Tot slot zijn er nog beveiligingsproducten op de markt die automatisch de beveiligingsinfrastructuur testen op lekken.

Nederland heeft tot nu toe (gelukkig) niet te maken gehad met terroristische aanslagen of ernstige beveiligingsincidenten, hoewel onderzoek aangeeft dat een kwart van de Nederlanders van mening is dat binnen twee jaar een internetaanval het openbare leven zal ontregelen. Het onderwerp beveiliging staat daardoor niet bovenaan op het prioriteitenlijstje van ict-managers. Kostenbeheersing scoort veel hoger.

Beveiliging zit traditioneel niet zo tussen de oren van Nederlanders. Dat blijkt onder meer uit een onderzoek dat vorig jaar is gepubliceerd en dat is gehouden in opdracht van het ministerie van Economische Zaken. Uit dit onderzoek blijkt onder meer dat het MKB nauwelijks analyseert welke risico’s kleven aan het gebruik van internet. IDS-systemen worden in de wat kleinere ondernemers maar zelden worden gebruikt, evenals de beveiligingsstandaard ISO 17799. Die is eigenlijk alleen maar bekend bij grote bedrijven. In het onderzoek wordt overigens ook vermeld dat de totale schade ten gevolge van beveiligingsincidenten geschat mag worden op 1 miljard euro en dat is ongeveer 0.25 procent van het bruto binnenlands product.

Uit onderzoek van beveiligingsbedrijf Symantec eveneens vorig jaar uitgevoerd komt naar voren dat Nederlandse bedrijven ongeveer 10 procent van hun totale ict-budget aan beveiliging uitgeven. En als het goed is komt dat overeen met het bedrag van 208.9 miljoen euro zoals eerder genoemd en afkomstig is van IDC. Interessant is verder dat volgens Symantec een op de vijf bedrijven verwacht dat zij de beveiliging gaan uitbesteden dan wel een abonnement denken te nemen op een security alert service.

Nederlandse partijen
Hoewel Nederland geen wereldbedrijven op het gebied van beveiliging kent als McAfee, heeft het wel aantal bedrijven dat behoorlijk aan de weg timmert. Zo werd het ict-bedrijf Consul in augustus van dit jaar door het blad Intermediair uitgeroepen tot het meest innovatieve bedrijf in Nederland op het gebied van ict security management. Software van deze onderneming helpt om ict-managers hun systemen permanent te bewaken. Het bedrijf heeft een internationaal klantenbestand.

Een andere inmiddels bekende naam is Control Break International dat software heeft ontwikkeld voor de beveiliging van gegevens op mobiele apparaten als tablet pc’s, laptops en PDA’s. Van hun product Safeboot Mobile Data zijn inmiddels 2 miljoen licenties verkocht in 42 landen.

Een nieuw marktsegment waarop Nederlandse bedrijven zouden kunnen gaan schitteren is het voorkomen dat anderen van je computercapaciteit gebruik maken. Inmiddels circuleren op het web aanbiedingen van hackers die erin geslaagd zijn netwerken te maken van vele duizenden computers die met elkaar kunnen samenwerken zonder dat de gebruiker dit in de gaten heeft. Wie dat wil kan van zo’n netwerk gebruik maken. De waarde van elke computer in zo’n netwerk is ongeveer 100 euro. Het beveiligingsprobleem hier is niet zozeer dat er gebruik gemaakt wordt van de computerkracht van een machine, daar heeft niemand last van, maar dat de kans toeneemt dat er oneigenlijk gebruik wordt gemaakt van de informatie op deze computers.

Barometer:
 

• Minder geld naar ‘secure content’ en meer naar aanbieders van geïntegreerde beveiligingsdiensten.
• Firewall met antivirus en patch-management vaakst ingezet 
• Nieuwe markten ontstaan door mobiel werken en de opkomst van VoIP 
• Nederlandse bedrijven geven 10 procent van hun ict-budget uit aan beveiliging
• Internetgebaseerde diensten stimuleren de beveiligingsmarkt

Bij het onderzoek is uitgegaan van een minimale respons van 50 (N=50). De onderste drie partijen voldeden hier niet aan. Bij de nummer tien lag de respons lager dan 30. Meer informatie over de zonderzoeksmethodiek is hier te vinden.