Reseller kiest vaak voor gemakkelijk te verkopen security-oplossingen

Transcriptie

1 SECURITY DOSSIER 2018 CHANNELCONNECT Security Summit Endpoint 2018 Edwin Feldmann Verslag van Security Summit Endpoint van ChannelConnect Reseller kiest vaak voor gemakkelijk te verkopen security-oplossingen Endpoint security-fabrikanten hebben behoorlijk wat uitdagingen. Naast de vele malware-exemplaren en aanvallen die ze dagelijks ontdekken en tegenhouden, hebben de bedrijven ook te stellen met een tekort aan specialisten, een gebrek aan kennis bij klanten en partners en soms lastige relaties met overheden. Tijdens de Security Summit vertelden een aantal grote endpoint security-vendoren over hun ervaringen van de markt nu en de uitdagingen voor hun distributeurs en resellers. Deelnemers aan de endpoint Security Summit John Schaap Sales Manager Benelux FireEye Maurice Stolzenbach Country Manager Netherlands Gemalto Eddy Willems Security Evangelist G DATA Software België Harco Enting General Manager Kaspersky Lab Benelux Erik Farine Regional Director Benelux Sophos Gerard Sloots Enterprise Sales Manager Benelux Bitdefender Door omstandigheden moesten Dave Maasland van ESET en Erik Preisser van Avast op het laatste moment hun deelname aan het rondetafelgesprek afzeggen. De redactie van het Security Dossier heeft ze in kennis gesteld van de besproken onderwerpen en de heren in de gelegenheid gesteld voor dit artikel alsnog een bijdrage te leveren. Deze zijn in twee kaderteksten opgenomen (pagina 13). Ondanks alle uitdagingen zijn er ook positieve berichten over endpoint security. De markt is aan het groeien en veel bedrijven zeggen dit jaar meer in IT-security te investeren dan vorig jaar. Dat beeld wordt wel herkend door de deelnemers aan de summit. Er is geen enkel bedrijf meer zonder endpoint security, vertelt Gerard Sloots, Enterprise Sales Manager Benelux bij Bitdefender. Er zijn echter ook kanttekeningen bij die groei te plaatsen. Erik Farine, Regional Director Benelux bij Sophos, heeft zelf ook onderzoek gedaan naar wat mkb-bedrijven uitgeven aan security. Gemiddeld wordt er iets meer dan drie procent van het budget van organisaties besteed aan IT-security. Naar verwachting loopt dat op tot ongeveer vijf procent. Die inhaalslag zie je vooral bij sectoren die achterlopen, zoals de gezondheidszorg, overheden en manufacturing. Bij Kaspersky Lab zien ze ook een sterke stijging in het gebruik van beveiliging voor industriële apparaten met een internetaansluiting. We zien de laatste zes maanden een enorme groei in het aantal endpoints, vooral dankzij de toename van de mobiele devices, aldus Farine. Daar ligt een enorme uitdaging want alles krijgt een ip-adres. Volgens Eddy Willems, Security Evangelist bij G DATA, verloopt de verkoop van security-producten al decennia lang met heel duidelijke pieken. Wij zien altijd pieken waarin de verkoop van securityproducten aantrekt. Dat gebeurt als er een uitbraak van een virus of ransomware is geweest. Investeren Organisaties blijken doorgaans niet zo gemakkelijk bereid te zijn om te investeren in cybersecurity. De kern van het probleem is onder meer dat beveiliging als een soort verzekeringspremie wordt gezien, stelt John Schaap, Sales Manager Benelux bij FireEye. Security heeft geen waarde voor de organisatie. Dat is een deel van het probleem. Pas op het moment dat ze gehackt zijn of er heel veel data is gestolen, gaat de kassa open. Wij zien dat bij FireEye heel vaak. Als er een incident is gebeurd, moeten er heel snel keuzes worden gemaakt en lijkt niets te gek, aldus Schaap. Maar voordat er een hack is geweest, valt er haast niet over te praten: dan kost het teveel en ze vinden het niet nodig en hebben er het geld niet voor over. En dat is vergelijkbaar met wat je met een verzekeringspremie ook hebt: je verzekert die zaken die je zelf niet kunt betalen. Organisaties onderschatten de schade die ze oplopen als ze slachtoffer worden van een beveiligingsincident totdat het ze een keer overkomt. En dat maakt het voor veel bedrijven moeilijk om in cybersecurity te investeren. Wat het overtuigen van bedrijven om IT-security te investeren ook moeilijker maakt, is de concurrentie van grote IT-reuzen zoals Microsoft en Apple. Zo heeft Windows 10 steeds meer Summit Endpoint.indd :53

2 SECURIT Y DOSSIER 2018 C H A NNE L C O NNE C T securitytools aan boord, zoals ATP (Advanced Threat Protection, red.) en Windows Defender. Volgens Maurice Stolzenbach, Countr y Manager Netherlands bij Gemalto, wordt Windows10 een soort commodity met een soort basisbeveiliging waar een deel van de klanten genoegen mee neemt. Dat maakt onze markt moeilijk, De markt voor IT-securityspecialisten is compleet uit balans maar als het gaat om data-protectie en encryptie hebben we moeite om dat aan eindklanten te verkopen, maar ook aan onze resellers. Blijkbaar is dat dan toch te moeilijk te complex of zoiets. Veel security-issues zijn niet tastbaar en dat is moeilijker te verkopen. Andere bedrijven aan tafel beamen de problemen die ze hebben om sommige producten bij de klant uit te leggen. Interne communicatie En daar blijft het niet bij. Niet alleen zijn bepaalde diensten of producten lastig te verkopen aan partners en eindklanten, ook interne IT-medewerkers hebben moeite om het management ervan te overtuigen dat bepaalde oplossingen nodig zijn. Als de directie roept dat er nooit wat gebeurt, wordt er ook niet geïnvesteerd, meent Stolzenbach. Binnen grote bedrijven praten de verschillende afdelingen niet met elkaar. Ze werken in afzonderlijke silo s. Dan denk je wel eens: hoe kan je tot een goede security-oplossing komen, hoe is het mogelijk dat hier nog geen problemen zijn geweest?, zegt Eddy Willems. Het MKB laat het aan de reseller over, maar die heeft vaak alleen basiskennis. Veel resellers kunnen het niet goed overbrengen naar de eindklant. Het is een taak van security-bedrijven om resellers te trainen zodat zij het verhaal goed naar de eindklant kunnen overbrengen. Harco Enting, General Manager Benelux bij Kaspersky Lab, heeft meer dan 200 actieve partners. Toch merken we dat er een beperkt aantal partners zijn die de kennis en mogelijkheden hebben om aanvullende diensten te verkopen. Dat is blijkbaar toch complexe materie. Resellers kiezen ervoor om dat te verkopen waar vraag naar is vanuit de markt. Ze kiezen voor de eenvoudige weg en verzuimen daardoor om verder te kijken. Markt nog niet klaar voor IoT Hoe dat komt, is eigenlijk ook wel bekend. Als een reseller bij een eindklant komt, wil hij praten over problemen die er nu zijn, en niet over zaken als IoT. Er is overal al IoT, maar het is nog niet als probleem erkend en dus is er geen budget voor, weet Gerard Sloots. De markt voor endpoint security voor IoT is er daarom nog niet, bevestigen enkele deelnemers aan de discussie. Bitdefender spreekt uit ervaring. Voor consumenten bieden zij de Bitdefender Box aan die in huizen alle connected apparaten moet beveiligen. > Summit Endpoint.indd :53

3 SE C U R I T Y D O S S I E R CHA NNELCO NNECT Security Summit Endpoint 2018 Gerard Sloots Ook enkele andere leveranciers hebben een dergelijk apparaat. Maar er is nog weinig vraag naar, aldus Sloots. De box is al enige tijd verkrijgbaar in de VS, Frankrijk en Duitsland, maar pas vanaf oktober dit jaar in de Benelux. Er zijn nog maar weinig partners in het kanaal echt actief bezig met de beveiliging van het Internet of Things, zo blijkt uit de praktijk. Het is bovendien nog maar de vraag wie binnen organisaties de verantwoordelijkheid over IoT krijgt, merkt John Schaap op. Dat zou de security officer kunnen zijn, maar het kan ook het facilitaire bedrijf, IT (algemeen) Harco Enting of security kunnen zijn. Een valkuil daarbij is dat IT-managers vaak heel andere belangen hebben dan de security officer. De IT-manager maakt zich vooral druk om operationele werkzaamheden (zoals servers, storage etc.) die gewoon geld opleveren. Ook Eddy Willems is van mening dat de markt nog niet klaar is voor IoT-security oplossingen. Het grootste probleem met IoT is dat er geen standaard is. Op elk apparaat staat weer een ander eigen besturingssysteem. Je kunt wel de omgeving van het apparaat gaan beveiligen, zoals Bitdefender doet, maar De gespreksleiders van het Security Summit, de ICT-journalisten Rashid Niamat (voorgrond) en Edwin Feldmann (achtergrond) Maurice Stolzenbach dat is een soort second best. Je zou elk apparaat moeten kunnen updaten en beveiligen. Het probleem zit namelijk in het apparaat zelf. Tot er een standaard is voor IoT, is de voorlopige oplossing dat beveiliging echt een onderdeel wordt van het ontwerp- en productieproces (security-by-design). AVG heeft weinig effect Toch roept dit ook vragen op over compliancy. In hoeverre zijn organisaties in staat om de regels -zoals de Algemene Verordening Gegevenscherming (AVG)- na te leven en te voorkomen dat er gevoelige gegevens uitlekken, als er allerlei onveilige apparaten aan het netwerk worden verbonden? Wij hadden eigenlijk verwacht dat er vanwege de AVG een grotere vraag naar security-producten zou zijn en ook dat de security-awareness maar veel groter zou zijn, zegt Maurice. Maar dat valt behoorlijk tegen. Ook de andere deelnemers herkennen zich in het beeld dat de AVG niet veel heeft veranderd bij het merendeel van de organisaties. John Schaap van FireEye vergelijkt de perikelen rond de AVG met het millenniumprobleem. Bij de millenniumbug verwachtten we ook dat de hele wereld zou instorten. Dat is niet gebeurd en het ging uiteindelijk vrij geruisloos voorbij. Zo is het ook met de AVG gegaan Summit Endpoint.indd :53

4 SECURITY DOSSIER 2018 CHANNELCONNECT Alex de Joode John Schaap Eddy Willems De AVG is wel een stok achter de deur voor sommige organisatie, vertelt Eddy Willems. Op de lange termijn zullen we er wel baat bij hebben, maar voorlopig merken we er nog niet veel van. Vooral grote bedrijven zijn ermee bezig, maar het MKB niet. Daarnaast heeft het kanaal er ook niet veel te zoeken want volgens Gerard Sloots van Bitdefender verdienen resellers niets verdienen aan de AVG. Toch heeft de AVG bij Kaspersky Lab geleid tot een stijging van het aantal awarenesstrainingen, zegt Harco Enting. Die trainingen geven onze partners aan de eindklanten. Daar hebben we sinds de AVG wel een stijging in gezien omdat klanten beseffen dat privacy en security hand in hand gaan. Te complex De behoefte aan informatie en training is niet verrassend omdat de Europese wetgeving te complex en te veelomvattend is, vinden de meesten aan tafel. Er is niet één bedrijf of één product dat een oplossing biedt voor alles rondom de AVG. Dan was het wel gemakkelijk geweest, zegt Erik Farine van Sophos. Nu is het zo dat de eindgebruiker de verschillende bouwstenen bij elkaar moet zoeken om de oplossing voor het hele bedrijf te vormen. De AVG is een heel moeilijk materie voor de eindgebruiker om aan te voldoen. De AVG is heel breed, erkent Maurice Stolzenbach. Maar het begint allemaal met een onderzoek wat voor data heb ik en waar staat het? En dan komen pas volgende vragen zoals wat kan ik eraan doen? Wij zitten aan de oplossingenkant, maar dan moet je als organisatie al weten of je gevoelige data hebt en waar die data dan precies is. Om je data te beveiligen volgens de AVG, wordt vaak encryptie genoemd. Ons management had verwacht dat we goed encryptie-oplossingen zouden kunnen verkopen, maar dan blijkt dat zelfs de wetgeving die encryptie voorschrijft, er niet toe leidt dat er meer encryptie-oplossingen worden verkocht, zegt Stolzenbach. Dat ligt aan een combinatie van factoren. We hebben heel veel respect voor ons partnernetwerk. Ze verkopen heel veel, maar als ze de keuze hebben tussen een authenticatieproject verkopen met eenvoudige tokens of encryptie, dan kiezen de meeste partners voor tokens. Encryptie is te ingewikkeld om te verkopen. Eigenlijk hebben we nog een grote virusuitbraak nodig voordat mensen echt massaal hun smartphone of computer gaan beveiligen, zegt Eddy Willems. Wij als industrie geven aan dat er bedreigingen zijn en dat het noodzakelijk is om goede beveiliging te installeren, maar blijkbaar slaat de vonk niet over op het grote publiek. Het tegendeel lijkt bijna het geval te zijn. Maurice Stolzenbach merkt wel eens dat klanten geërgerd zijn als ze op een kwetsbaarheid worden gewezen. Wij waarschuwen heel veel organisaties voor gelekte documenten en dergelijke, maar mensen lijken bijna geïrriteerd te worden door al die waarschuwingen. Ze reageren bijna geïrriteerd als je probeert te vertellen welke dreigingen er allemaal zijn. Kennis en specialisten Dat organisaties onvoldoende beveiligd zijn, komt voor een deel door een gebrek aan kennis. Daar hebben niet alleen eindklanten last van, maar ook de vendoren zelf. Wat we veel zien is dat er een schreeuwend tekort is aan specifieke security-specialisten. Er wordt aan omscholing gedaan om dat tekort te verminderen, maar desalniettemin gaat het zo snel dat het een druppel op een gloeiende plaat is, constateert John Schaap. Bovendien kapen bedrijven specialisten bij elkaar weg. Dat is op zich goed nieuws voor iedereen die carrière wil maken in de IT-beveiliging. Voor de industrie is het echter geen goed nieuws omdat er geen balans is. Een tekort aan specialisten is niet goed, een overschot ook niet. > Summit Endpoint.indd :53

5 SE C U R I T Y D O S S I E R CHA NNELCO NNECT Security Summit Endpoint 2018 Verantwoordelijkheid Bovendien is de verantwoordelijkheid voor IT-security bij grote ondernemingen vaak verspreid over meerdere afdelingen, weet Schaap. security zit bijvoorbeeld bij werkplekautomatisering. Netwerksecurity zit deels binnen de netwerkafdeling en een ander deel zit binnen het security-team. De meer specifieke security-aspecten liggen weer bij cybersecurity-specialisten. Er is geen eenduidige besluitvorming op het gebied van security binnen veel organisaties. Ze doen eigenlijk allemaal maar wat. Bij het (en investeringen) nodig zijn. En daar heb je last van bij de selectie van producten. Er worden heel vreemde keuzes gemaakt, alleen omdat de kennis ontbreekt, aldus Schaap. Dit speelt volgens hem bij zowel enterprise-klanten, maar met name ook bij het MKB. Bij het MKB wordt security gedaan door een generieke IT-medewerker en die doet dan maar wat. Dat wil niet zeggen dat dat de beste oplossing is die past bij de problematiek van dat bedrijf. De kern van dat probleem zit m in het feit dat er geen of onvoldoende specialisatie is. De AVG is veel te complex. Organisaties moeten zelf alle bouwsteentjes bij elkaar zoeken MKB is het kennisgebrek nog schijnender, aldus Schaap. Zelfs bij resellers zitten wel veel generieke IT-deskundigen, maar heel weinig specifieke cybersecuritydeskundigen. Er worden dus keuzes gemaakt vanuit een bepaalde discipline maar het ontbreekt aan overzicht en dat komt de security niet ten goede. Dat leidt ertoe dat bedrijven onvoldoende kunnen beoordelen welke maatregelen Overheden En niet alleen kennis is een uitdaging in de security-markt. Ook de banden die vendoren hebben met overheden staan zo nu en dan flink onder druk, zo is eerder dit jaar gebleken. De Nederlandse overheid nam, naar het voorbeeld van de VS en het Verenigd Koninkrijk, het besluit om te stoppen met het gebruik van beveiligingssoftware van Kaspersky Lab. Dit was vooral uit angst voor de mogelijkheid dat de Russische autoriteiten via de software zouden kunnen spioneren. Dat was wel even schrikken, geeft Harco Enting toe. En nog steeds is het een gevoelige zaak. Het is lastig om vanuit Kaspersky Lab uit te leggen waar je precies kritiek op hebt, zegt Enting. Dat ze de Nederlandse overheid willen beschermen, is natuurlijk alleen maar goed. Maar het onderzoek en de analyse op basis waarvan zij conclusies hebben getrokken, daar zet ik wel vraagtekens bij. Dat probeert Kaspersky Lab alsnog te achterhalen. Volgens Eddy Willems is de hele Kaspersky-affaire uiteraard erg vervelend voor Kaspersky Lab zelf, maar is het daarnaast ook negatief voor de hele industrie. Als je je vertrouwen in een vendor verliest, dan raakt het de hele sector en dat is geen goede zaak. De integriteit van de hele sector wordt hiermee aangetast. Ook John Schaap van FireEye heeft, als Amerikaans IT-beveiligingsbedrijf, al jaren moeite om consultancy-opdrachten bij de Nederlandse overheid binnen te halen vanwege de Amerikaanse achtergrond. Omdat wij Amerikaans zijn, zijn we ook direct verdacht. En bij Gemalto hebben ze eveneens ervaring met soortgelijke geruchten die de verkoop schaden, vertelt Maurice Stolzenbach. In de tijd dat Gemalto nog Safenet was, ging het verhaal rond dat wij in de HSM s (hardware security modules, red.) een backdoor hadden ingebouwd voor Amerikaanse opsporingsdiensten. Dat ging heel snel rond want iedereen was daar heel gevoelig voor. Vervolgens werd Safenet overgenomen door het Franse Gemalto en dus was het bedrijf weer Europees, en toen was dat idee heel snel verdwenen. Het heeft dus alles met perceptie te maken, stelt Stolzenbach. In die selectie van security-leveranciers door overheden schuilt wel een gevaar, waarschuwt Harco Enting tot slot. Als elk land zijn eigen security-vendor gaat voortrekken, krijg je een soort Balkanisatie. En dat levert alleen maar versnippering op in plaats van dat er meer wordt samengewerkt Summit Endpoint.indd :52

6 SECURITY DOSSIER 2018 CHANNELCONNECT ESET: specialistische partners hebben de toekomst Ook voor ESET is het aantrekken van talent een uitdaging. Dat is op zich geen verrassing. Verder worstelt Dave Maasland als CEO van ESET Nederland met de schaalbaarheid van trainingen. We zien dat onze partners graag gebruik maken van onze hulp- en trainingsmogelijkheden door onze lokale medewerkers. De vraag is hier echter groter dan het aanbod. Verder zien we de vraag naar specialistische dienstverlening toenemen. Hierbij hebben we veel talent nodig in de komende jaren, en op dit moment vist iedereen in dezelfde vijver. Het trainen en opleiden van partners is belangrijk om meerwaarde te creëren voor klanten, legt Maasland uit. Nu het dreigingslandschap gevarieerder wordt, komen er meer mogelijkheden in onze software om aanpassingen te maken. Partners met échte expertise op het gebied van onze oplossing en constante toegevoegde waarde verkopen per saldo ook meer. Dave Maasland Tot slot zegt Maasland duidelijk effect te zien van de AVG. De invoering heeft enorm geholpen om het principe van gelaagde beveiliging te introduceren. Wel zien we de afgelopen maanden dat de grootste run naar aanleiding van dit onderwerp voorbij is. Bedrijven die nu serieus in cybersecurity investeren doen dit vanuit een combinatie van factoren, stelt Maasland. Hier is de AVG zeker één van, maar met name ook business continuïteit en de kans op imagoschade is een reden voor bedrijven om meer te investeren in cybersecurity. Avast: Security-partners hebben mkb-klant nog veel uit te leggen Drie van de vijf mkb-bedrijven wordt op enig moment geconfronteerd met illegale online verkopen, diefstal van intellectual property, identiteitsen datadiefstal of ransomware. Dit betekent dat zowel vendoren als resellers en MSP s moeten meegroeien met hun kennis en met de ontwikkelingen. Ook moeten ze het security-productportfolio continu aanpassen om weerstand te blijven bieden, maar ook om hun bestaansrecht in de toekomst zeker te stellen, zegt Erik Preisser, VP Global Sales bij Avast. Dat is geen eenvoudige klus, zo blijkt. Wij zien dat veel mkb-eindklanten nog steeds in de waan leven dat een antiviruspakket op endpoints voldoende is. Het is de taak van vendoren en hun resellers/msp s om de mkb-eindklanten te informeren over nieuwe ontwikkelingen en welke invloed dat heeft op hun security-strategie in hun netwerkomgeving. Kennis en (door) ontwikkeling bij partners en MSP s moet dit gebrek aan kennis en specialisten bij de mkb er vullen. Door de toename in het gebruik van SaaS-diensten door het mkb, groeit het besef dat security niet meer een eenmalige investering in een on-premise antivirus-oplossing is. Het kan alleen effectief zijn in een continu proces tussen de reseller/msp, de eindklant en de oplossing van een vendor die flexibel inspeelt op de hybride IT-omgeving. Hoe vervelend en potentieel schadelijk ook, zien wij al die bedreigingen in de markt als een unieke kans om bij de eindklant een zeer sterke en blijvende positive te verwerven als een trusted security advisor. Avast heeft dit jaar wel veel praktische vragen gekregen uit het kanaal over de AVG, vertelt Preisser. Avast heeft hiervoor een speciale microsite ontwikkeld om partners en eindklanten te informeren en te begeleiden. De AVG heeft geen exponentiële groei veroorzaakt in de vraag bij MKB-klanten. Dit is een signaal dat er nog veel behoefte is aan informatievoorziening door vendoren en partners richting de mkb er. Erik Preisser Summit Endpoint.indd :52