Cyberbeveiliging: veel hype, weinig omzet (FD, 5 december 2017)
Wie wil kan elke dag naar een congres over cyberbeveiliging. Media staan bol van verhalen over cybercriminaliteit en analisten schetsen prachtige groeiverwachtingen voor de sector. Ook in Nederland wordt de sector enorm gehyped. Maar wie denkt dat in de cyberbeveiliging massaal goud geld wordt verdiend, komt bedrogen uit.
Het aantal Nederlandse bedrijven dat profiteert van de hype is klein, zeggen verschillende kenners van de sector. ‘Er wordt meer gepraat over cyberbeveiliging dan dat er echt volume is’, constateert Mark van Beusekom van de in IT gespecialiseerde corporate finance adviseur Hogenhouck. ‘Veel bedrijven die zich afficheren als cyberbeveiliger, verdienen hun geld nog vooral met andere IT-diensten.’
Amerikanen domineren
Een groot deel van de markt wordt gedomineerd door grote Amerikaanse spelers als Cisco of Palo Alto. Er is maar een handjevol grotere Nederlandse cyberbeveiligers, waarvan ook de grootsten, SecureLink en FoxIT, het niveau van een middelgroot mkb-bedrijf niet overstijgen. KPN bouwt met enkele acquisities van Nederlandse bedrijven aan een onderdeel cyberbeveiliging, maar één groot geheel is dat nog niet.
Deze partijen worden gevolgd door een horde start ups. ‘Echt grote, Nederlandse bedrijven in de cyberbeveiliging zijn er niet’, zegt Sebastiaan Kors, die zelf een cyberbeveiliger oprichtte en verkocht (WeSecure), en nu start ups in de sector begeleidt. ‘Bij de grootsten werken een paar honderd man, dan heb je het wel gehad. Een gemiddeld bouwbedrijf is groter.’
Betrouwbare cijfers over de omvang van sector zijn moeilijk te vinden. Cyberbeveiliging is een zeer breed begrip – het gaat van consultancy, naar de productie van software en hardware. Maar volgens The Hague Security Delta, een samenwerkingsverband van bedrijven en instellingen op het gebied van cyberbeveiliging in de regio Den Haag, groeit de markt in de Nederland jaarlijks met 5% tot 8%.
Lage investeringen
Hoe kan de markt dan nog zo onvolwassen zijn? Een deel van het probleem zijn de hoge kosten van de producten, zegt Kors. ‘Voor een groot deel van de mkb-bedrijven is beveiliging al snel te duur. Als zij de kosten tegen de baten afwegen, komen ze al snel tot de conclusie dat ze dan maar wat meer risico nemen. De markt moet het dus nu nog vooral hebben van een kleiner aantal grote bedrijven dat wel investeert. Dat maakt nieuwe Nederlandse cyberbeveiligers extra kwetsbaar.’
Michiel Martin, partner bij advocaten- en notariskantoor BarentsKrans deelt die observatie. ‘We zitten nu nog op het niveau van bewust maken van de noodzaak van goede cyberbeveiliging’, zegt hij. ‘Uiteindelijk moeten we naar het punt dat bedrijven er serieus geld in gaan steken en daar zijn we nog niet.’ Dat punt is wél aanstaande, denkt Martin.
In mei volgend jaar wordt Europese privacywetgeving van kracht (GDPR) die alle bedrijven verplicht persoonsgegevens op een aantoonbaar veilige manier te bewaren en verwerken, op straffe van forse boetes. Dat zal bedrijven dwingen in actie te komen. ‘Zonder deze regelgeving zouden veel bedrijven nog steeds weinig doen aan cyberbeveiliging’, denkt Jos Bourgonje.
Hij werkt bij Value Creation Capital, een investeerder die onder meer een klein fonds speciaal voor cyberbeveiligers heeft. ‘Hooguit zouden ze na een groot incident weer even in actie komen. Maar nu zal het bij iedereen structureel op de agenda moeten komen te staan, en dan komen de investeringen vanzelf.’
In anticipatie op die ontwikkeling wordt er flink in cyberbeveiligers geïnvesteerd en recent zijn er verschillende overnames geweest. KPN, dat in cyberbeveiliging een potentiële goedmaker ziet van zijn verlies aan inkomsten op de zakelijke markt, nam in korte tijd twee cyberbeveiligers over, DearBytes eind 2016 en recent QSight.
‘Als je nu de verkoopprijs wilt maximaliseren, doe je er verstandig aan de cyberbeveiliging te benadrukken, ook al is dat misschien maar een beperkt deel van de totale dienstverlening’, zegt Van Beusekom. ‘Maar dat het nog lang geen volwassen markt is zie je ook aan de waarderingen van de bedrijven. Dat gaat nog veel op basis van de belofte die een bedrijf heeft en nauwelijks op resultaat, want dat hebben ze niet.’
Ook het gebrek aan personeel voor de cyberbeveiliging speelt een rol in golf van overnames, denkt Kors. ‘Mensen zijn moeilijk verkrijgbaar. Het opzetten van een bedrijf in dienstverlening op het gebied van cyberbeveiliging is heel kapitaal- en kennisintensief. Dan is het makkelijker om een overname te doen, dan om het zelf van nul af op te bouwen.’
Inkomstenbron valt weg
Valt er als Nederlandse sector sowieso wel op te concurreren tegen de Amerikaanse giganten? Wat als bijvoorbeeld echt alle diensten over gaan naar de cloud? Cyberbeveiliging wordt dan een integraal onderdeel van de dienstverlening van cloudaanbieders als Amazon of Microsoft, denkt Kors. Het verkopen van software, nu voor veel cyberbeveiligers nog een belangrijke inkomstenbron, valt dan weg. ‘Dan hou je de dienstverlening nog over. En natuurlijk de beveiliging van de eindgebruikers, dus de laptops, telefoons en vele andere apparaten die straks aangesloten worden op het internet der dingen.’
€5,5 mln
Investering in het Amsterdamse EclecticIQ door investeerder Inkef, een van de grootste, publiek bekende investeringen.
€40 mln
Omzet van SecureLink in 2016 in Nederland.
€135 mln
Bedrag dat Britse NCC Group in 2015 betaalde voor Delftse cyberbeveiliger FoxIT, die in dat jaar een omzet had van €30 mln.
Jos Bourgonje verwacht niet dat cyberbeveiliging een feest van de Amerikaanse techreuzen alleen zal worden. ‘De Amerikaanse wetgeving, die bepaalt dat de overheid verregaande rechten heeft voor het opvragen van data, schrikt bedrijven af. ‘De markt zal een alternatief willen. Daarbij is het één ding om technologie uit een ander land in te kopen, maar om Amerikaanse of Israëlische beveiligingsspecialisten in persoon op je bedrijf toe te laten is een heel ander verhaal.’
Investeerders willen wel, maar kunnen weinig interessants vinden
Investeerders grazen begering de markt af op zoek naar interessante cyberbeveiligers om in te investeren. Maar de spoeling is dun, constateren zowel investeerder Jos Bourgonje als Sebastiaan Kors, die start ups begeleidt.
‘Het ingewikkelde is dat de technologie nu klaar moet zijn.’ zegt Bourgonje. ‘Als je nu investeert in nanotechnologie dan weet je dat je nog een paar jaar hebt voordat je bedrijf rijp moet zijn. Die tijd is er in cyberbeveiliging niet meer, de oplossing moet er liggen. Die zijn echter zeldzaam.’ Kors krijgt bij de accelarator ook vooral aanmeldingen uit het buitenland. Hij wijt dit onder meer aan een gebrek aan technisch talent en te weinig investeringen door de overheid. ‘Bovendien kun je nu in loondienst heel veel geld verdienen. Dan is de prikkel om zelf te ondernemen ook kleiner.’
Ook de ‘anarchistische inborst’van veel ondernemers in de cyberbeveiliging maakt het voor investeerders volgens Bourgonje een ingewikkelde sector. ‘Zeker als ze uit de hackerscultuur komen dan is het toch een apart slag mensen. Investeerders en managers vinden ze maar raar volk. In de beginjaren van de IT was dat ook zo. Later is dat geprofessionaliseerd, maar die cultuuromslag moet er in de cyberbeveiliging nog komen.’