Jupiter: Cybersecurity in een tijdperk van ‘zero trust’

Nieuwe kansen in de cybersecurity-sector zijn in opkomst nu bedrijven de ‘kasteel en slotgracht’-benadering laten varen voor het afslaan van cyberbedreigingen, ten gunste van een 'zero trust'-beleid, zegt Guy de Blonay, manager van het Jupiter Financial Innovation Fund.

Het aantal cyberaanvallen neemt toe, evenals de kosten als gevolg van een inbraak. Volgens een Cybersecurity Ventures-rapport kostten datalekken in 2015 bedrijven wereldwijd USD 3 biljoen. De rekening zal naar verwachting stijgen tot USD 6 biljoen in 2021. Met zo'n grote dreiging is het geen verrassing dat de toezichthouders hun plaats innemen. Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) in Europa in 2018, worden bedrijven die nalaten om diefstal van klantinformatie te voorkomen, geconfronteerd met boetes die tot 4% van hun omzet kunnen oplopen.

In dit verband blijft investeren in cybersecurity een prioriteit voor veel bedrijven. Brian Moynihan - de CEO van Bank of America - zei dat dit het enige gebied in zijn bank was waar hij geen beperkingen oplegt aan de uitgaven. Satya Nadella, CEO van Microsoft, identificeerde cyberbeveiliging ook als de belangrijkste uitdaging van de moderne tijd en beloofde er meer dan USD 1 miljard per jaar in te investeren. Over het geheel genomen schatten bedrijven dat de markt voor cyberbeveiligingssoftware voor ondernemingen met 8,6% per jaar zal groeien van USD 50 miljard in 2018 tot bijna USD 82 miljard in 2024. Bovendien zullen advies- en technologiediensten gerelateerd aan cyberbeveiliging naar verwachting stijgen tot USD 109 miljard in 2024 (van USD 65 miljard in 2018).

Dus hoe ziet de toekomst eruit?

Hoewel investeringen in cyberveiligheid blijven toenemen, zal de groei niet gelijkmatig over de verschillende marktsegmenten worden verdeeld. Het traditionele beveiligingsmodel dat afhankelijk was van oplossingen zoals firewalls en antivirussoftware, is onvoldoende om moderne bedreigingen af te wenden. Klanten verplaatsen hun investeringen naar andere gebieden, zoals identiteits- en toegangsbeheer, analyse en cloud computing.

Het traditionele beveiligingsmodel is verouderd

Traditionele systemen waren gebaseerd op een "kasteel en slotgracht"-benadering die in principe veronderstelt dat alles binnen de muren van het bedrijf geen bedreiging vormt en een firewall bouwt om het bedrijfsnetwerk tegen de buitenwereld te beschermen. Deze aanpak werkte toen de meeste bedrijfsdata en -applicaties zich in de eigen datacenters bevonden.

Dit is niet langer het geval. Bedrijven gebruiken hun IT-systemen nu op de platforms van externe technologieproviders - zoals Amazon Web Services en Microsoft Azure - en werknemers hebben toegang tot applicaties vanaf een breed scala aan locaties en apparaten, waaronder smartphones en laptops. Bovendien kunnen firewalls gemakkelijk worden doorbroken als hackers werknemers misleiden om hun beveiligingsgegevens bekend te maken. Ze kunnen vervolgens jarenlang in het netwerk van een bedrijf infiltreren voordat ze uiteindelijk worden gedetecteerd.

Een reeks data-inbraken - Marriott, Yahoo, Equifax, Uber, Target en Sony - hebben de grenzen van het traditionele beveiligingsmodel al duidelijk gemaakt. In het geval van Marriott konden hackers gedurende vier jaar gevoelige klantgegevens, waaronder paspoortgegevens of creditcardinformatie, verzamelen voordat het bedrijf het probleem kon identificeren en corrigerende maatregelen kon nemen.

Investeringen in cybersecurity verschuiven naar nieuwe gebieden

Na de ontmanteling van het traditionele beveiligingsmodel ontstaat nu een nieuwe benadering van “zero-trust”, gebaseerd op het idee dat alles - binnen of buiten het netwerk - continu moet worden gecontroleerd en bewaakt. Alphabet was de eerste grote onderneming die deze aanpak omarmde en implementeerde na het slachtoffer te zijn geworden van een cyberaanval. Microsoft en Coca-Cola hebben al gezegd dat ze van plan zijn in de voetstappen van het bedrijf te treden.

Dit alles heeft verschillende implicaties voor de markt:

Investeringen in cybersecurity verschuiven van tools die gericht zijn op het beschermen van het netwerk (bijv. Firewalls) naar oplossingen die gericht zijn op het authenticeren van de gebruiker (Identity & Access Management) en het beveiligen van het apparaat (eindpuntbeveiliging).

Een ander groeigebied is analyse. Kunstmatige intelligentie wordt gebruikt om ongebruikelijke patronen in het IT-systeem te detecteren die op de aanwezigheid van hackers kunnen wijzen. Verificatieoplossingen van leveranciers zoals Okta kijken bijvoorbeeld naar context-informatie - de huidige locatie van de werknemer, het tijdstip van inloggen en het IP-adres - om verdachte accounts te blokkeren (bijvoorbeeld een werknemer in Atlanta die probeert om toegang te krijgen tot het netwerk vanuit China).

Ten slotte winnen cloudgebaseerde oplossingen voor cyberbeveiliging aan belangstelling, omdat ze gemakkelijker te updaten zijn en het mogelijk maken om de constant veranderende aard van bedreigingen bij te houden. Volgens schattingen van de branche vertegenwoordigt de cloud al 30% van de totale cyberbeveiligingsmarkt in 2019, tegen 20% in 2018.

Wat zijn de beleggingsimplicaties?

Cyberbeveiliging is een aantrekkelijke markt die de afgelopen vier jaar al goed presteerde. De sector kan echter lastig zijn om in te navigeren. Er is ook veel innovatie met nieuwe aanbieders die elk jaar op de markt komen en bedrijven die niet de juiste positionering hebben, kunnen snel marktaandeel verliezen.

Jupiter is ervan overtuigd dat de toekomst ligt bij softwareleveranciers zoals Okta, Tenable, Crowdstrike Splunk, Rapid7 en Zscaler, die een toonaangevend productaanbod hebben in een snelgroeiend segment (gebruikersauthenticatie, analyse, enz.) en die al zijn overgestapt op een cloud-model of bezig zijn dit te doen. Veel van deze bedrijven handelen tegen hoge waarderingsmultiples. Het identificeren van de namen waarvan de sterkte van het bedrijfsmodel door de markt wordt onderschat, is de sleutel tot een succesvol beleggingsproces.

De strategie kent blootstelling aan zowel leveranciers van cyberbeveiligingssoftware als bedrijven die veel investeren in hun eigen cyberbeveiligingsdivisies. Wij zijn ervan overtuigd dat cybersecurity ook een kans kan zijn voor een veel breder scala aan bedrijven in sectoren zoals verzekeringen, professionele dienstverlening en betalingen.