Reportage SECURITY
De RSA-conferentie in San Francisco brengt de wereldwijde cybersecuritysector samen. Tussen de grote spelers vinden ook heel wat Vlaamse bedrijven hun weg naar klanten en podia.
RSAC is met 41.000 bezoekers een van de grootste securitybeurzen ter wereld. In tegenstelling tot Black Hat of DEF CON kijkt ze bovendien meer naar de business en hoe die moet omgaan met de digitale dreigingen in de wereld.
Tussen dat cybergeweld staan opvallend veel Belgische bedrijven, die elk in hun niche meedraaien met de wereldtop. Zo hebben Cegeka, KU Leuven, Flanders Invest & Trade en de Gentse start-up Aikido Security er een gezamenlijke stand. Bedrijven als Nviso en Secutec leggen hier contacten met klanten en partners, of geven presentaties over hun kijk op cyberveiligheid. Het Aalsterse Intigriti integreert de beurs zelfs in een grotere Amerikaanse tournee. Het bedrijf heeft geen permanente aanwezigheid in of een sterke marketingfocus op de VS, maar trekt hier wel spontaan klanten aan. “Voor een groot deel willen we met ons bezoek hier te weten komen waarom onze Amerikaanse klanten voor ons kiezen,” zegt oprichter en CEO Stijn Jans.
Die klanten zijn niet van de minste. Onder meer Coca-Cola, AMD, Arm en Intel laten de ethische hackers van Intigriti speuren naar beveiligingsgaten. Binnenkort mag het ook een van de belangrijkste techbedrijven ter wereld aan dat lijstje toevoegen.
Laagdrempelig contact leggen
Bij Cegeka ligt de focus breder. Het bedrijf heeft een stevige Europese voetafdruk en bedient sinds de overname van CTG anderhalf jaar geleden ook de Amerikaanse markt met 1.500 medewerkers in de VS. Daar staat CTG vooral sterk in de energiemarkt en gezondheidszorg. De ambitie is om die klanten vertrouwd te maken met de Belgische multinational. ‘Vanuit die voetafdruk van CTG willen we referenties opbouwen om vervolgens te verbreden,’ zegt CEO Stijn Bijnens. ‘Zonder die relaties werkt het niet. Dit blijft een business waar het vertrouwen in mensen cruciaal is.’
Cegeka kondigt op RSAC een Amerikaans Security Operations Center (SOC) aan, in Buffalo (New York), na eerdere SOC’s in België en Roemenië. De toenemende regulering in de Amerikaanse gezondheidszorg maakt dat er meer nood aan is. ‘Ze moeten meer investeren in compliance en cybersecurity, maar de meeste ziekenhuizen hier hebben geen eigen SOC,’ legt Bijnens uit.
De aanwezigheid op RSAC is er niet puur om SOC-klanten aan te trekken, wel om relaties op te bouwen: ‘Iedereen is hier veel toegankelijker,’ zegt Bijnens. ‘Onze belangrijkste partners zijn Amerikaans, dus we willen dat hun mensen ook ons goed kennen, dat ze weten waar wij hun hulp bij vragen en soms waar zij onze hulp kunnen gebruiken, bijvoorbeeld wanneer wij uitbreiden in een Europees land.’
Samen sterker
Een stand op zo’n beurs hebben is niet evident. Los van de kostprijs vernemen we in de wandelgangen dat het zelfs met een getrouwheidsprogramma werkt. Wie voor het eerst exposeert, krijgt een plekje in de marge van de beurs. Wie al een paar jaar terugkeert, schuift op naar het midden. De meerwaarde komt in verschillende vormen. ‘Het is niet dat we hier de facto een deal sluiten omdat we met iemand praten of omdat we daar op social media mee uitpakken,’ zegt Bart Watteeuw, EVP Services & Solutions van Cegeka. ‘Maar het schept vertrouwen bij klanten. Amerikaanse prospecten komen vlotter met ons praten als we hier staan.’
Dat de Hasseltse IT-dienstengroep, de KU Leuven en Flanders Invest & Trade (FIT) samen op de RSAC staan is een bewuste keuze. ‘Als je hier samen met sterke partners staat, heeft dat impact op jonge Vlaamse start-ups of spin-offs, zeker wanneer ze bijvoorbeeld Amerikaanse bedrijven ontmoeten,’ zegt waarnemend FIT-CEO Piet Demunter. ‘We zijn ooit begonnen met een stand van drie op drie meter, maar intussen groeide de FIT-stand fors, mede dankzij de twee sterke schouders van Cegeka en de KU Leuven. En door samen naar buiten te treden, zetten we het Vlaamse ecosysteem extra in de kijker.’
In haar kielzog zorgt FIT daarbij ook voor ruimte voor jonge Vlaamse spelers die naar de VS kijken, dit jaar is dat Aikido Security. Waar Cegeka en de KU Leuven het relatief zakelijk houden, valt de branding van de Gentse start-up enorm op. Die focust op gebruiksvriendelijke security-oplossingen voor ontwikkelaars. Op RSAC werkt het bedrijf zich in de kijker met fluogele ‘Anti magic quadrant club’ t-shirts en stickers, een onsubtiele verwijzing naar de beoordeling van marktanalist Gartner waar Aikido (momenteel) nog niet op staat. ‘Gartner vond het zelf leuk. Hun mensen kwamen het ons zeggen en ze konden geen t-shirt aannemen, maar ze hebben er wel foto’s van genomen en stickers meegenomen!’ zegt Madeline Lawrence, chief branding officer bij Aikido.
Maar het kan ook zonder stand. Nviso, intussen een gevestigde naam in het cybersecuritylandschap, komt naar RSAC om te evangeliseren. ‘Drie jaar geleden kwam ik hier voor het eerst omdat ik mocht komen spreken, dat hebben we de jaren nadien en dit jaar ook gedaan. Voor ons is het vooral om een boodschap te brengen, maar natuurlijk genereren we daar ook aandacht mee,’ zegt Erik Van Buggenhout, medeoprichter en verantwoordelijke voor managed services bij Nviso. Daarnaast is het voor hem de ideale plek om partners te spreken. ‘Hun executive teams en hun product teams zijn hier en dan kan je heel goede één op één gesprekken voeren en inzicht krijgen in wat ze gaan doen.’
‘Wij moeten hacken’
Een Belgische naam die u niet meteen zou verwachten op een commerciële cybersecuritybeurs is de KU Leuven. Al is de universiteit verre van een onbekende in de sector. Meer dan eens wisten de departementen Distrinet en COSIC de wereldpers te halen met een gehackte Tesla, fouten in de WPA2-beveiliging of in chips van Intel. Zij zetten op RSAC de universiteit in de kijker als groot onderzoekslabo dat mee kan op wereldniveau.
‘Wij moeten hacken om te begrijpen wat er aan de offensieve kant gebeurt, om defensief de juiste oplossingen te kunnen bouwen,’ zegt professor Wouter Joosen. ‘Het mooie is dat we binnen ons labo, Distrinet, met 130 mensen zijn. Daar komen er nog 120 bij met COSIC, het labo van professoren Bart Preneel en Ingrid Verbauwhede. Samen zijn we een groep met meer dan tien cybersecurity-professoren in verschillende disciplines.’
Hoewel de aandacht vaak gaat naar lekken in bestaande producten, is Joosen trots dat de universiteit ook vroeg de pijnpunten weet aan te duiden. ‘Vaak zijn we met thema’s bezig die op dat moment nog in de marge zitten, maar waar een hoop miserie van kan komen als het massaal in productie komt.’
AI als vriend en vijand
Passen we dat toe op een technologie die nu volop in productie gaat, dan komen we al snel uit bij AI en de vraag of dat een vloek of een zegen is in cybersecurity. De technologie helpt beveiligen, maar ze helpt hackers ook om sneller te werken. ‘We zien wel dat het de attack surface vergroot en dat stuk willen we nu ook gaan beveiligen,’ zegt professor Lieven Desmet. ‘Maar het is zeker beiden. Veel bedrijven hier beseffen dat er te weinig security engineers in de wereld zijn en dat tekort zal nog toenemen. Dus zijn we allemaal op zoek naar automatisatie-oplossingen om dat te compenseren. Wat wij specifiek bekijken is hoe we die technologie van bij de start, by design, al kunnen beschermen terwijl ze nog evolueert. Omgekeerd gaan we met AI ook in bestaande stacks kijken of er nog zwakheden zijn die we misschien over het hoofd hebben gezien.’
De evolutie maakt volgens Joosen dat bedrijven veel meer moeten samenwerken om alles af te dekken. ‘AI agents gaan aanvallers helpen om kleine problemen te vinden. Maar als verdediger moet je zorgen dat er geen problemen zijn. Dat is een veel moeilijkere uitdaging dan één probleem te vinden. Daarom gaan we naar een cultuur van teamsport en meer informatie delen tussen partijen die daar tien of zelfs vijf jaar geleden nog niet bij stilstonden.’
Belfort & Blue41
De KU Leuven is niet enkel op RSAC om haar eigen expertise te delen. Ze neemt ook twee toekomstige spin-offs mee die voortvloeien uit haar academisch werk: Belfort en Blue41.Belfort komt verder uit COSIC en ontwikkelt technologie om homomorphic encryption te versnellen. Bij dat soort encryptie kan u berekeningen uitvoeren op geëncrypteerde data, zonder ze te moeten ontcijferen, bijvoorbeeld om het gemiddelde banksaldo te berekenen zonder de echte cijfers in te kijken. ‘Die technologie is wiskundig heel zwaar. Maar het team van Ingrid (Verbauwhede, nvdr) kan dat met een factor honderd tot duizend versnellen,’ zegt professor Wouter Joosen. ‘Je ziet ook dat die technologie tractie krijgt. Apple heeft in haar laatste keynote aangekondigd dat ze homomorphic encryption aan het bekijken zijn. Veel bedrijven hebben er interesse in omdat ze informatie met concurrenten willen delen. maar er is ook hardware voor nodig om dat toepasbaar te maken,’ vult professor Lieven Desmet aan. Professor Ingrid Verbauwhede verblijft momenteel in de VS om van daaruit Belfort mee op te starten.Blue41 richt zich dan weer vooral op het beveiligen van AI agents. Naarmate ze opkomen, is er ook nood om te zorgen dat die agents veilig en betrouwbaar zijn. Daarvoor heeft Blue41 het Agent Shepherd platform dat abnormaal gedrag van AI agents moet herkennen en tegenhouden wanneer nodig. Zij werden op de RSAC één van de drie winnende finalisten op LaunchPad, waar ze hun werk mochten pitchen voor investeerders.
‘We kopen graag dingen met een hoek af’
Cegeka bracht in de zomer van 2023 een bod van 170 miljoen dollar uit op het toen beursgenoteerde CTG. Het was lang niet hun eerste overname, maar wel de grootste tot nu toe. Al wou het niet te allen koste een overname doen. ‘We zoeken overnames die we kunnen betalen. Dat zijn niet de bedrijven met talloze strategische aandeelhouders of waar equity spelers in geïnteresseerd zijn,’ zegt Stijn Bijnens. ‘We kopen graag dingen met een hoek af. CTG groeide voor de overname niet meer, de omzet daalde en onder Cegeka hebben we die groei weer ingezet. Maar was het bedrijf te sterk, dan hadden we het niet kunnen kopen. ‘Intussen is CTG volledig opgegaan in het Hasseltse IT-bedrijf. Alleen in de VS blijft de merknaam CTG. ‘Ze werken volgens ons operationeel model, maar we willen de merknaam behouden voor de continuïteit.’ In de VS hoopt Cegeka zo vanaf dit jaar meer outsourcingdeals te sluiten. De ambitie om voortaan grotere overnames te doen is er nog wel. Voor bedrijven met zeer specifieke capaciteiten sluit hij kleinere overnames niet uit, maar: ‘Liever eentje van 300 miljoen dan tien van dertig miljoen.’ Hij kijkt daarvoor naar de VS, maar ook naar Duitsland of Italië. Bijnens klopt zich wel op de borst dat de IT services van zijn bedrijf het beter doen dan de markt. ‘Die markt groeit al twee jaar niet meer, terwijl wij daar wel in slagen.’ Covid heeft de zaken bij klanten op scherp gezet. ‘Vandaag willen klanten meer, als we met hen spreken dan ligt de focus op AI, cybersecurity en kostenbesparing. Als outsourcer moet je je best doen: efficiënt werken, meer automatiseren. De bedrijven van uurtje-factuurtje hebben het daarom heel moeilijk.’