De beveiligingseisen worden steeds complexer: embedded devices in auto’s, vacuümrobots, productielijnen en dergelijke moeten worden beveiligd. Dit vergt een nieuwe aanpak. Vdoo heeft deze in zijn portefeuille en dringt door tot de Duitse markt. Het enige probleem is dat het kanaal daar momenteel niets van heeft.
Van auto’s tot stofzuigrobots – steeds meer apparaten worden digitaal. En dus kwetsbaar. Dit is misschien niet zo tragisch voor de huishoudelijke grasmaaier, maar wanneer het gaat om een machinebesturingssysteem dat de productie van een fabriek lamlegt, is het dat zeker wel. Hoe meer dingen “intelligent” worden, niet alleen dankzij software, maar ook in netwerken, hoe groter het risico wordt voor een hackeraanval van welke aard dan ook.
Harry Zorn, Vice President EMEA bij Vdoo
Het besef om hier voor beveiliging te zorgen, begint langzaam ingang te vinden in de markt – ook omdat het bewustzijn toeneemt door de berichtgeving over “succesvolle” aanvallen. DevSecOps – d.w.z. beveiligingsimplementatie al in het ontwikkelingsproces van apparaten en processen, cloud-native beveiliging en beveiliging door ontwerp zijn allemaal termen die hier vaak worden gebruikt. Er zijn bedrijven in opkomst die oplossingen op dit gebied aanbieden. Een van hen is bijvoorbeeld het Israëlische bedrijf Vdoo, dat bezig is voet aan de grond te krijgen op de Duitse markt. Wat nieuw is bij Vdoo is niet alleen het technologische platform, maar ook hun geprefereerde verkoopaanpak. Hier is het “klassieke” kanaal weggelaten, althans voorlopig.
Wie is Vdoo?
De drie oprichters, twee van hen met een endpoint security achtergrond en één uit de embedded device wereld, hebben Vdoo in 2017 opgericht. Het doel: een SaaS-platform voor ingebedde apparaten ontwikkelen. Vandaag heeft het bedrijf ongeveer 90 werknemers en kantoren in Israël, Amerika, Europa en Japan. Harry Zorn is Vice President EMEA, is iets minder dan een jaar aan boord en is bezig met de uitbreiding van de verkoop in dit land. Hij legt het principe van de Vdoo-oplossing als volgt uit: “Wij helpen bedrijven om het productveiligheidsproces te automatiseren.” Daarbij kan de provider op verschillende punten beginnen. “Wij zijn bijvoorbeeld betrokken bij de ontwikkeling van connected devices. Wij analyseren automatisch en regelmatig en maken deel uit van het softwareontwikkelingsproces van de huidige build. Of we bekijken de huidige release van de software en geven dan feedback aan de ontwikkelaars, zowel over de beveiligingsstatus als in termen van compliance. Op basis daarvan doen we aanbevelingen.”
Harry Zorn, Vice President EMEA bij Vdoo
Een ander werkterrein is de analyse van apparaten die al op de markt zijn en worden gebruikt. “En we analyseren niet alleen, we kunnen ook een endpoint security agent inzetten op het embedded device”, legt Zorn uit. Dit maakt het mogelijk om in de toekomst sneller updates uit te rollen wanneer nieuwe kwetsbaarheden worden ontdekt, legt de manager uit, die al vele jaren in de beveiligingsindustrie zit en een aantal stadia heeft doorlopen, van zijn eigen bedrijf via een start-up tot een bedrijf. Zonder deze oplossing duurt het vaak veel te lang voordat kwetsbaarheden weer zijn gedicht. “Laten we aannemen dat autofabrikant A in zijn auto’s het infotainmentsysteem van leverancier B gebruikt. B heeft er open source software in gebruikt. Dan ontdekt A dat er een kwetsbaarheid is. Hij licht B in en zij gaan na wie de onderdelen nu verder ontwikkelt. Het kan zes tot negen maanden duren vanaf het moment dat een gat verschijnt tot het is gedicht. Deze tijd kan worden overbrugd – het is als een virtuele pleister.”
Wie is verantwoordelijk?
Naast de toenemende verwevenheid van OT en IT zijn er ook wettelijke vereisten die moeten worden nageleefd en waarvoor het Vdoo-systeem ook controleert en ontwikkelt. Zorn noemt verantwoordelijkheden als derde moeilijkheid voor bedrijven. “Eigenlijk is dit een deel van de taak van een veiligheidsofficier. Alleen is er vaak geen vastomlijnde rol. Het is in elk bedrijf anders. Soms is het het productbeveiligingsteam, soms is het in de ontwikkelingsafdeling. Afhankelijk van de grootte van de onderneming en de mate van organisatorische rijpheid, kan er ook een Chief Product Security Officer (CPSO) zijn. Maar dit zijn deels volledig nieuwe rollen en volledig nieuwe organisatiestructuren die worden gevormd. En dat zijn de mensen die wij helpen.”
Distributie gaat aan het kanaal voorbij
En ook al ziet Zorn hier een kans voor het kanaal, “Als ik een reseller was, zou ik twee tot drie medewerkers voor het onderwerp opleiden en naam voor mezelf maken. De markt bevindt zich in een fase waarin u als partner deskundige kennis kunt opbouwen, die op zijn beurt voor anderen moeilijk in te halen is. In de eerste stap, is het belangrijkste om erachter te komen: Welke IT- en OT-apparaten heeft de klant in het netwerk waarvan hij niets afweet en die hij dus niet kan controleren? Zo’n inventaris als dienst is voor een partner heel zinvol.” Toch hanteert Vdoo een andere verkoopbenadering,