Jesper Andersen (Infoblox): 'Cybersecurity is mission critical'
25-05-2022 | Auteur: Erik Bouwer | Beeld: Gregor Servais
Wat hebben de vele DDoS-aanvallen, hackpogingen en de explosieve groei van het aantal malafide donatiewebsites voor hulp aan Oekraïne met elkaar gemeen? Allemaal maken ze gebruik van het Domain Name System (DNS). Het DNS is een onbekend maar essentieel technisch onderdeel dat is te zien als het ‘telefoonboek’ waarbij namen van websites (domeinnamen) gekoppeld worden aan IP-adressen van servers van online omgevingen – dus naast websites ook werkplekken en business applicaties. DNS zorgt ervoor dat internetgebruikers en hun gegevens op de juiste bestemming terechtkomen. Het in goede banen leiden van onze digitale samenleving – de zorg voor infrastructuur en netwerken – is een sterk groeiende miljardenbusiness. Het is tevens het werkterrein van Infoblox, een winstgevende unicorn van 20 jaar jong. Ceo Jesper Andersen, geboren en opgegroeid in Denemarken, daar opgeleid tot informaticus en in 1994 vertrokken naar de Verenigde Staten, windt er geen doekjes om: Infoblox staat open voor nieuwe overnames.
Infoblox bedient 70 procent van de Fortune 500-bedrijven, maar zal vermoedelijk niet erg bekend zijn bij Nederlandse bestuurders. Hoe kunnen we het bedrijf het beste duiden?
‘Infoblox is opgericht in 1999 door Stuart “Stu” Bailey, in die tijd student databasearchitectuur aan de University of Illinois in Chicago. Om zijn studie te bekostigen, werkte hij als netwerkbeheerder bij de IT-afdeling van de universiteit. Bailey raakte gefrustreerd over de complexiteit van het beheren van alle netwerkverbindingen. Hij besloot zich te werpen op het automatiseren van dat DNS-beheer en het beheer van IP-adressen binnen organisaties.
De bedrijven die Infoblox bedient, hebben vaak miljoenen IP-adressen in gebruik en voor het beheer daarvan zijn applicaties nodig. Bailey begreep al vrij snel dat hij niet de ideale ceo was en dat hij investeerders nodig had. Het bedrijf heeft de eerste groeispurt doorgemaakt met Sequoia Capital. Daarna is het bedrijf snel gegroeid in wat tegenwoordig de DDI-sector wordt genoemd: DNS-, DHCP- en IP-adresbeheer. Bailey is tot en met 2016 chief scientist van Infoblox gebleven.’
Hoe voorkom je als gespecialiseerde dienstverlener dat je zelf geraakt wordt door problemen waartegen je je klanten juist wil beschermen?
‘Dat is een complexe opdracht en niemand kan zeggen dat hij alle antwoorden heeft. Niemand kan 100 procent veiligheid garanderen. Criminelen zijn doorlopend op zoek naar nieuwe wegen, maar het kan ook een medewerker zijn die op een corrupte link klikt of iemand die met behulp van social engineering erin slaagt om een systeem binnen te komen.
Onze diensten beslaan een gedeelte van de zogenaamde kill chain: wij richten ons op risico’s en onregelmatigheden in het netwerk. Bij meer dan 90 procent van de cyberaanvallen is DNS betrokken. In onze moderne wereld zijn DNS-services mission critical. Denk alleen al aan de digitale uitwisseling van gegevens in de zorg, waar downtime levens kan kosten. Als het DNS-systeem van een bank platligt, kun je niet beleggen en geen geld opnemen. Maar systemen kunnen ook platgaan door andere oorzaken, denk aan cyberaanvallen. Ons bedrijf is gericht op het zorgen voor een goede nachtrust van de infrastructuur- en netwerkbeheerders. Infoblox is zich ook gaan verbreden richting securitydiensten. Daarom hebben we in 2015 een onderneming overgenomen die gespecialiseerd is in netwerkbeveiliging; daarmee hebben we zo’n 100 securityspecialisten aan onze organisatie toegevoegd.
Preventie wordt steeds belangrijker in cybersecurity, dat is goed te zien aan de hand van de oorlog in Oekraïne. Er zijn veel goede doelen waaraan je kunt doneren om vluchtelingen te helpen, maar er zijn meer fake websites dan betrouwbare sites op dit vlak. Infoblox identificeert de fake websites en waarschuwt de security community op platformen als GitHub.’
U kwam in 2014 aan boord, het bedrijf was twee jaar daarvoor naar de beurs gebracht. In 2016 werd de beursnotering weer opgegeven. Wat was de reden voor die verandering?
‘Infoblox werd van de beurs gehaald omdat een groep aandeelhouders belangstelling had om samen te werken in de shift naar een cloud first-business. Het is mijn rol als ceo om óók te luisteren naar de aandeelhouders – vooropgesteld dat de beurs verlaten ook goed voor het bedrijf zou zijn. Aansluiting zoeken bij een investeringspartner zou bovendien goed passen bij onze transformatieplannen. Het private model in plaats van de beursnotering geeft bedrijven de mogelijkheid om makkelijker grote strategische sprongen te maken omdat er minder aandeelhouders zijn die hun goedkeuring moeten geven. Toen Infoblox van de beurs werd gehaald, hebben we geïnvesteerd in de uitbreiding van ons DDI-product in de cloud (BloxOne DDI) en een beveiligingsbedrijfseenheid gebouwd, waaronder BloxOne Threat Defense. Ook hebben we een overname gedaan die vervolgens onze cyberintelligence unit van DNS-beveiligingsonderzoekers werd. Ik zag de mogelijkheden van cloud-first al lang voordat de COVID-shutdown veilige hybride netwerken tot een must-have maakte voor veel bedrijfsactiviteiten over de hele wereld.
In 2016 kwam Vista Equity Partners aan boord, vier jaar later sloot Warburg Pincus zich als tweede private equity-partner aan. Vista en Warburg Pincus hebben de kansen in de markt goed gezien en dragen wezenlijk bij aan het succes van Infoblox. Het bereiken van een goede alignment met de aandeelhouders is in deze constructie gemakkelijker; een beursnotering leidt gezien alle regulering tot extra overhead. Aan de andere kant kan een beursnotering weer een rol spelen bij een goede balans in de belangen van alle stakeholders.’
Wat is de groeistrategie van Infoblox?
‘We willen zowel organisch als anorganisch groeien. In 2016 hebben we Internet Identity overgenomen en in 2019 Snap- Route, maar verder zijn we niet bijzonder actief geweest op het vlak van overnames. Dat heeft vooral te maken met de aandacht die is uitgegaan naar de transformatie van onze onderneming, van traditioneel licentiemodel richting cloudgebaseerde dienstverlening. We investeren volop in beide platformen, zodat we een hybride oplossing kunnen bieden, maar de SaaS-dienstverlening groeit het snelst. In 2017 vormden clouddiensten slechts 4 procent van onze omzet, nu is dat 95 procent. Nu we dat bereikt hebben, is er weer meer aandacht voor acquisities.’
Hoe kijkt u aan tegen het vinden van de juiste overnamekandidaat?
‘Heldere doelen zijn extreem belangrijk bij een overnamestrategie. Een veelgemaakte fout is te sterke gerichtheid op kortetermijnresultaten: binnen twee jaar willen we een bepaalde bijdrage in de winst hebben bereikt. Voeg je via een overname iets toe aan je productportfolio of ben je bezig met een strategische of transformatieve overname? In dat laatste geval is het nodig meer naar de lange termijn te kijken. Dat heeft gevolgen voor de manier waarop je naar kandidaten en doelen kijkt. Veel gevestigde IT-bedrijven hebben hun wortels in het pré-cloudtijdperk. Niet alle bedrijven hebben even snel gereageerd op de opkomst van cloudcomputing. Als IT-leverancier heb je altijd een keuze: ga je voor nieuwbouw van applicaties die helemaal zijn zoals je ze wil hebben en die volledig aansluiten op het DNA van je organisatie? Zelf ontwikkelen kost veel tijd en geld, het duurt lang voordat ze omzet genereren. Of kies je voor het naar binnen halen van oplossingen via overnames? In dat scenario is het weer de vraag of een overname succesvol uitpakt: is er sprake van culturele fit en ontstaat er echt synergie?
Ik heb bij Oracle en Cisco gewerkt, bedrijven die allebei een lange reeks overnames op hun naam hebben staan. Oracle is gericht op zeer snelle integratie – goedschiks of kwaadschiks – van overgenomen bedrijven. Zo’n integratie is daar alomvattend: niet alleen IT-systemen, maar ook businessopvattingen en organisatiestructuur. Het risico is dan dat je belangrijke sleutelfiguren wellicht ziet vertrekken. Cisco daarentegen laat overgenomen bedrijven in veel gevallen langdurig zelfstandig bestaan naast het moederbedrijf – denk aan Webex of App- Dynamics. Dat levert de vraag op of integratie op de langere termijn wat gaat opleveren. AppDynamics stond de eerste vier jaar na de overname niet op de menukaart van Cisco. Enfin, er zijn veel afwegingen te maken. Vaak worden bij overnames de kosten onderschat en de opbrengsten – topline-groei, synergie – overschat. Daarnaast waren tot voor kort de waarderingen van potentiële overnamekandidaten skyhigh, pas in het afgelopen jaar is de markt gecorrigeerd.’
Spelen uw eigen wortels nog een rol bij de overnamestrategie van Infoblox?
‘Door mijn achtergrond ben ik goed bekend met de Europese manier van zakendoen. Ik voel me deels Amerikaan, deels Europeaan, ik ben ook trots op mijn Deense afkomst. Denemarken kent weinig hiërarchie en veel gelijkheid, het land heeft bijvoorbeeld een vrouwelijke premier en een vrouwelijk staatshoofd. Natuurlijk heeft dat ook enige invloed op de organisatiecultuur van Infoblox. Wij kijken om ons heen, ook in Europa en in Nederland – ons Europese hoofdkantoor zit overigens in Amsterdam.’
Dan over naar het securityvraagstuk, dat een steeds belangrijker onderdeel wordt van infrastructuur- en netwerkbeheer. Welke vragen zouden er in de board moeten worden gesteld op dit vlak?
‘De meeste bedrijven maken momenteel een transformatie door. De overheid gaat wellicht wat minder snel, terwijl moderne organisaties juist vooroplopen. Onderdeel van de digitale transformatie is de grootschalige migratie naar cloudcomputing – onder andere gericht op locatieonafhankelijk en datadriven werken. Een van de belangrijkste vragen daarbij is: doen we voldoende aan beveiliging? Als we onze netwerken steeds meer openstellen, nemen we dan ook steeds voldoende maatregelen om risico’s te beperken? Voorheen richtten bedrijven zich op verdediging: houd de vijand buiten. Tegenwoordig gaat het meer om zero trust, omdat je er ook rekening mee moet houden dat iemand al binnen is.’
Is er op het vlak van netwerksecurity voldoende kennis aanwezig in de boards?
‘Ook hier zijn de verschillen groot. Veel bedrijven doen echt hun best. Ze nodigen bijvoorbeeld gastsprekers op het vlak van security uit en ze geven trainingen aan de boardleden.’
Hoe kijkt u aan tegen de Europese opstelling ten aanzien van big tech?
‘Vanuit mijn Europese roots ben ik er best trots op dat Europa bijvoorbeeld vooroploopt met de GDPR-wetgeving. Andere landen nemen daarvan elementen over, dat is best bijzonder. Ook de rol van big tech staat in Europa ter discussie. Maar ik zou wel graag meer samenwerking tussen tech en lawmakers willen zien. Er is zelfs een land buiten de EU dat in de wet- en regelgeving verder wil gaan dan GDPR – bijvoorbeeld door vast te leggen dat er geen gebruik mag worden gemaakt van clouddiensten van Amerikaanse bedrijven. Daarmee zet je een rem op innovatie en digitale transformatie. Amerikaanse cloudbedrijven gaan echt geen uitzonderingen maken met maatwerkproducten voor dit soort landen. Ik hoop dus vooral dat de samenwerking tussen Europese en Amerikaanse bedrijven juist intensiever wordt.’
Interview door Jeroen Sombezki, advocaat ondernemingsrecht en partner bij Van Doorne. Gepubliceerd in Management Scope 05 2022.
Dit artikel is voor het laatst aangepast op 25-05-2022