Datasäkerhetsföretag i Sverige Datasäkerhetsföretag i Sverige 1 (7) Datasäkerhetsföretag i Sverige Steven Jörsäter Jorsater Innovation AB
Datasäkerhetsföretag i Sverige Datasäkerhetsföretag i Sverige 2 (7) 1 SAMMANFATTNING... 3 2 INLEDNING... 3 3 DATASÄKERHETSFÖRETAG... 3 4 ENSKILDA FÖRETAG... 4 4.1 Ericsson... 4 4.2 Coromatic... 5 4.3 Impsys... 5 4.4 SafeIT... 5 4.5 F-Secure... 5 4.6 Protect-Data... 5 4.7 WM-Data... 6 5 BRANSCHEN... 6 6 SICS OCH DATASÄKERHET... 7
Datasäkerhetsföretag i Sverige Datasäkerhetsföretag i Sverige 3 (7) 1 Sammanfattning Datasäkerhetsbranschen ser ut att ha ett antal goda år framför sig. Det finns ganska många företag i Sverige men få utvecklingsbolag av någon storlek. Branschen är fortfarande starkt fragmenterad med många små och relativt okända aktörer. 2 Inledning Datasäkerhet är ett område som ganska länge ansetts ha stor tillväxtpotential. Troligtvis befinner vi oss nu faktiskt i början av en stark expansionsfas på detta område, åtminstone om man får tro IDCs analys som kommenteras nedan. I denna ministudie har jag försökt grovt kartlägga svenska datasäkerhetsföretag. Givetvis kan det inte bli mer än stickprov. Begreppet datasäkerhetsföretag är givetvis inte väldefinierat. Jag har här valt att huvudsakligen behandla företag vars hela affärsidé är inriktad på datasäkerhet. Men det finns även större företag som har avdelningar som sysslar med datasäkerhet. Arbetsmetoden har bestått i research på nätet och telefonintervjuer med en del personer. 3 Datasäkerhetsföretag Slutligen finns även ett antal andra större aktörer med som är intressanta av andra skäl. Huvudgrupperna av företag är som följer : Bolagstyp Konsult (ko) Hårdvara (hd) Program (pv) Branschorganisation (bo) Telekom (te) Operatör (op) Övrig (öv) Beskrivning Rådgivning kring och design av säkerhetslösningar Utvecklar hårdvara som används på säkerhetsområdet Utvecklar programvara som används på säkerhetsområdet Organiserar företag, t.ex. Svensk Programindustri Tillverkar Telekomprodukter Operatörer inom telekomsektorn Övrig Givetvis är många företag blandningar av dessa. Nedanstående lista visar de företag som studerats närmare. Denna lista är sammansatt av företag som dels tagits ifrån de företag som finns representerade i branschorganisationens IT-företagens informationssäkerhetsråd. Dessutom har listan kompletterats ifrån andra håll.
Datasäkerhetsföretag i Sverige Datasäkerhetsföretag i Sverige 4 (7) Företag Webbplats Typ GEA www.gea.nu bo Ifi www.ifi.se bo IT-Företagen www.it-foretagen.se bo Coromatic www.cdab.se hd HP www.hp.se hd Siemens Business Services www.siemens.se hd IBM www.ibm.se hd,ko Sun Microsystems AB www.sun.se hd CGEY www.cgey.se ko Citerus www.citerus.se ko Ekelöw InfoSecurity www.ekelow.se ko High Performance Systems www.hps.se ko NetLight www.netlight.se ko PDB DataSystem www.pdb.se ko Protect Data www.protectdata.com ko Steria www.steria.se ko TietoEnator Telecom Operators www.tietoenator.se ko Transcendent group www.transcendentgroup.com ko Trust2You www.trust2you.se ko Validation www.heleniusgruppen.se ko WM-data www.wmdata.se ko Unisys www.unisys.se ko,hd Telenor www.telenor.se op TeliaSonera www.teliasonera.se op Vodafone www.vodafone.se op Check Point www.checkpoint.com pv F-Secure www.f-secure.se pv McAfee Security www.mcafee.se pv Impsys www.impsys.se pv Microsoft www.microsoft.com pv SafeIT www.safeit.se pv Symantec www.symantec-se pv AerotechTelub (SAAB) www.aerotechtelub.se pv,ko Ericsson www.ericsson.se te Nokia www.nokia.se te Posten www.posten.se/egovernment öv 4 Enskilda företag Jag har tagit ut några företag som studerats lite närmare. Dessa är också utvalda ur olika kategorier, Företagen är följande: 4.1 Ericsson Årsomsättning 118 miljarder, vinst 10 miljarder, antal anställda : 52000, allt 2003. Stor verksamhet i Sverige. Jag talade med Peter Magnéli, General Manager Broadband Access. Enligt Peter så finns ingen särskilt säkerhetsbolag på Ericsson utan säkerhetsfrågor hanteras inom varje avdelning.
Datasäkerhetsföretag i Sverige Datasäkerhetsföretag i Sverige 5 (7) Traditionellt har dock det finska dotterbolaget haft störst tyngd i säkerhetsfrågor. Det finns ett kompetensnätverk för säkerhetsfrågor och det finns även en karriärplattform, säkerhetsexpert, för att ta hand om kompetensförsörjning. Man upplever att säkerhetsfrågor är integrerade i det dagliga utvecklingsarbetet och arbetar med lösningar och frågeställning där de är relevanta. 4.2 Coromatic Helägt dotterbolag till Skanska. Coromatic bygger datahallar och fungerar som återförsäljare av fysiska datasäkerhetsprodukter t.ex. datorlås. I första hand gäller det att systemen mot brand och stöld men givetvis också mot obehörigt intrång. 4.3 Impsys Ett litet pionjärföretag med 5 anställda. Impsys är byggt kring en teknik att generera symmetriska nycklar för säker datakommunikation, System SKG. Det är alltså ett högteknologiskt utvecklingsföretag med säte i Billdal. Kring Impsys finns en liten koncernstruktur med företagen KEAP,som använder tekniken för att lagra lösenord för inloggningsbruk i t.ex. små USB minnen, och Secured email som använder tekniken för att möjliggöra säker e-post genom standardprogram som Microsoft Outlook. Jag talade med Martin Blad som har informationsansvaret på företaget. Grunden är givetvis patentet kring SKG systemet. Impsys stora utmaningar, som för alla små utvecklingsbolag, handlar om att erövra marknader och kunder. 4.4 SafeIT SafeIT är ett litet programföretag med ca 10 anställda som har utvecklat program för filkryptering och filradering. Dessa är standardprogram som kan användas av vilken pc-användare som helst. I ett samtal med Fredrik Forsslund, VD, berättar han att företaget bildades 1999 med ett brittiskt moderbolag. Skälet till detta var att de svenska exportreglerna som administreras av Inspektionen för Strategiska Produkter (ISP) tidigare hade så stränga regler att svensk export av krypteringsteknik i praktiken inte var möjlig. Detta har dock nu ändrats. SafeIT försöker bedriva utveckling med egna medel i Stockholm och Örebro. Man fungerar också som återförsäljare av två kända produkter, ZoneAlarm och Blancco. 4.5 F-Secure Årsomsättning: 39 miljoner Euro. Vinst före skatt 4,3 miljoner Euro. Antal anställda: 283, allt 2003 Verksamt främst i Finland och noterat på Helsingforsbörsen. Liten verksamhet (säljbolag) i Sverige. F_Secure är ett företag som säljer i första hand traditionella anti-virus programvaror och andra säkerhetsprogram i bulk. Tyvärr pågår ingen utveckling i Sverige men den nordiska plattformen gör företaget ändå intressant. Ett antal andra företag på listan, som Symantec och McAfee Security (med moderbolaget Network Associates) liknar F-Secure men de är betydligt större och har amerikanska moderbolag. 4.6 Protect-Data Årsomsättning: 169 miljoner. Vinst efter skatt 0,6 miljoner. Antal anställda: 88, allt 2003. Protect Data är ett framgångsrikt svenskt datasäkerhetsföretag. Företaget har två huvudverksamhetsområden. Dels
Datasäkerhetsföretag i Sverige Datasäkerhetsföretag i Sverige 6 (7) en produktgren med informationssäkerhetslösningen PointSeC. Denna är en automatisk krypteringsmjukvara för stationära och mobila pc inklusive handdatorer. Den andra grenen utgörs av kvalificerad konsulting på datasäkerhetsområdet. Man fokuserar på lösningar som exempelvis High Integrity Network (säkra företagsnätverk med allt vad det innebär), Secure online banking (banklösning), Risk Survey-Insurance (Säkerhetsrevision i syfte att hålla nere försäkringskostnader). Programvarudelen går nu bra medan konsultdelen har fått vidkännas kraftiga nedskärningar under det tuffa 2003 (halvering av personalen). 4.7 WM-Data Årsomsättning: 6,5 miljarder. Vinst före skatt: 344 miljoner. Antal anställda: 6000, allt 2003. Stor verksamhet i Sverige. WM-data är ett av Sveriges stora konsultbolag. Givetvis arbetar man även med säkerhetsfrågor även om man inte profilerat sig särskilt inom detta område. Jag intervjuade Kjell Larsson, senior medarbetare och ledningsrepresentant inom området säkerhetstjänster. VM-data arbetar brett med säkerhetsfrågor. Några olika typuppdrag kan skönjas :?? Spel och övningar med företagsledningar i syfte att träna och förebygga krissituationer?? Säkerhet i operativa system. Systemunderhåll, -arkitektur och nyutveckling där så behövs?? Metodiskt säkerhetsarbete. Säkerställa att rutiner finns och fungerar. Kvalitetsarbete Kjell anser inte att certifieringar har någon större betydelse idag. Det är mest traditionellt säkerhetsarbete utan större teknologisk tyngd. 5 Branschen Datasäkerhet är ett begrepp som i allt högre grad når ändra ner i hemmen med dess behov av brandväggar, virusskydd, spamfilter etc. Det känns därför svårt att tro att branschen inte skulle ha tillväxpotential. Det är också precis vad analysföretaget IDC säger i en rapport om den nordiska säkerhetsmarknaden som släpptes i februari i år (jag har inte läst rapporten den kostar 3000 euro bara utdrag ur den). Analysproffsen på IDC gissar att marknaden för datasäkerhetstjänster kommer att växa med över 20% årligen under de närmaste 5 åren. Totala värdet på den nordiska marknaden om fem år beräknas till 700 miljoner euro. IDC påpekar att området fortfarande är dåligt inmutat. Skälet till att den här genomgången alls behövs är ju just, som IDC skriver, att marknaden är starkt fragmenterad och att över två tredjedelar av marknaden hålls av ett mycket stort antal små och mindre kända aktörer. IDCs Nordics konsultiva chef, Mette Ahorlu, säger också att Säkerhetskonsulter som kan positionera sig i rollen som den goda rådgivaren och som kan skingra förvirringen om vad företagen bör fokusera på och göra, går en lysande framtid till mötes. Kanske ett bra område att etablera sig på, alltså.
Datasäkerhetsföretag i Sverige Datasäkerhetsföretag i Sverige 7 (7) 6 SICS och datasäkerhet Vad kan nu uppstå för intressanta spänningsfält mellan företagen ovan och SICS? Denna fråga är som alltid kopplad vad SICS egentligen vill göra. Om vi tittar på vad vanliga slutkundsföretag vill ha så är det?? Metodkunskap?? Produktkunskap?? Praktisk kompetens att välja lösningar?? Analyshjälp IDC pekade ju just på behovet av den goda konsulten. Detta har knappast varit någon typisk roll för SICS. Att hjälpa vanliga företag måste nog, om det ska ske, göras tillsammans med en partner, troligtvis en vass säkerhetskonsult som kanske Protect-Data eller Nexus. SICS skulle då kunna bistå med?? Djup kunskap om möjligheter och begränsningar av befintliga standardlösningar?? Hjälpa till att bygga modeller av säkerhetsrisker (Bayes?)?? Uppbyggnad av en djup säkerhetsanalyskompetens Andra möjligheter är givetvis att mer handgripligt ingripa i produktutvecklingsverksamhet. Det vanliga dilemmat med svenska företag finns även i denna lista antagligen mycket stora (och då få och självinriktade) eller mycket små. Det finns tyvärr få rimligt stora företag som bedriver utveckling i Sverige att samarbeta med. Men själklart bör både Ericsson och Telia ha problem som SICS skulle kunna hjälp till med. Givetvis finns det även ett avsevärt mer direkt innovationsutrymme som även det borde intressera SICS ägare. Med tanke på den faktiskt ganska chockerande usla säkerheten i vanlig fast- och mobiltelefoni så kan kanske en tillämpning som möjliggör t.ex. säker IP-telefoni vara just det som ger denna verklig styrfart. Bredbandsbolaget, t.ex. erbjuder ju nu sina kunder fast telefoni och konkurrerar därmed direkt med Telias koppartrådar. Säker telefoni i någon form kan kanske bli ett viktigt konkurrensmedel nu när folk förstått hotet med dataintrång? Eller samarbete med Microsoft när det gäller säkra uppdateringar? Är det förresten publicerat hur Microsofts Windows Update verkligen fungerar? Ett dataintrång där kan ju få fullständigt förödande världsekonomiska konsekvenser. Det måste rimligtvis finnas plats för forskning och modellering på detta område.