Ronald Prins over het succes van hackershemel Fox-IT

Met testimonials van de NASA, de NAVO en de overheid behoort Fox-IT tot de crème de la crème van de internetbeveiligers. Medeoprichter Ronald Prins verklaart het succes van zijn bedrijf.

Het palmares van Fox-IT ziet er indrukwekkend uit. Het Delftse bedrijf (verwachte omzet 2013: € 21 mln) biedt online beveiligingsoplossingen aan ‘s werelds meest bekende instituten. Denk niet alleen aan de NASA, NAVO of de Nederlandse, Russische en Indiase overheid, maar ook aan multinationals als T-Mobile en GlobalSign en koepelorganisaties als de NVB en NOC/NSF. De dienstverlening varieert van beveiligd bellen, bestrijding van computervirussen, het detecteren van hacks, authenticatie, het traceren van kinderporno, tot de versleuteling van staatsgeheimen.

'Ook de innovatie in onze branche kan beter buiten de overheid plaats vinden'

Fox-IT’s meest belangrijke klant, de overheid (40 procent van de omzet), is ook de belangrijkste reden dat Prins ondernemer wilde worden. In 1998, vier jaar na zijn bul bij de TU Delft, mocht hij aan de slag bij de Binnenlandse Veiligheidsdienst, maar die baan bevredigde hem niet. “Ik wilde iets met internet doen, maar dat kon daar niet.” Een logische frustratie, want in zijn eerste vier loopbaanjaren had Prins net laten zien wat je online voor elkaar kan krijgen: bij het Nederlands Forensisch Instituut was hij er samen met collega Menno van der Marel in geslaagd computers te hacken van criminelen als ‘De Hakkelaar’.

Prins: “Het was duidelijk dat forensisch onderzoek op internet belangrijker werd. Alleen ontbrak het aan een creatieve en inspirerende omgeving om daar wat mee te doen. Zo'n cultuur is bij de overheid ook lastig te creëren, daarom besloten Menno en ik voor onszelf te beginnen."

Het duurde 6 jaar totdat de overheid regelmatig bij jullie aanklopte en uitgroeide tot de grootste inkomstenbron. Hoe kwamen jullie in 2005 toch al aan een omzet van € 7 mln?

“De dotcom-zeepbel in 2000 heeft ons enorm geholpen. Dat klinkt paradoxaal, maar dat heeft ons verzekerd van inkomsten in de eerste jaren. Bedrijven bezuinigden op de ontwikkeling en inkoop van it-producten, maar wat ze hadden, wilden ze goed beveiligen. Daarbij was de kennis over internet bij de overheid en het bedrijfsleven ook minimaal. We verdienden aan workshops waarin we uitlegden hoe ze zoekmachines moesten inzetten en op fora naar informatie konden vissen.”

"Verder is de keuze om afluistersoftware te ontwikkelen een hele goede geweest. Op een dag klopte een kennis bij me op de deur met dat idee, en toen zijn we het gewoon gaan doen. Dat heeft ons veel omzet opgeleverd. En we hebben die divisie uiteindelijk voor een heel mooi bedrag verkocht."

Hoe hebben jullie vervolgens de overheid voor jullie gewonnen?

“Twee factoren zijn belangrijk geweest. Ten eerste was dat de overname van een aantal activiteiten van Philips Crypto. Daardoor hadden we ineens de mensen en de technologie in huis om staatsgeheimen te beschermen. Zodoende werden we veel interessanter voor klanten in het hoogste segment. Als je staatsgeheimen kan bewaken, dan zul je dit en dit ook wel kunnen, is dan al snel de gedachte. Het deed ons imago goed.

Wat ook meehielp, is dat we door ons werk voor het Nederlands Forensisch Instituut al warme contacten met de politie onderhielden. Daarvoor hebben we in onze startersjaren onder meer geholpen bij het forensisch onderzoek naar Etienne Urka. Ook hebben we een aantal keren de laptops van politieteams beveiligd.”

Is de overheid niet te afhankelijk van Fox-IT?, vroeg Jeanine Hennis-Plasschaert zich in 2011 in de Tweede Kamer af. Nu is zij de Minister van Defensie. Ben je nooit bang je grootste klant te verliezen?

"Als je naar de concurrentie in het high end segment kijkt, hebben we daar in Nederland nog altijd niet van te duchten. Met aanbestedingsprocedures hebben we vrijwel niet te maken, de overheid komt direct naar ons toe. Nog steeds. Dat komt omdat het erg lastig is in Nederland een tweede Fox-IT op te starten. Probeer maar eens hackers te vinden die de strijd met ons aankunnen. De beste die je in Europa kan vinden, hebben we al in huis.”

Hoe zorg je ervoor dat zulke zekerheid niet tot laksheid leidt? Hoe blijf je innoveren met een bedrijf dat met 200 werknemers niet meer de kleinste is?

“We geven de werknemers heel veel verantwoordelijkheden. Ze moeten actief meedenken over de invulling van nieuwe projecten en producten. Voor veel hackers is dit wel wennen, omdat ze dat van hun oude bazen niet gewend waren. Verder krijgen ze van ons en een groot deel van onze klanten veel vrijheid om nieuwe initiatieven op te zetten. Maar ook als we heil zien in een product dat een werknemer buiten werktijd om heeft bedacht, geven we alle steun.”

Kun je een recent voorbeeld noemen?

“Dankzij de inspanningen van een werknemer zijn we net een nieuwe divisie, Fox Guard, aan het optuigen. Die gaat concurreren met de McAfees van deze wereld. Wij denken dat het product de heilige graal vormt onder de antivirussystemen voor de grootzakelijke markt. Het verzekert alle werknemers ervan dat er nooit meer iets schadelijks op hun laptop terecht komt, en het houdt bedrijfsspionage buiten de deur. De pilots die we hebben gedraaid, verliepen tot nu toe vlekkeloos.”

'Nederland moet investeren in een Silicon Valley voor de cyber security'

Ook nog niet zo lang geleden werd Ad Scheepbouwer, de ex-ceo van KPN, investeerder en directielid. Hoe is jullie dat gelukt?

“De gesprekken zijn op gang gekomen via bemiddeling van de NIBC Bank. Het was een match van twee kanten. Menno en ik zochten iemand met een schat aan commerciële kennis, want we willen graag op de inhoud gefocust zijn. Ad wil op zijn beurt alleen geld stoppen in snelgroeiende bedrijven waar hij zelf ook echt wat te doen heeft.”

Wat heeft hij voor jullie betekend?

“Ad heeft er onder meer voor gezorgd dat we verstandiger met de kosten omgaan. Dat is een reden waarom de winstmarge de afgelopen jaren niet altijd ruim is geweest. Ad doet ons bijvoorbeeld beseffen dat we geduldiger een salestraject moeten afronden. Wanneer een ceo zo’n 40.000 werknemers onder zich heeft, duren zulke cycli nu eenmaal wat langer. In het verleden hebben Menno en ik in dat soort situaties wel eens te snel mensen aangenomen, voordat ze ook daadwerkelijk aan de slag konden. Verder doet Ad ons nadrukkelijker realiseren dat we iets nauwlettender moeten kijken naar de budgettering van nieuwe innovatieve projecten. Heel veel van die projecten hebben namelijk niets opgeleverd.”

‘Nederland moet investeren in een cyberleger’

Volgens Ronald Prins heerst er in Nederland een uitstekend klimaat voor de totstandkoming van ‘een Silicon Valley voor de cyber security’. “Bij het High Tech Crime Team van het KLPD beschikken ze inmiddels over een zeer goede online opsporingsdienst. De FBI komt er zelfs op bezoek om te leren hoe ze bepaalde botnets (netwerken van geïnfecteerde computers) onderuit kunnen halen. En de TU Delft heeft in juli een hoogleraar cyber security aangesteld. Nederland heeft alles in zich om een cyberleger op te bouwen, dat internationaal een rol kan spelen.”

Prins heeft Defensie-minister Jeanine Hennis-Plaschaert al eens gepolst of de overheid in de branche wil investeren. "Ze lijkt op dezelfde lijn te zitten als wij. In de Miljoenennota stond cyber security genoemd als een belangrijke niche die versneld ingevuld gaat worden. En er wordt haast gemaakt met een Defensie Cyber Commando. Dat gaat dus de goede kant op."

Volgens Prins vormt The Hague Security Delta (HSD), een pas opgericht netwerk voor bedrijven, overheden en kennisinstellingen, een prima basis om de ambities van de sector uit te bouwen. "Dat kan uitgroeien tot een soort van Silicon Valley."

Jaren geleden schreef Bas artikelen over de start-up business, voor NU.nl, Sprout, De Financiële Telegraaf, het Financieele Dagblad en Computerworld. Na een MBA aan de UvA werkt Bas nu voor diezelfde startup scene, in dienst van Jexia, een software development platform waar ontwikkelaars 70% minder tijd kwijt zijn aan het programmeren van een app.