Tylko 3,8 proc. budżetów IT wydawane jest na cyberbezpieczeństwo

03.05.2015
Rynek rozwiązań IT związanych z bezpieczeństwem w tym roku wart będzie niemal 77 mld dol., a w 2019 roku wartość przekroczy 155 mld dol. Rynek będzie rósł nie tylko dlatego, że zwiększa się świadomość zagrożeń.

(infografika Dariusz Gąszczyk)


Bezpieczeństwo to ciągle niewielki, ale szybko rosnący fragment rynku IT. W ciągu najbliższych pięciu lat jego wartość może się podwoić.

Najpierw rewelacje Edwarda Snowdena dotyczące śledzenia tego, co dzieje się w internecie przez NSA i nagłaśniana przez media rosnąca liczba ataków na systemy informatyczne firm i instytucji rządowych sprzyjają wzrostowi zainteresowania przedsiębiorstw bezpieczeństwem infrastruktury i rozwiązań informatycznych. Dzięki tym informacjom sprawy bezpieczeństwa stają się też bliższe zwykłym użytkownikom internetu. A na zainteresowaniu korzystają ci, którzy oferują oprogramowanie i usługi związane z internetowym bezpieczeństwem.

Nisza szybko rośnie

Według danych firmy badawczej Gartner, w 2014 roku rynek rozwiązań IT związanych z bezpieczeństwem wart był ok. 71 mld dolarów. Gartner twierdzi, że w tym roku rynek wart będzie niemal 77 mld dolarów, a w 2017 roku już 93 mld dolarów. Firma badawcza Cybersecurity Ventures szacuje, że w 2019 roku wartość rynku przekroczy 155 mld dolarów. Rynek będzie rósł nie tylko dlatego, że zwiększa się świadomość zagrożeń. Istotnym czynnikiem będzie pojawianie się nowych potencjalnie narażonych na cyberataki obszarów, takich np. jak internet rzeczy, czy zbliżające się wielkimi krokami inteligentne miasta oraz autonomiczne samochody. Rozwojowi rynku sprzyjać będzie również rosnące wykorzystanie chmury obliczeniowej i centrów danych.

Z szacunków firmy doradczej PwC wynika, że w 2014 r. przedsiębiorstwo o przychodach do 100 mln dolarów na bezpieczeństwo wydawało 73 mln dolar (o ponad 20 proc. mniej niż rok wcześniej). Firmy o przychodach od 100 mln dolarów do 1 mld dolarów średnio wydawały na ten cel 3 mln dolarów (wzrost o ponad 7 proc.), a ci z przychodami powyżej 1 mld dolarów – 10,8 mln dolarów (wzrost o blisko 5 proc.).

Średnie nie mówią jednak wszystkiego. Są branże, jak lotnicza i przemysł obronny, w których znaczny odsetek firm zmniejszył nakłady na bezpieczeństwo. Są też takie, jak ochrona zdrowia, gdzie odnotowano znaczący wzrost. W 2014 roku bank JPMorgan Chase ogłosił, że zwiększa nakłady na bezpieczeństwo z 250 mln dolarów do 500 mln dolarów. JPMorgan miał powody ku temu: padł ofiarą jednego z najgłośniejszych cyberataków, w wyniku którego włamywacze przechwycili dane – adresy poczty elektronicznej i numery telefonów – 83 mln klientów banku. JPMorgan nie jest jedyną firmą, która dopiero po wykryciu włamania zaczyna zwiększać nakłady na bezpieczeństwo. Jak twierdzą eksperci cytowani przez PwC, typowy członek zarządu odpowiedzialny za finanse, czy sprawy technologiczne decyduje się na wydanie pieniędzy dopiero, gdy udokumentuje mu się, że potencjalny problem może zaboleć firmę.

Nakłady na bezpieczeństwo stanowią nadal niewielki procent wydatków firm na IT. Według PwC, w 2014 roku było średnio to ledwie 3,8 proc., czyli tyle samo co w 2013 r.

Miliardowe kwoty robią wrażenie, ale jak wylicza Center for Strategic and International Studies cyberataki kosztowały w 2013 roku kosztowały globalną gospodarkę od 375 mld dolarów do 575 mld dolarów. Nie wykluczone, że były jeszcze wyższe gdyby w szacunkach uwzględniono rzeczy trudno mierzalne takie jak utrata reputacji, czy szkody związane z wykradzeniem wrażliwych finansowo informacji takich jak plany dotyczące fuzji i przejęć, czy też strategii.

Co oczywiste, koszty finansowe incydentów były wyższe w wielkich firmach, gdzie wynosiły średnio 5,9 mln dolarów, wobec 1,3 mln w firmach średnich i 0,41 mln w małych. Mniej oczywiste jest to, że w przypadku firm małych (do 100 mln dolarów przychodów) koszty pojedynczego ataku w 2014 r. spadły o 37 proc., podczas gdy w średnich i wielkich wzrosły odpowiednio o 30 proc. i 51 proc.

Według cytowanych przez PwC w raporcie „Managing cyber risks in an interconnected world” danych FBI, w 2013 r. tylko w USA ofiarami ataków padło 3 tys. firm. Atakowane są też instytucje rządowe. Symantec, firma zajmująca się cyberbezpieczeństwem w dorocznym raporcie „Internet Security Threat” twierdzi, że w 2014 roku liczba ataków na duże, zatrudniające co najmniej 2500 osób firmy wzrosła o 40 proc. W przypadku firm średnich i małych odnotowano wzrost liczby ataków odpowiednio o 26 proc. o 30 proc.

Z wyliczeń PwC wynika, że w latach 2009-2014 średnia liczba wykrytych ataków rosła co roku o 66 proc. i w 2014 r. sięgnęła 42,8 mln incydentów. Co istotne, ataki częściej wykrywane są w dużych firmach (o przychodach od 1 mld dolarów), co jednak nie znaczy, że mniejsze firmy nie są ich ofiarami. Często o tym nie wiedzą. Jak twierdzą autorzy raportu PwC, 71 proc. ataków pozostaje niewykryte.

Jak zauważa PwC, w firmy co raz częściej w działaniach związanych z bezpieczeństwem wspierają się zewnętrznymi usługodawcami. Z jednej strony wynika to z kosztów, a z drugiej z kompetencji. Nie bez znaczenia jest też to, że co raz trudniej jest zrekrutować dobrego pracownika zajmującego się bezpieczeństwem. Według danych zaprezentowanych przez  ISACA (poprzednio Information Systems Audit and Control Association) w raporcie „State of Cybersecurity: Implications for 2015”, zajmuje to z reguły od trzech do sześciu miesięcy. Na dodatek, większość aplikacji jest odrzucana, bo kandydaci nie spełniają oczekiwań.

VC otworzyły portfele

Oczekiwany wzrost popytu na usługi i rozwiązania związane z internetowym bezpieczeństwem znalazł odbicie w decyzjach inwestycyjnych funduszy Veture Capital. Według danych firmy badawczej PrivCo w I kwartale 2014 r. VC zainwestowały w młode firmy zajmujące się bezpieczeństwem 1,02 mld dolarów. O niemal 140 proc. więcej niż rok wcześniej w tym samym okresie i tyle co w całym 2011 roku.

W całym 2014 r. – według PrivCo inwestycje VC w tego typu spółki były warte 2,3 mld dolarów, o niemal 1/3 więcej niż w 2013 r. Firma badawcza CB Insights ma podobne szacunki – 2,4 mld dolarów w 2014 r. Z jej danych wynika, że w ub.r. VC zainwestowały łącznie 269 razy w start-upy zajmujące się cyberbezpieczeństwem.

Infografika DG

Co warto zauważyć, z reguły jednorazowe inwestycje w start-upy zajmujące się cyberbezpieczeństwem nie są wysokie. Wynoszą kilka, czasami kilkanaście milionów dolarów. Tylko niewielka część ma wartość kilkudziesięciu mln dolarów i większą.

Pieniądze do zajmujących się bezpieczeństwem start-upów płyną zarówno z funduszy zarządzanych przez tak znane firmy jak Andreessen Horowitz i Kleiner Perkins, jak i z funduszy VC tworzonych przez banki i firmy technologiczne. Według CB Insights najaktywniejszymi inwestorami – poza dwoma wymienionymi wcześniej firmami – są Intel Capital (fundusz VC należący do Intela, światowego lidera produkcji półprzewodników, który jest właścicielem McAffe, firmy zajmującej się oprogramowaniem służącym zabezpieczaniu urządzeń), Accel Partners i Greylock Partners.

Według analityków PrivCo, inwestycje napędzane są oczekiwanym przez VC wzrostem wydatków firm na bezpieczeństwo, a także spodziewanym wzrostem popytu na rozwiązania zwiększające bezpieczeństwo smartfonów, które co raz częściej są wykorzystywane jak podstawowe urządzenie do korzystania z internetu i usług internetowych oraz co raz częściej stają się obiektem ataków ze strony hakerów. Jak podkreślają eksperci, smartfony i tablety są dziś dużo słabiej zabezpieczone niż komputery stacjonarne czy laptopy, a przechowywane w nich dane – maile, wiadomości tekstowe, PIN-y, hasła do różnych serwisów, książki kontaktowe etc – są równi cenne, jak te znajdujące się w PC.

VC inwestują zarówno w firmy, które w przyszłości mogą być potencjalnymi obiektami przejęć czy to ze strony innych firm zajmujących się cyberbezpieczeństwem, czy to przez firmy poszukujące rozwiązań na własne potrzeby jak i w spółki, które z czasem mogą przeprowadzić pierwszą publiczną ofertę i wejść na giełdę.

Giełda i przejęcia

Historia uczy, że inwestycje VC firmy zajmujące się cyberbezpieczeństwem są opłacalne. Świadczyć mogą o tym historia notowań takich firm jak Palo Alto Networks, FireEye, czy Qualys. Stąd nie dziwi, że rosną oczekiwania inwestorów co do liczby spółek, które w najbliższych dwóch, trzech latach trafią na giełdę. Venky Ganesan, z firmy Menlo Ventures spodziewa się, że giełdowych debiutów będzie od 20 do 30.

W końcu kwietnia na Nasdaq zadebiutowały akcji Apigee. Firma w IPO pozyskała 87 mln dolarów, a papiery spółki zadebiutowały z kursem o blisko o 18 proc. wyższym niż wynosiła cena emisyjna. Według analityków w kolejce do tegorocznych debiutów stoją m.in. Rapid7 (zajmuje się bezpieczeństwem i analizą danych), LogRhythm (oferuje firmom usługi monitorowania ruchu w ich własnej sieci) i Mimecast (zajmuje się bezpieczeństwem poczty elektronicznej).

Eksperci wśród potencjalnych kandydatów do IPO wymieniają takie firmy jak, Bit9 (zajmuje się zabezpieczaniem urządzeń końcowych, np. komputerów PC), czy Docusign (oferuje wymianę online podpisanych kontraktów). Pewniakami zdają się być Tanium, Skyhigh Networks i Veracode.

Wejście na giełdę to jeden ze sposobów wyjścia przez VC z inwestycji. Innym jest sprzedaż spółki inwestorowi branżowemu, albo firmie poszukującej rozwiązań dla siebie. W końcu marca Raytheon, firma zbrojeniowa produkująca m.in. rakiety Patriot kupił od Vista Equity Partners, firmy zarządzającej funduszami private quity spółkę Websense (zajmuje się ochroną danych i systemów). Transakcja miała wartość 1,6 mld dolarów. Przejęta spółka i jej rozwiązania mają być połączone z działem cyberbezpieczeństwa Raytheon.

Inne duże tegoroczne transakcje to zakup przez fundusze private quity zarządzane przez Bain Capital firmy Blue Coat Systems (wartość transakcji 2,4 mld dolarów) oraz przejęcie przez Singtel, operatora telekomunikacyjnego z Singapuru firmy Trustwave. Ta ostatnia transakcja miała wartość 810 mln dolarów, a przejęta spółka ma pozwolić operatorowi na rozszerzenie działalności poza usługi telekomunikacyjne.

Swoje rozwiązania dotyczące bezpieczeństwa wzmocnił przez przejęcia także kanadyjski BlackBerry, producent smartfonów. W kwietniu za co najmniej 100 mln dolarów Kanadyjczycy kupili izraelską WatchDox, która specjalizuje się m.in. w rozwiązaniach zapewniających bezpieczną wymianę danych wewnątrz firm i instytucji.


Tagi


Artykuły powiązane

Popularne artykuły

test