Er is geen ruimte voor fouten

Gemalto beveiligt onze bankpassen, creditcards en simkaarten. Het Franse bedrijf opende deze week een nieuwe Nederlandse vestiging. Topman Olivier Piou over een volwassen internet.

Olivier Piou, topman van beveilingsbedrijf Gemalto: „Er is geen ruimte voor vergissingen als je creditcards levert aan Visa of paspoorten aan een overheid.” Foto Bram Budel

Pincodes, wachtwoorden en andere identificatietrucs ten spijt, de mens blijft de zwakste schakel. Dat geldt zelfs voor Olivier Piou, topman van Gemalto. Zijn bedrijf levert beveiligingstechnologie aan banken, de telecomsector en overheden. „Toen ik net begon, liet ik bij een klantenpresentatie mijn eigen creditcards zien. Zo’n fout maak je maar één keer.”

Daarom trekt Piou nu zijn aparte demo-portemonnee, om uit te leggen wat Gemalto maakt: een Turkse bankkaart, een simkaart uit Singapore, een Nederlandse toegangspas. Allemaal draaien ze op beveiligingssoftware van dit van oorsprong Franse bedrijf. Toegang en transacties beveiligen, daar draait het om. Iedereen die bijvoorbeeld bij Amazon serverruimte huurt, identificeert zich via Gemalto.

Piou, netwerkspecialist uit de begindagen van het internet, is een van de grondleggers. Het bedrijf telt inmiddels tienduizend werknemers en heeft een notering aan de AEX. Gemalto heeft Nederlandse klanten als KPN, ABN Amro en ING. Omdat het een Nederlandse vennootschap is – niet om belastingtechnische redenen, benadrukt Gemalto – zit het hoofdkantoor in Amsterdam. Deze week kwam daar een vestiging in Breda bij, waar twaalf mensen werken.

Piou rekent op snelle uitbreiding, want Gemalto (jaaromzet 2012: 2,2 miljard euro) verwacht te profiteren van de verdere groei van smartphones, internetdiensten en mobiele betalingen. Over drie jaar moet de nettowinst verdubbeld zijn tot 600 miljoen euro. De strenge veiligheidsnormen van Gemalto leggen volgens hem de basis voor zakendoen op internet. „Wij maken software met nul fouten.”

Software zonder fouten, dat bestaat toch niet?

„Het clichébeeld is dat technologie gepaard gaat met bugs en blue screens – het scherm van een vastlopende computer. Bij een betaalautomaat zul je dat niet meemaken, vandaar dat veel mensen niet eens beseffen dat er software in hun bankpas zit. Er is geen ruimte voor vergissingen als je creditcards levert aan Visa of paspoorten aan een overheid. Daarom worden onze werkprocessen continu gecontroleerd en gevalideerd. Tot nu toe gaat het goed, hoewel een fout vier jaar geleden zorgde voor een storing bij onze Duitse bankkaarten. Die waren twaalf keer getest, door drie verschillende instanties. We proberen niet te doen alsof onze beveiligingsmethodes voor eeuwig goed blijven. We maken betaalbare technologie voor een paar euro per kaart. Miljarden mensen lopen met onze passen rond, dus zullen kwaadwillenden proberen die technologie te kraken. Daarom moeten bankkaarten om de twee, drie jaar vervangen worden. Beveiliging erodeert. In de twintigste eeuw was bescherming met een inlogcode en wachtwoord voldoende. Nu niet meer.”

Afgelopen jaar ging het nog fout met gekopieerde creditcards, waarmee wereldwijd 34 miljoen euro werd gestolen.

„Maar dat waren gekopieerde kaarten van banken uit het Midden-Oosten, die nog magneetstrips gebruiken. Dat is een zwak systeem in vergelijking met een chipkaart. Ook in de VS gebruiken ze nog magneetstrips en daar is dus nog veel bankfraude. In het Verenigd Koninkrijk schakelden banken de afgelopen jaren al in recordtempo over naar kaarten met chip. Ze moesten wel: in alle omringende landen werden chipkaarten ingevoerd en boeven wijken uit naar het land met de zwakste beveiliging.”

Mobiel betalen blijft steken in experimenten en wat losse betaal-apps. Gaan we ooit en masse betalen met onze telefoons?

„Die markt is nog te gefragmenteerd op dit moment. Wij bouwen met partijen als MasterCard toepassingen voor honderden miljoenen, miljarden gebruikers. Daarvoor is een hogere graad van beveiliging nodig dan, bij wijze van spreken, de Starbucks die je een kop koffie via je telefoon laat betalen. Maar we rekenen erop dat simkaarten op grote schaal gebruikt zullen worden voor betaalverkeer – ook voor betalingen tussen telefoons onderling. Zeker in landen waar veel mensen geen bankrekening hebben: in Kenia wordt al een derde van het bbp zo afgerekend.”

De digitale veiligheid staat ter discussie vanwege het Amerikaanse afluisterschandaal. Is Gemalto bestand tegen de NSA die encryptie probeert te ondermijnen?

„We gebruiken publieke versleutelingsmethoden en we zijn niet benaderd door autoriteiten om onze beveiliging te verzwakken. Wij beschermen je tegen fraude en cybercriminelen. Dat is wat anders dan staten die elkaar bespioneren. Natuurlijk kan ons ook gebeuren wat RSA overkwam [Amerikaanse leverancier van beveiligingstechniek die werd gehackt, red.]. Bedrijven en burgers moeten beschermd worden door politie en justitie. Als veiligheidsdiensten die regels overtreden, moet je op een andere politicus stemmen. Maar je kunt niet zeggen dat de VS nu het goede voorbeeld geven. ”

Welke rol speelt Europa in de online wereld?

„De EU onderneemt goede stappen als het gaat om privacy. Nu we een digitale identiteit hebben, moeten we die zelf kunnen beheren. Het recht om vergeten te worden is een heel belangrijk recht. Als iemand per ongeluk een domme foto online zet, moet dat gecorrigeerd kunnen worden. En als ik mijn vingerafdruk afsta aan een bedrijf, moet ik die afdruk terug kunnen vorderen. Anders blijft de kans dat iemand anders misbruik van mijn gegevens gaat maken.

„Ik zie ons echter niet als een Europees bedrijf. We hebben meer dan honderd nationaliteiten in dienst. De meeste werknemers zijn Frans, vanwege onze oorsprong. Maar van alle kenniswerkers is 18 procent Chinees, daarna Braziliaans en Mexicaans. En in geen enkel land behalen we meer dan 10 procent van onze omzet. Daardoor zijn we niet erg crisisgevoelig.

„We hadden altijd een wat simpele maar duidelijke visie: de wereld zou digitaal worden en wij wilden in het middelpunt daarvan staan. We zijn er gewoon ingerold. Als ik jaren geleden had gezegd dat we droomden om een beursgenoteerd bedrijf te worden, had je me in m’n gezicht moeten slaan.”

De meeste mensen kennen de geschiedenis van Apple, Google en Microsoft maar Gemalto is onbekend. Frustrerend?

„Welnee. Laat andere bedrijven maar in de belangstelling staan. Steve Jobs vond een manier om makkelijk draadloos toegang te krijgen tot de digitale wereld, op de achtergrond zorgen wij er voor dat je dat veilig kunt doen.

„Ooit bouwden we bij Schlumberger [oliebedrijf waaruit Gemalto voortkwam, red.] het eerste Europese computernetwerk op basis van internettechniek. Dat was nog voordat het internet heette. Het web werd niet gebouwd om veilig te zijn: het ging alleen om informatie uitwisselen – en we droomden van een soort ‘Wikipedia’. Daar werd al snel misbruik van gemaakt door cybercriminelen en zo werd het web gevaarlijk.

„Maar je moeten de zaken in perspectief zien. Vergelijk het maar met elektriciteit: toen ik jong was mocht ik in het huis van opa en oma de elektriciteitsdraden niet aanraken omdat je geëlektrocuteerd kon worden. Als je nu de draad aanraakt, slaat de stroom vrijwel meteen af. Ook het internet kan zo veilig zijn, het web zal volwassen worden. Daar ben ik van overtuigd.”

U bent erg optimistisch.

„Je moet wel optimistisch zijn, anders word je geen ondernemer.”