Heidi Rakels: “Hou het simpel maar niet té”

“Programmeren is wat ik het allerliefste doe. Code schrijven. Ik vind het leuk raadsels op te lossen, te programmeren, mooie structuren te schrijven, iets te maken,… Dan ben ik in ‘flow’”

Trefwoorden: #beveiliging, #Guardsquare, #Heidi Rakels

Lees verder

HR

Download het artikel in

ENGINEERINGNET.BE - Aan het woord is Heidi Rakels (51), burgerlijk ingenieur computerwetenschappen (KUL), mede-oprichtster en tot voor kort CEO van een van de snelstgroeiende bedrijven van het land, Guardsquare, dat wereldwijd zo’n vier miljard mobiele toepassingen beveiligt tegen hackers.

Onze hoofdredacteur Luc De Smet interviewde haar nog vlak voor zij deze week besliste om het bedrijf te verlaten.

Begin dit jaar haalde het bedrijf 29 miljoen dollar op bij het Amerikaanse Battery Ventures. Doel is de omzet van 8 naar 100 miljoen dollar te trekken op vijf jaar. Guardsquare werd onlangs nog uitgeroepen tot Scale-Up van het jaar.

De meesten kennen Rakels echter als de judoka die de Belgische kampioenschappen 15 jaar lang topte en in 1992 Olympisch brons naar huis bracht uit Barcelona. Heel jong al ging ze voor de sport. Ze turnde en ... brak haar voet. Op haar 17e ging ze voluit voor judo. Ze wou ‘sportkot’ doen maar was ook goed in wiskunde… “Mijn ouders verplichtten me ingenieur te worden. Ik ben blij dat ik dat deed.” Programmeren werd haar andere ding: problemen oplossen en optimaliseren.

Na de sport ging ze aan de slag als software ingenieur. Werken in loondienst vond ze moeilijk. “Met mijn sport was ik gewoon heel vrij te zijn. Ik had snel het gevoel in een ‘nine to five’ job te landen en voor mijn ‘tijd’ betaald te worden.” Liever leverde ze projecten af, met een deadline. Ze programmeerde in Java “maar liefst niet voor het web.”

Dat was niet vanzelfsprekend want 95% van Java was ‘web’. Ze werkte vaak rond GIS (Geographic Information Systems) bijvoorbeeld het optimaliseren van afvalwaterleidingen. Judo deed ze tot haar 36e, in 2004, waarna ze voluit voor ‘programmeren’ ging. Sporten doet ze vandaag nog in de vrije tijd. Yoga op zaterdag. En deze winter ook ijsberen.

Eén bedrijf met twee
Haar vriend, nu partner Eric Lafortune is eveneens ingenieur computerwetenschappen. Na een doctoraat en post-doc in de VS, werkte hij aan een opensource project dat apps optimaliseerde. In 2001 volgde een eerste versie van ProGuard die heel populair werd. Google stak die in 2010 in zijn Android SDK en sindsdien gebruiken miljoenen ontwikkelaars de tool.

In 2012 begon Lafortune een uitbreiding te programmeren die meer op security gericht was. “We zouden die commercialiseren.” In 2014 richtte het koppel daartoe het bedrijf Guardsquare op. Hij focuste op het technische luik, zij op de rest. Het was heel hard werken. Van vroeg tot laat. Zelden vakantie. “Dat hoort erbij.” Mettertijd begon het toch te wegen. “Het was moeilijk om te deconnecteren, los te koppelen. Deze zomer spraken we af om thuis niet meer over het werk te praten. Nu zijn we daar door.”

Eén bedrijf met meer
“De bedoeling was met ons twee te blijven. We wilden geen mensen boven of onder ons. We zetten de software op internet…” Bleek dat ook hackers en spionagebedrijven hun software gingen kopen. “We moesten daarom kopers screenen.” Klanten screenen (willen we die mobiele app in Google playstore wel beveiligen?) blijkt niet zo moeilijk. Aan een gmail-adres verkopen ze nooit. “Als onze software virussen zou beschermen, zou elke anti-virustool onze software flaggen en is het einde verhaal.”

Er moet heel snel op hackers gereageerd worden. Onderliggende platformen evolueren dus snel. “Aanvankelijk vonden we dat een probleem maar eigenlijk is dat net goed.” De concurrentie kampt immers met hetzelfde probleem. Van een duurdere Amerikaanse concurrent kregen ze een patentaanval… “We beseften dat we het met twee niet zouden overleven. Toen zijn we beginnen groeien.”

De ingenieur had geen ervaring met mensen. “Ik zocht me te omringen met experten, elk in hun gebied. Je hebt mensen nodig die het doen voor je, of je vertellen hoe het moet.” Taken evolueren. “Eind vorig jaar was mijn taak ‘de gaten te zien’, de inconsequenties in onze processen. Als we dit willen, dan moeten we deze stappen zetten, weet je wel. Als ik ‘gaten’ zag, nam ik die vaak zelf op. Dit jaar wierven we veel mensen aan, aan wie ik dat nu doorgeef.”

Vandaag telt Guardsquare 65 medewerkers (tegen eind dit jaar meer dan 70 mensen) van 18 verschillende nationaliteiten in Leuven. Meer dan de helft zijn buitenlanders die wel al in België woonden. Een vijftal haalde het zelf uit het verdere buitenland.

“We zetten geen kantoor op in Indië. We halen wel mensen naar België. Dan zit de kennis in ons bedrijf. Dat wordt ons echter niet makkelijk gemaakt. Zo’n aanwerving van buiten de EU vergt maanden. Dat zou makkelijker moeten kunnen.” Meer dan een derde (25) is software ingenieur. Leuven staat in voor R&D, sales en marketing. In het Amerikaanse Boston en San Francisco is er eveneens een kantoor met sales en marketing voor de VS.

De beste ter wereld in een complexe niche
“Het is belangrijk je niche te vinden en daarin de beste van de wereld te zijn”, zegt Rakels. “Wij focussen zelfs binnen mobiele beveiliging van apps op enkele niches, zowel voor Android als voor iOS. Van uit die niches gaan we nu ook breder. Kwaliteit leveren blijft het belangrijkste. Wat we doen is heel complex. Het moet complex zijn. Dat is een voordeel. Het maakt het niet makkelijker voor concurrenten.”

Zijn IP bewaakt Guardsquare met eigen software. “We beschermen code en gebruiken ‘obfuscatie’ en andere technieken om de originele broncode van klanten onzichtbaar te maken.” Iets 100% beveiligen is onmogelijk maar je kan het hackers zo lastig maken dat hacken onaantrekkelijk wordt. Hackers staan echter evenmin stil. Ze maken ook tools om hun doel te bereiken. “Die tools moeten we in de gaten houden en onderzoeken. Het is letterlijk een wapenwedloop.”

Hackers kunnen studenten zijn, maar het zijn vaak georganiseerde instellingen. “Het maakt ons niet uit welk profiel ze hebben.” In 2014 vond Guardsquare de meeste klanten in Zuid-Korea. “Een van onze eerste klanten had een populaire app, die een half uur na een release al door Russen op het net gezet werd”, zegt Rakels. De geboden beveiliging is ook bedoeld om IP te beschermen tegen concurrenten. “We hebben klanten in alle sectoren. Vaak zijn het marktleiders.

De meest bewuste sectoren zijn banken en gaming. Maar ook apps met gevoelige data moeten beveiligd worden. In IoT zien we echter nog niet veel vraag.” Rakels noemt Guardsquare ook daar de ideale speler “omdat we de apps kleiner en sneller maken.” Alle beveiliging loopt in de achtergrond waar je niks van merkt. “Onze software verstrengelt zich met de app van de klant. Die kan de bescherming aan- en uitzetten.

Terwijl een app op een device loopt, kunnen we detecteren of er een aanval is, maar we beschermen hem ook tegen reverse engineering. Wij zijn een slotenmaker. Op dit ogenblik ‘registreren’ we niets. Wij verzamelen geen data en krijgen evenmin data van de klant.” In samenspraak met een klant, kan dat anders evolueren. “Bedrijven willen wel eens weten hoe vaak hun app aangevallen wordt.”

Vreemd kapitaal
Vrijwel 99% van de omzet wordt gemaakt met jaarlijkse licenties. De software wordt gekocht en de klant installeert die zelf. “Nu zijn er grote bedrijven die dit graag als een service willen maar onze hands-on ‘mensenservice’ is zeer beperkt. We evolueren wel iets meer in die richting. We zien de markt groeien. Vandaag zijn nauwelijks 5% van de apps beveiligd”, rekent Rakels. Het bedrijf groeit wereldwijd ‘overal’ even snel.

Het is atypisch dat de groei in de VS niet sneller loopt dan elders. “De Amerikaanse markt is nu minder dan 30% van onze omzet en zou meer dan 50% moeten zijn. We kregen veel inbound sales uit de VS, omdat ze ons nodig hebben, vaak nadat ze aangevallen werden. Maar om ginder zelf de markt aan te spreken, als klein bedrijf, dat niet eens investeerders had,… Je wordt er niet ‘vertrouwd’. Je hebt daarom een partner nodig die sterk is, ook in de VS.”

Met de groeipartner en het verse kapitaal “vergroten we onze overlevingskansen. Onze investeerder moest echt Amerikaan zijn. Het gaat er om geloofwaardigheid te creëren als marktleider in een risicovolle nichemarkt.” Als scale-up zal Guardsquare meer producten ontwikkelen. Eventueel zelfs bedrijven overnemen. Hoe groot moet het worden? “Hoeveel mensen je telt, maakt niet uit. Wat je doet is crux. We breiden heel snel uit om te doen wat we nodig hebben. Dat betekent ERP, CRM, nieuwe afdelingen, nieuwe functies, professionele structuren,…”


(foto's: LDS)
door Luc De Smet

Kader 1:
Geen gebrek aan ambitie
“Ik wil niet het grootste maar wel het beste bedrijf zijn. Dat is geen gebrek aan ambitie”, zei Heidi Rakels, midden mei voor de derde editie van de HR innov & tech Day in het Mechelse Lamot congrescenter. “We houden het simpel maar niet té simpel.” Een voorbeeld: aanvankelijk verkocht het bedrijf zijn beveiligingssoftware via een zelfbedieningsplatform op internet, maar hackers begonnen de software ook te kopen om er hun virussen in te verpakken. “Dat was dus té simpel. We scannen nu elke bestelling manueel.”

Als scale-up is het belangrijk de focus te bewaren. “Dat moest ik leren”, geeft ze toe. Tijd en mensen zijn immers beperkt. Je wordt voor veel uitgenodigd en uiteindelijk kom je niet meer aan werken toe. Zo ook met ‘subsidies’. Die dossiers vergen vaak tijd. “Niet te veel, dus. Wij moesten snel kunnen gaan.” ‘Think big’ maar hou de voetjes op de grond. Cruciaal is een ‘schaalbaar’ product hebben. “We werkten vanaf de eerste dag internationaal.”

“Het product is digitaal en was volledig in het Engels. Vanaf dag één spraken we Engels op kantoor. Medewerkers moeten enkel Engels kennen. We wierven mensen aan die geen Nederlands konden. Meer dan de helft van onze werknemers komt uit het buitenland.” Veel leads komen uit de teams zelf. “Diversiteit is belangrijk maar ook een balans tussen vrouwen en mannen is dat.” Niet eenvoudig zo blijkt. “Bij de ingenieurs solliciteren de vrouwen zelfs niet. We zeggen dat we geen vooroordelen hebben maar… toch hebben we die altijd onbewust. Dat proberen we toch te vermijden”, merkt Rakels op.

 “We hebben zowel aandacht voor intro- als voor extraverte medewerkers. We hebben geen vooroordelen tegen introverte mensen. We hebben er veel en vinden dat goed.” Moet je een teamspeler zijn? Rakels wijst naar een zeer introverte, buitenlandse medewerker die doorwerkt als anderen pauzeren. “Dat betekent niet dat hij geen teamspeler is. We beseffen dat sommige mensen dat niet leuk vinden.” Advies? “Hou O&O en sales dicht bij elkaar.”

Kader 2:
Niemand kent vandaag nog de gehele code
Grote bedrijven hebben analisten, programmeurs,… “Ik vind het heel ineffi-ciënt dat iemand de analyse doet en een ander de code schrijft. Dat is heel veel overhead en… moet eigenlijk demotiverend zijn”, zegt Heidi Rakels. “Wij zijn software-ingenieurs en we lossen het probleem op van het begin tot het einde.”

Nu het bedrijf groeit, splitst het wel wat taken uit en werft het ook specifieker aan: een product manager, testers, … “Onze software is zo complex. Er komen steeds nieuwe stukjes bij. Medewerkers specialiseren zich… Niemand kent vandaag nog de gehele code.”