本文共分为上下两篇,对欧洲的网络安全科技生态做了比较深度的探讨,包括当下的挑战、机遇和未来的可能性,与美国和以色列的关系。本篇重点探讨欧洲网安市场当下的机遇与挑战。
对于中国读者和有计划出海的网络安全厂商而言,正确理解欧洲市场,才能评估欧洲市场是否是出海的理想目标,以及如何做好准备。
保护人民、企业、国家及其数据是一个全球性的问题,因此认为网络安全市场仅限于美国是非常天真的想法。欧洲作为一个有严重数据隐私关注的地区,尚未充分发挥其作为主要市场参与者的潜力,这是一个有趣的案例研究。
乍一看,欧洲具备成为网络安全领域重要参与者的关键要素:- 2021年,欧盟国内生产总值的总价值为14.5万亿欧元,几乎与中国在同一年的国内生产总值相当。
- 欧洲联盟在应对不断增长的威胁和新兴技术方面历来是最快做出反应的,发布了一系列战略和白皮书(典型案例是有关人工智能的欧盟指令)。
- 欧盟雇佣的软件开发人员数量超过美国——这是一个鲜为人知的事实。
尽管存在众多因素,但欧洲在成熟网络安全实践采用和网络安全公司的增长方面一直落后。正如Axeleo Capital的Hugo Nicolas所观察到的那样,前20家网络安全公司中没有一家位于欧盟。我持续会见来自欧洲的雄心勃勃的安全初创公司创始人,看到从一开始,他们就面临着重重困难。在本文中,我将探讨一些原因,解释为什么情况会如此,并提出对于创业者和网络安全投资者来说前进的道路的观点。首先,尽管大多数人,特别是在科技行业工作的人,会说英语,但语言障碍仍然是一个挑战。诚然,这更多是一个文化问题,而不是语言问题:在评估欧洲制造的产品时,欧洲买家希望看到对他们的母语的支持,即使他们购买来自美国的产品也没问题。在销售过程中也是如此:当与欧洲公司进行谈判时,法国买家希望与母语为法语的人打交道,而德国的CISO则希望与德国的经销商或销售人员交流。文化差异相当明显:在意大利销售过程被视为正常的做法,在法国或德国则行不通,反之亦然。客户的人口统计数据不同,经销商生态系统也不同:在德国有许多强大的中型本土公司,在法国有许多中小企业和几家大型公司。如果一家初创企业想在德国建立经销合同,可以先与中型经销商进行交流,但在法国,直接与大型企业合作更合理。尽管存在泛欧洲的管理机构,但国家安全和防务问题通常会在国家层面上看待。这意味着德国人希望将数据保存在德国并与当地的网络安全公司合作,法国、荷兰、比利时和其他国家的企业和政府也是如此。当数据存储不是问题时,决定从谁购买可能是个问题。不同国家之间的直销很困难,因此大多数有泛欧洲野心的网络安全提供商必须:1)满足希望进入的每个国家的所有必要合规要求,2)确保他们的产品可用于希望进入的国家的语言,以及3)与已在市场上建立良好关系的渠道伙伴建立关系。欧洲难以适应的另一个因素是复杂的法律体系。尽管欧盟在简化在欧洲开展业务方面做了大量工作,但现实情况是,每个国家都有自己的法律、法规和合规要求,这些要求巧妙地叠加在由泛欧洲管理机构通过的法律之上。欧盟以严格的隐私法和合规要求而闻名,几乎对可以进行监管的任何事物都进行规定,从经商到建立技术产品。自然而然,这使得外部人员在欧洲市场上的拓展变得更加复杂,常常培养出“欧洲市场是为欧洲人”的思维方式。有趣的是,这种对合规的强调主要是德国和法国游说的结果。今年早些时候,《Politico》发表了一篇精彩的文章,阐述了制定技术规则的国家并不是科技领域的领导国家。文章指出,“欧洲科技创新的未来不在法国和德国,而是在中东欧地区”,并提供了解释为什么瑞典、丹麦、芬兰和爱沙尼亚等国家应该在塑造欧洲科技监管方面扮演更重要角色的数据。我将在本文中讨论这如何适用于网络安全领域。我从欧洲网络安全创业者那里听到的最大挑战之一,是早期初创企业缺乏融资选择。这并不令人意外:快速查看发现,确实很少有支持种子轮和初创期公司的网络安全投资者,而且现有的投资者往往集中在少数几个市场。CyLon Ventures是一个曾经以网络安全为重点的加速器,现在成为专业投资者;Cyber Club London是一个网络安全重点的投资联合体;Osney Capital等新兴基金以及Nauta Capital等已建立的综合性风投公司都位于英国。此外,德国有eCAPITAL,法国有Axeleo Capital,荷兰有TIIN Capital,葡萄牙有Bright Pixel Capital和33N Ventures,还有其他一些基金。虽然这份名单并不详尽,但也并不长。在这些投资者中,很少有人向种子期公司提供投资;大多数专注于成长阶段,只有少数可以投资种子期公司。在种子期和初创期的融资缺口问题上,并不是缺少早期风投公司,而是缺少天使投资生态系统。这是因为风险投资公司往往在种子期或更晚的阶段介入。在产品尚未出现、团队尚未完全验证市场需求的早期阶段,非机构投资者扮演着至关重要的角色。为了建立一个愿意投资网络安全公司的天使投资者生态系统,需要一些条件:
与美国相比,其冒险和投资于高度不确定的未来是文化的一部分,大多数欧洲风险投资公司往往更加保守和风险回避,通常要求看到收入、客户标志甚至详细的商业计划,然后才做出决策是否提供资金支持。缺乏大量愿意冒险并在创始人早期阶段提供支持的风险承担者是一个问题,特别是因为在这个阶段,当地的帮助对于初创企业影响最大。当初创企业验证了问题,实现了产品市场适应性,并获得了一些美国客户后,很多美国投资者开始将其视为潜在的投资机会。然而,在此之前,本地(欧洲)的天使投资者、联合体和风险投资公司是唯一可行的融资选择。一些早期初创企业的创始人误将来自美国风险投资公司的一般兴趣误认为他们的投资意愿,结果他们常常将宝贵的资源——时间错误地分配,与不太可能很快提供资金支持的风险投资者交流,而不是致力于产品开发并努力获得一些市场反响。与美国政府主要通过立法网络安全要求来作为监管机构和市场创造者不同,欧洲立法者更积极参与塑造科技生态系统。他们之一的方式是提供非稀释性的融资选择,以支持本地的网络安全初创企业。我见过很多由于政府资助而得以启动的出色创始人。话虽如此,我认为我已经看到足够多的情况来得出结论:尽管立法者的意图非常好,但如果创始人打算构建和扩展一家产品公司,补助往往对长期初创企业的成功产生负面影响。初创企业的定义是一个高风险的尝试,成功的几率不到30-50%,但如果成功,它可以为创始人和投资者带来巨大回报。公共资金的问题在于,它让创始人分心,偏离了他们最初的目标:快速验证问题,找到解决方案,并吸引能够从中获益的客户。那些知道自己的运营时间有限,必须迅速取得成果的人,会培养出对客户的执着和追求行动的偏好,这对于初创企业的成功至关重要。政府补助通常不容易获得。创始人通常被迫研究各项规定,花费许多时间编制商业方案,收集所需文件,制定未来影响的预测,有时甚至需要预测现金流。在他们忙于处理所有的官僚手续时,他们无法进行客户探索,无法验证市场上是否需要他们正在开发的产品,无法与设计合作伙伴签约,无法吸引客户,无法与投资者社区建立关系等等。这在多个层面上都是有害的。首先,政府支持的初创企业可能会产生一种错误的安全感,认为他们有更多时间解决问题,并未意识到他们的竞争对手发展速度更快。其次,他们更有可能继续构建酷炫的技术,而不验证是否解决了有人愿意为之付费的问题。他们可能认为一旦构建了他们设想中的产品,人们就会突然意识到他们真的需要这个工具,而在大多数情况下并非如此。第三,大多数政府计划的要求并不会在资金转入初创企业的银行账户后结束:通常需要提交报告、参加会议并展示成果,所有这些都会分散创始人建设企业的注意力。此外,政府资金就像一种药物:一旦公司花费时间准备初步申请并与一些政府官员建立了关系,继续进行这样的活动会变得更容易,然后更容易忘记初创企业应该外出与客户交流、完成销售和发布代码。尽管我认为非稀释性的政府补助可能会影响初创企业寻求风险投资的增长轨迹,但它们可能非常适合那些有兴趣自力更生和有机发展的创始人。我并不认为每个公司都需要筹集风投资本;事实上,大多数网络安全初创企业都不适合风投模式。我认为创始人理解自己试图构建的是何种类型的公司,并根据自己的价值观和抱负做出决策非常重要。最后,值得注意的是,为加速器和风险投资基金分配的政府资金确实可以成为支持生态系统的良好方式。关键在于如何分配这些资金以及期望初创企业为获得资金而做出何种努力。如果一切都通过独立管理的竞争过程进行,评估公司作为投资,全面考虑商业市场的背景,那么这样的方式可以起到良好的作用。然而,大多数政府不愿意将评估的权力委托给一个仅凭项目简介和少数尽职调查会议就能提供资金的实体。为了满足高度的审查要求,确保公共资金不被滥用,他们最终制定了繁琐的计划,对有志于建设受风投支持的企业的创业者并没有真正帮助。另一个问题是要求获得政府资金的初创企业在提供资金的国家拥有一定比例的客户。这一要求单独就可能阻碍企业采取全球化的思维方式,而是专注于小市场,这对它们的长期成功可能是有害的。我之前详细讨论过为什么合规性与安全性不同,并且为什么采用以安全为先的心态至关重要。欧洲更注重合规性,以至于希望看到正确的审查标准被满足,往往超过了对实际但必要的安全措施的关注。这种对合规性而非安全性的关注意味着以下几点:- 欧洲企业更有可能投资于那些价值主张在满足某个框架或标准方面的解决方案,而不是购买以工程安全能力为重点的解决方案。
- 普通企业更有可能雇佣合规性分析师和安全策略员工,而不是安全工程师、检测工程师和其他实际操作的安全从业人员。
- 解决复杂技术问题的产品通常比美国的同类产品增长速度慢得多,因为美国拥有更大的潜在客户群体。
欧洲和美国的网络安全创业生态系统在另一个方面存在差异,即产品思维的普遍程度。在美国,绝大多数大型网络安全公司都是产品公司,比如CrowdStrike、Palo Alto、Microsoft、Zscaler、Cloudflare等等。而欧洲则有大量成功的安全服务提供商,但相对较少的网络安全产品公司。建立和扩展产品是一项艰巨的任务,那些看过如何做到这一点,或者更好的是积累了相关经验的人,具有巨大的优势。没有推出产品并将其引入市场的背景的初创企业家更有可能在快速迭代以获得市场份额方面遇到困难,或者更糟糕地成为“我们会构建它,他们会来”的心态的受害者。欧洲初创企业家面临的另一个挑战是找到早期采用者和设计伙伴。欧洲公司以风险规避而闻名,并且更倾向于那些在其他地方经过试验和测试的想法。往往情况是,网络安全行业的领导地位是由谁能宣称拥有新的市场类别来定义的,而这种类别的创建发生在美国市场的很大一部分熟悉这种新方法,以及美国的行业分析师已准备好使用新的缩略词的时候。在建立一个已经成熟的市场之前,大多数欧盟和英国企业对于初创企业提供的内容不感兴趣。换句话说,欧洲市场并不被视为类别创造者。最后,我观察到,欧洲的网络安全企业家更倾向于考虑慢慢建立公司,同时保持良好的工作与生活平衡,并计划有机增长。这与愿意牺牲所谓的工作与生活平衡以实现目标并尽快增长的美国创业者,尤其是以色列创业者形成对比。需要强调的是,1)这绝对是一种概括,我遇到过许多有强烈行动倾向的欧洲创业者,2)我并不是在暗示工作24/7是正确的做法。然而,从投资者的角度来看,重要的是:一个普通的美国风险投资公司更有可能押注于那些竭尽所能迅速壮大业务、专注于增长的人。归根结底,风险投资是为有限合伙人提供良好回报的一种方式,这也是风险投资公司所优化的目标。当我们全球范围内观察网络安全行业的竞争时,很难不意识到欧洲初创企业从一开始就面临着不利的条件。美国的网络安全公司拥有本土市场的优势,他们只需要在自己的市场上获得一次成功(尽管最终他们还需要争取欧洲的客户,但如果公司已经在美国确立了领导地位,那么这将更容易实现)。美国创业者很可能从一开始就拥有本地网络,能够与一些设计合作伙伴取得联系,甚至可能认识一些愿意支持他们的风险投资者。以色列的创业者也从一开始就为美国市场建立公司:以色列是一个如此小的生态系统,以至于本地创业者选择去有资金的地方发展。他们执行的大致相同的流程如下:- 找到一个问题,并验证首席信息安全官愿意为解决该问题付费。
- 从本地风险投资者筹集种子轮资金(最理想的是YL或Cyberstarts)。
- 退出隐秘状态,以强大的力量进入美国市场,并开始积极争夺市场份额。
欧洲创业者的故事通常非常不同,因为大多数创业者首先会争取本地市场。一般而言,欧洲的网络安全初创公司需要三次成功:在本地市场、在超出创业国家的欧洲市场,以及在美国市场。为了在全球市场中取得巨大成功,欧洲的网络安全公司必须占领美国市场的重要份额。或者,他们最大的希望是被其中一个美国巨头收购,这些巨头希望将业务扩展到欧洲市场,而他们可能忽视了这一点,一直专注于美国市场,或者被一些大型欧洲网络安全企业集团收购。
未完待续,敬请期待下篇,一起谈谈如何寻找欧洲有潜力的网安初创企业。
Ross Haleliuk
Venture in Security专栏作者,天使投资联盟负责人,LimaCharlie产品总监。
相关链接
https://ventureinsecurity.net/p/getting-europe-to-become-an-active
为了更全面展示中国网络安全厂商的整体技术实力,助力海外用户与合作伙伴能够进一步清晰了解中国网安行业发展情况,斯元商业咨询基于对行业长期研究数据以及公开调研,正式发布「China's Top 20 Cybersecurity Tech Going Global」。
「China's Top 20 Cybersecurity Tech Going Global」获取方式如下:
1.关注【安全喵喵站】公众号
2.后台发送报告关键词与个人信息【TOP20,姓名,邮箱,电话,单位,职位】,经审核通过即可获取下载链接
网安出海20强报告正式发布|扬帆出海正当时!
关注「安全喵喵站」,后台回复关键词【报告】,即可获取网安行业研究报告精彩内容合集:
《网安供应链厂商成分分析及国产化替代指南》,《网安新兴赛道厂商速查指南》,《2023中国威胁情报订阅市场分析报告》,《网安初创天使投资态势报告》,《全球网络安全创业加速器调研报告》,《网安创业生态图》,《網安新興賽道廠商速查指南·港澳版》,《台湾资安市场地图》,《全球网络安全全景图》,《全球独角兽俱乐部行业全景图》,《全球网络安全创业生态图》
话题讨论,内容投稿,报告沟通,商务合作等,请联系喵喵 hella@z1-sec.com。