Nederlandse IT bedrijven kunnen leren van onderzoek naar VPN aanbieders

      Reacties uitgeschakeld voor Nederlandse IT bedrijven kunnen leren van onderzoek naar VPN aanbieders

Een week geleden verscheen op The Wirecutter een test van VPN aanbieders. De doelgroep van deze tech titel is de Amerikaanse markt. Desondanks zijn de bevindingen ook voor Nederland relevant. De minpunten zijn namelijk zeer herkenbaar en gaan op voor meer dan alleen VPN diensten.

Wat is Wirecutter?

Wirecutter is een online publicatie uit de stal van de The New York Times. De websites schrijft over de meest uiteenlopende zaken en richt zich op een breed publiek. Van beddengoed, via waterkokers, tot USB-C hubs. Alles dat de moderne mens thuis, onderweg of op kantoor nodig heeft passeert de revue. Vaak is dat in de vorm van een top 10 overzicht. Wirecutter communiceert duidelijk over de criteria die het voor elke test hanteert en maakt er ook geen geheim van dat sponsored links onderdeel zijn van het businessmodel. De tests staan los van de commercie en het aantal testers men kan beschikken is groot, dat is het voordeel van The New York Times als moederbedrijf.

VPN in Amerika

In Amerika wordt schijnbaar gretig gebruik gemaakt van VPN diensten. Dat zal niet zijn om Netflix te kunnen kijken. Het kunnen bezoeken van online aanbod zonder te hoeven vrezen voor de privacy is een reden van een VPN gebruik te maken. Daarnaast willen Amerikanen niet dat de ISP elk verkeer kan volgen. DPI, zoals in Nederland onbespreekbaar is, wordt in de VS door ISPs namelijk gebruikt.

Onderzoeksopzet

Yael Grauer en haar collega’s hebben serieus werk gemaakt van het onderzoek dat moest leiden tot een shortlist. Er is vooraf gesproken met Electronic Frontier Foundation, Trail of Bits, het Center for Democracy & Technology’s privacy and data project, het Open Crypto Audit Project en met de Johns Hopkins University. Dat leidt tot een vragenlijst die met kop en schouders uitsteekt met wat er ooit in Nederland over VPN diensten is gepubliceerd. Het artikel gaat in op de volgende punten:

  • Why you should trust us
  • Who this is for
  • What you should do before considering a VPN
  • Geoshifting
  • Trusting a VPN
  • Limitations of VPNs
  • How we picked
  • How we tested
  • Flaws but not dealbreakers
  • What to look forward to
  • What about HTTPS?
  • What about Tor?
  • What about creating your own VPN?
  • The competition
  • Sources

Onderzoek

53 VPN dienstaanbieders zijn onder de loep genomen, dat is een subset van het totale aanbod op de Amerikaanse markt dat schijnbaar meer dan 1.000 (!) aanbieders betreft. De criteria staan in het artikel genoemd en die zijn zonder meer valide. Vervolgens is van deze partijen de technische kwaliteit van de dienstverlening getest. Dat is gedaan voor alles operating systems, al dan niet met de meegeleverde apps, die de VPN dienst ondersteund.

Vervolgens werden andere criteria onderzocht en daar vielen de klappen. Op de punten
Trust and transparency en Privacy and terms of service policies laten veel partijen steken vallen. Minder dan de helft van de bedrijven heeft een (min of meer) actueel transparency rapport. The Wirecutter wijst erop dat VPN alles te maken heeft met vertrouwen. Het afleggen van verantwoordelijkheid middels een dergelijke rapportage hoort daar deel van uit te maken. Dat zoiets met enige vertraging uitkomt is begrijpelijk. Dat een deel van de VPN aanbieders het überhaupt niet doen en de c oncurrentie op dat punt laten scoren is onbegrijpelijk.

Drie aanbieders (NordVPN, ExpressVPN en Surfshark) scoorden overigens om (nog) een andere reden bar slecht bij “Trust and transparency”. De onderzoekers konden van deze partijen namelijk niet vaststellen wie de eigenaren zijn (“we dismissed […] for not being public about their ownership or leadership”).

Vertaling naar Nederlandse IT sector

De belangrijkste les die uit dit onderzoek getrokken kan worden is de volgende. VPN services gelden bij uitstek als dienst waarvan de gebruiker verwacht dat die aan de gecommuniceerde specificaties en eisen voldoen. Er zijn ondernemers die volstaan met een glossy folder een fancy website en veel marketing. Dat is niet de methode. Vertrouwen verdient een ondernemer omdat hij geloofwaardig en transparant communiceert over wat hij wel en niet doet. Die ondernemer verstopt zich ook niet achter een bouwwerk van rechtspersonen in diverse landen.

Het goede nieuws is dat het laatste in de Nederlandse IT sector betrekkelijk weinig voor komt. Dat kan niet beweerd worden van de inspanning bij Trust and transparency. Slechts een fractie van de hosting en datacenter bedrijven in Nederland kent bijvoorbeeld een transparency report. Nu kan worden opgemerkt dat zoiets meer een “nice to have” is dan een “need to have” en dat de markt er toch niet om vraagt. Dat argument is bekend en gaat deels op. De andere kant van het verhaal is echter dat (a) iedereen die dat niet doet het de concurrentie erg makkelijk maakt klanten die daar wel om (moeten!) vragen te werven. (b) hier steken laten vallen zorgt ervoor eerder geassocieerd te worden met concurrenten waarvan men zich liever op positieve wijze wil onderscheiden.