Security vendoren roepen in koor dat de netwerken kwetsbaar zijn en gebruikers een risico. Recente incidenten zijn reden de vraag te stellen of security bedrijven zelf niet de meest onderschatte zwakke schakel zijn.
Professionaliteit
Wat hebben we geleerd van SolarWinds en Kaseya? Gebruikers van deze software hebben er schijnbaar geen belang bij de onderste steen boven te krijgen. Dat laten ze voor het gemak maar over aan overheidsdiensten. Die zijn er in beide gevallen ook verrekte snel achtergekomen dat de professionaliteit van deze bedrijven op meerdere punten te kort schiet.
Bewuste risico’s
Omzet en beurswaarde waren en zijn belangrijker dan het afleveren van goede en grondig geteste producten. Risico’s in de vorm van het uitbesteden van werk zijn bewust genomen, omdat de marge belangrijker is dan al het andere. Bekend is ook dat deze twee bedrijven, net als vele anderen, van mening zijn dat de marges die zij maken steeds hoger moeten worden. Prijsverhogingen naar de klanten, al dan niet in de vorm van het afschalen van functionaliteit, zijn aan de orde. De klanten worden daarmee onder druk gezet richting de eindklanten meer te factureren of meer te gaan leveren. Alleen zo is het niveau van security min of meer stabiel te houden.
Ongehinderd uithollen
Is dat een verantwoorde manier van zaken doen als het om veiligheid gaat? Stel dat automakers besluiten de airbags van de bijrijder te disablen en alleen tegen meerprijs weer aan te zetten. Dat zou niemand accepteren. De overheid zou direct ingrijpen. Bij security vendoren is dat een ander verhaal. Die kunnen ongehinderd features, prijzen en voorwaarden aanpassen en daarmee de afgenomen dienst uithollen en riskanter maken.
Cryptominers
Een variatie op bovenstaande is Norton. Alleen al het idee dat een AV pakket gebundeld kan worden met een cryptominer getuigt van de eigenaardige opvattingen over het begrip security. Toegegeven Norton is niet de eerste. Avira had de primeur.
Naast deze voorbeelden zijn er nog meer. Bij elk van die gevallen hoort de vraag of security vendoren niet een dusdanig risico vormen dat ze serieus gereguleerd moeten worden. Jammer voor alle VC’s, maar het zou de samenleving wel een stuk veiliger maken als kwaliteit weer iets hoger op de prio lijst komt te staan dan rendement.
