Waarom heeft u juist voor deze antivirus gekozen? Omdat deze goedkoper is. Omdat deze betrouwbaarder is, natuurlijk. En waarom besteden onderzoekers meer tijd aan het analyseren van deze app en niet die andere? Omdat ze het bedrijf dat de eerste app heeft ontworpen simpelweg meer vertrouwen. Niet alle bedrijven zijn blij met nieuws over kwetsbaarheden die gevonden worden in hun producten. Sommige bedreigen de onderzoekers zelfs met juridische procedures.
Dus ja, in het algemeen speelt vertrouwen een grote rol in de keuze van een product. Eén fout is genoeg om het vertrouwen de grond in te boren, maar het opbouwen ervan is een stuk moeilijker. Vergelijk het met de bouw van een toren door de opeenstapeling van duizenden bakstenen. Het verwijderen van één baksteen kan genoeg zijn om de toren in te laten storten, maar de bouw ervan vergt een zorgvuldig en langdurig proces.
Een veilige haven voor onderzoekers
Bij Kaspersky willen we graag dat u, onze klanten en mogelijke kanten, ons vertrouwt. Daarom zijn we bezig met het bouwen van die toren, en vervolgens het behoud van die toren. We hebben al ons our Global Transparency Initiative gelanceerd. We hopen dat dat laat zien hoe transparant ons bedrijf is. Bovendien hebben we het aantal bug bounties verhoogd. En daar tellen we nu bij op dat we ons hebben aangesloten bij het Disclose.io project van Bugcrowd om te garanderen dat we de betrokken onderzoekers, die zoeken naar kwetsbaarheden in onze producten, niet juridisch zullen achtervolgen.
Bugcrowd lanceerde Disclose.io in samenwerking met de bekende veiligheidsonderzoeker Amit Elazari in augustus 2018 om een duidelijk juridisch kader te creëren dat organisaties en onderzoekers beschermt die verwikkeld zijn in de ontmanteling van bug bounty en kwetsbaarheden. In feite biedt Disclose.io een akkoord tussen onderzoekers en ondernemingen. Alle bedrijven die aangesloten zijn bij Disclose.io stemmen in met het akkoord, en dit geldt ook voor de onderzoekers. Het is heel simpel, leesbaar en makkelijk te begrijpen. Er zijn geen honderden onderdelen en kleine lettertjes die een juridisch akkoord onmogelijk zouden kunnen maken. De kernvoorwaarden staan op GitHub en dit draagt bij aan hun transparantie. Bovendien kunnen documenten op GitHub niet worden aangepast zonder dat dit zichtbaar is voor de hele community.
Dit soort akkoorden stimuleert bedrijven om onderzoekers niet te straffen voor hun werk. Sterker nog, het bevordert de samenwerking tussen beide partijen om kwetsbaarheden op te lossen, en op die manier dragen onderzoekers bij aan de veiligheid van een product. Aan de andere kant vereist een dergelijk akkoord dat de onderzoekers verantwoordelijk omgaan met de kwetsbaarheden die ze vinden, wat inhoudt dat ze bijvoorbeeld niets publiceren voordat een kwetsbaarheid is opgelost, dat ze zorgvuldig omgaan met de data, dat ze leveranciers niet afpersen, etc.
Kort samengevat, Disclose.io zegt eigenlijk: “Geachte onderzoekers en bedrijven, als u zich gedraagt, dan zult u allebei hiervan profiteren. ” Wij zijn het er volledig mee eens en dan daarom steunen we de beweging Disclose.io en hopen daarmee een veilige haven te creëren voor onderzoekers die kwetsbaarheden willen vinden in onze producten.
Natuurlijk profiteren ook onze klanten hiervan. Hoe vaker een product of dienst wordt onderzocht door veiligheidsexperts, hoe veiliger deze wordt. Wat veiligheidsoplossingen betreft geldt dat veiligheid een uiterst noodzakelijk goed is.