Symantec hult broncode beveiligingssoftware in duisternis
Russen die een beveiligingsproduct van Symantec willen kopen, zijn er aan voor de moeite. De Russische overheid heeft de gewoonte om de broncode van beveiligingssuites te inspecteren wanneer die van een buitenlands bedrijf afkomstig gaan. Doorgaans gaan softwarebouwers mee in die vraag. Ook het Amerikaanse Symantec liet de Russen toe om de broncode van zijn software te bekijken. Recente geopolitieke ontwikkelingen deden de beveiligingsspecialist nu van gedachten veranderen.
Bye bye Rusland
Het bedrijf lanceert een nieuw beleid waarbij geen enkele buitenlandse mogendheid nog het recht krijgt om naar de broncode van zijn software te kijken. Met dat precedent geeft Symantec de kans op verkoop in Rusland op. Volgens Reuters keert het bedrijf zijn kar omdat het niet meer naar zijn andere klanten kan verantwoorden dat het de Russen zijn software laat inspecteren. Symantec benadrukt dat het geen bewijzen van misbruik heeft gezien, maar denkt dat het huidige klimaat waarbij staten steeds actiever worden op het cyber-strijdtoneel een onacceptabel risico met zich mee brengt. Ook niet irrelevant voor de beslissing: het marktaandeel van Symantec in Rusland is sowieso laag.
Ook de Chinezen hebben de ambitie om meer en meer broncode te gaan inspecteren. Wanneer Symantec uit Bejing een vraag zou krijgen, zou het daar naar eigen zeggen evenmin op in gaan.
Voorlopig is het beveiligingsbedrijf een vreemde eend in de bijt. HPE bijvoorbeeld laat de inspectie van zijn software onder strikte voorwaarden nog wel toe. Het ArcSight-beveiligingsproduct (nu eigendom van Micro Focus) werd enkele jaren geleden bijvoorbeeld door een door Rusland aangestelde testfirma geanalyseerd in een R&D-centrum van HPE zelf, dat buiten Rusland ligt. De inspectie gebeurt onder toezicht van HPE. Micro Focus zelf beaamt dat de inspectie van broncode niets nieuws is, maar dat het de toegang van ‘high-risk’-landen voortaan ook zal beperken.
De buitenlandse mogendheden willen de code inkijken omdat ze de producten afkomstig van bijvoorbeeld de VS niet zomaar vertrouwen. Diezelfde angst leeft ook omgekeerd. Denk maar aan heel de historie met Kaspersky, dat sinds deze zomer door sommigen gelinkt wordt aan de Russische veiligheidsdienst FSB. Dat landen gevoelige beveiligingssoftware willen nakijken, is dan ook niet onbegrijpelijk. De suites worden immers vaak geïnstalleerd op overheidscomputers waar gevoelige data op staat.
Eigen software eerst
Langs de andere kant is de weigering van Symantec ook logisch. In het geval van Rusland moeten de producten van het bedrijf Westerse computers beschermen van een eventuele Russische cyberaanval. De geloofwaardigheid van het bedrijf rond de capaciteiten om dat te doen, gaat achteruit wanneer een potentiele vijand de broncode kan inkijken.
De evolutie kan wel eens kwalijke gevolgen hebben voor de wereldwijde softwaremarkt. Als grote machtsblokken consequenter gaan eisen om software in te kijken, en softwarebouwers dat consequent gaan weigeren, ontstaat er een gefragmenteerde markt waarin alleen software van eigen bodem de kans heeft om aangekocht te worden door officiële instanties, of in het meest extreme geval zelfs überhaupt verkocht te worden.