Kellemetlen anti-tröszt perbe keveredett a Symantec és az ESET

nss.pngA legjelentősebb független, IT biztonsági eszközök tesztelésével foglalkozó NSS Labs trösztellenes pert indított több vírusvédelmi gyártó ellen, mivel állításuk szerint a beadványban nevesített gyártók összefogtak és közös erővel akadályozzák a független termékteszteléseket.

A perben a Symantec, ESET és CorwdStrike gyártók mellett nevesítésre került az AMTSO nevű szervezet, amelynek tagjai a jelentősebb malware- és vírusvédelmi gyártók, valamint tesztelő laborok, így maga az NSS Labs is.

Az AMTSO létrehozta és fenntartja a független malware- és vírusvédelmi tesztelési módszertant, amely alapján (szerintük) a laborok egységesen, szabályozott kritériumok és értékelési metódusok alapján végezhetik el és publikálhatják a termékteszteket.

Az NSS Labs most azzal vádolja az AMTSO-t, valamint a trösztellenes perben nevesített Symantec, ESET és CrowdStrike gyártókat, hogy összeesküdtek, ellehetetlenítik a tesztelő laborok munkáját, valamint néhányuk olyan EULA-t akar életbe léptetni, amely csak az AMTSO által kidolgozott módszertan alapján történő vizsgálatot engedi meg, viszont minden más tesztelést megtiltanak és jogi következményekkel fenyegetik azokat a szervezeteket, akik nem az AMTSO módszertan alapján végeznek teszteket a biztonsági eszközökön.

Gondoljuk ezt kicsit át.

Az egész AMTSO megközelítés alapjaiban is hibás: egy szervezetbe tömöríti a gyártókat és a tesztelőket úgy, hogy a „független” tesztelési módszertant azoknak a gyártóknak az irányításával alakítja ki a szervezet, akiknek a termékeit a „független” laborok a módszertan alapján tesztelhetik.

Ez már önmagában is kétségessé teheti az AMTSO módszertan vizsgálati eredményeit, de ugye nem kötelező az AMTSO módszertan használata a „független” teszteléshez és az eredmények publikálásához.

Legalábbis eddig nem volt kötelező.

A nagyobb probléma az NSS szerint, és ami miatt a konkrét per elindult, hogy néhány gyártó nem elégedett meg a tesztelési módszertan befolyásolásával, hanem kvázi megtiltották, hogy olyan módszertan alapján teszteljék a termékeiket, amely módszertan nem az AMTSO szabványa szerint került kidolgozásra.

Egyes gyártók a termékeik végfelhasználói szerződéseit (EULA) is úgy alakították át, hogy az jogilag minden más, az AMTSO-tól eltérő tesztelést MEGTILT, így nagyon komoly jogi következmények elé néz az, aki nem a gyártók által gründolt módszertan alapján teszteli a termékeket.

Az gyártói „összeesküvést” több AMTSO-tag, és tesztelő szervezet is megpróbálta megakadályozni, az AV-Comparatives, AV-Test és az SKD LABS vállvetve küzdött azért, hogy az AMTSO ne váljon a gyártók által uralt és saját érdeküknek teret engedő játszótérré, de nem jártak sikerrel, a gyártói érdekek kerültek fölénybe.

Eddig is léteztek jogi megkötések a tesztelésekre vonatkozólag, de ilyen még nem: ha nem a mi általunk adott paklival kártyázol velünk, akkor ráfázol!

Az NSS Labs szerint ez nem csak etikátlan, de egyenesen versenykorlátozó is, hiszen eddig mindenki használta, ami esetleg jó volt az AMTSO-ban, és hozzátette a saját tesztelési eljárásait és módszertanait.

Most azonban, ha így tesz, perelhetővé válik, és az NSS szerint igencsak kétségessé vált, hogy egyáltalán lehet-e valóban független teszteket elvégezni, és az ügyfelek valóban független tesztek és vizsgálatok alapján választhatják ki a nekik megfelelő megoldásokat.

Az éremnek azonban két oldala van, aki kicsit több időt eltöltött már a szakmában (technológiai szinten) az egyébként is nagyot köp, amikor a salesek a Garner, Forester, NSS Labs és sorolhatnánk milyen „független” tesztekkel jönnek (kivéve egy-két valóban független és nagyon durván szakmai tesztlaborokat).

Ennek az oka az, hogy a tesztlaborok pénzt kérnek a gyártóktól a bevizsgálásért (ez eddig rendben is van), és „állítólag” (én persze nem tudom, de ezt beszélik), a teszteredmények nagyban függhetnek attól, hogy az adott gyártó mennyi pénzt szánt a tesztelésre.

Ha nem is a „szakik”, de a döntéshozók számára ezek az elemzések azonban nagyon fontosak, az elemzések és tesztek eredményei masszívan befolyásolhatják a beszerzéseket (bizonyosan vannak olyan országok, ahol egy esetleges állami tenderen eleve csak olyan megoldással lehet elindulni, amely mondjuk a Gartner Magic Quadrant jobb felső sarkában tanyázik, holott a kritériumoknak legalább 20 másik, esetleg jobb, szebb, olcsóbb megoldás is megfelelne).

Egy gyártó termékéről jó eredménnyel beszámoló NSS Labs riport marketing értéke csillagászati, egy gyengébb eredményt bemutató riport azonban nagyon súlyos károkat okozhat az adott gyártónak, és csillagászati marketing értékkel bír a konkurens vendorok számára.

Az persze szintén csak pletyka, hogy a kizárólagos és jogilag kikényszerített tesztelési módszertan bevezetése jelentősen mérsékeli a független tesztelő laboroknak kifizetendő vizsgálati díjat, hiszen, ha a gyártó saját maga szabja meg, mit lehet és hogyan tesztelni, akkor ugye az eredmények sem lehetnek kétségesek, és elkerülhető, hogy egy esetleg negatív értékelés károkat okozzon.

Az AMTSO és a perben érintett, nevesített gyártók természetesen mind elitélik az NSS Labs kijelentéseit és a megtett jogi lépéseket. Elég szűkszavúan nyilatkoznak, nyilván innentől teljesen a jogászok veszik át az irányítást, de annyit azért érdemes tudni, hogy nem lesz egyszerű ez a per.

Forrás: https://kiber.blog.hu