Een lezer vroeg me:
Veel organisaties werken met een van de drie grote aanbieders van vulnerability management platforms: Qualys, Rapid7 en Tenable. Die platforms identificeren van kwetsbaarheden in de infrastructuur van hun afnemers en geven risico-scores voor de ontdekte kwetsbaarheden. Als onafhankelijk onderzoeker wil ik deze tools evalueren en mijn bevindingen publiceren. Maar ik begrijp dat dit niet mag van de voorwaarden van deze tools? Kan dat werkelijk verboden worden, recensies van een product?Tools zoals de genoemde drie gebruikt om te prioriteren wat de organisatie moet patchen. Dit is belangrijk omdat de platforms bij een grotere organisaties al snel tien- tot honderdduizenden kwetsbaarheden van allerlei pluimage en impact kan ontdekken.
Een evaluatie van dergelijke tools is nuttig voor potentiële gebruikers, zeker als dat door een onafhankelijke partij gebeurt. Dat hoeft natuurlijk niet een stichting of persmedium te zijn, ook een consultant kan prima reviews of evaluaties maken en met de wereld delen.
Bij sommige van deze tools staat in de gebruiksvoorwaarden dat recensies verboden zijn. Zo staat in de Master Agreement van Tenable Nessus dat ” (vi) use the Products in order to create competitive analysis or a competitive product or service;” verboden is (artikel 4 onder c). Wat deze consultant wil, is een concurrentieanalyse en dat zou dus niet mogen.
Allereerst twijfel ik of dat werkelijk de beoogde lezing is. Gezien de context kan men goed doelen op analyseren voor concurrentiedoeleinden, dus het uit elkaar halen om te zien hoe jouw platform beter zou moeten. Het is voor mij als jurist raar dat je recensies en concurrerende producten in één artikellid verbiedt.
Ten tweede zou zo’n strenge lezing al heel snel afstuiten op de vrijheid van meningsuiting. Er wordt geen reden gegeven voor het verbod, en de software is eenvoudig verkrijgbaar via internet als standaardpakket. Dat er dan zware bedrijfsgeheimen op straat komen of dat criminelen zeer gevoelige inzichten krijgen, lijkt dan zeer onwaarschijnlijk.
Zo’n reden is belangrijk, want het verbod is juridisch gezien een inbreuk op de vrijheid van meningsuiting. En dat vereist een zwaarwegende argumentatie die maakt dat een verbod de enige optie is. Dat zie ik hier werkelijk niet.
Ik zie met een snelle zoektocht meteen al vele reviews van deze tool, inclusief vergelijkingen met de concurrent. Dat doet mij vermoeden dat de soep in ieder geval niet zo heet gegeten wordt.
Arnoud
Is SentinelOne niet één van de groten? Bij vorige job gebruikten we dat en ze deden het best leuk.
Is dit weer zoiets typisch Amerikaans, waarbij tegenwoordig standaard in zo’n beetje alle contracten een “non-disparagement clause” compleet met boetebeding staat, en waar je, als je dan iets negatiefs te melden hebt over je tandarts of huisbaas, etc., er gelijk een fors bedrag van de creditcard wordt afgehaald, en gedreigd met dure rechtszaken…
Ik zou het liefst zien dat dit soort kolder in standaard overeenkomsten of algemene voorwaarden niet alleen niet afdwingbaar zijn, maar gewoon op zichzelf al hard aangepakt kunnen worden als misleidende handelspraktijk oid.
Ik lees “competitive analysis” als “de werking van ons product analyseren teneinde daar concurrentievoordeel uit te halen”. Met andere woorden: namaken. Ik lees er echt niet een verbod op reviewen in.
Ik had het ook zo gelezen, maar zelfs daar heb ik moeite mee.
Wat is er mis mee als jij bij de concurrentie een bepaalde functie ziet en deze nabouwt? De functie is … schok … functioneel en daar zou je dus geen exclusieve rechten op moeten hebben. En de concurrent moet er nog steeds een eigen implementatie van maken, want de onderliggende code kent wel een auteursrecht.
Ja goed dat weet ik ook niet, maar zoals ik het lees willen ze dat in elk geval niet. Of het stand houdt bij de rechter is dan iets anders.
“Wat is er mis mee als jij bij de concurrentie een bepaalde functie ziet en deze nabouwt?”
Dat jouw product net zo goed wordt of zelfs beter dan de concurrentie. Natuurlijk wil de concurrentie dat tegen houden.
Dit is bijna de methode Hegseth bij het MOD. Je mag alleen dingen posten als wij van het MOD die eerst goedgekeurd hebben
Ik kan me wel herinneren dat bepaalde tools of hardware zo’n verbod hadden opgenomen, omdat echt goed testen gewoon heel moeilijk is.
En ik vermoed dat dit ergens meegenomen is in de standaard set van licentievoorwaarden voor software en diensten.
Dat is zeker mogelijk. Veel van zulke contracten begonnen als maatwerk voor grote ondernemingen en verworden dan tot standaardcontracten. Maar ik vind wat Gregorius zei ook logisch: “competitive analysis” kun je ook goed opvatten als “analyse ten behoeve van concurrentiedoeleinden”, in plaats van als “vergelijking van in de markt beschikbare producten”.