Een lezer vroeg me:

Veel organisaties werken met een van de drie grote aanbieders van vulnerability management platforms: Qualys, Rapid7 en Tenable. Die platforms identificeren van kwetsbaarheden in de infrastructuur van hun afnemers en geven risico-scores voor de ontdekte kwetsbaarheden. Als onafhankelijk onderzoeker wil ik deze tools evalueren en mijn bevindingen publiceren. Maar ik begrijp dat dit niet mag van de voorwaarden van deze tools? Kan dat werkelijk verboden worden, recensies van een product?

Tools zoals de genoemde drie gebruikt om te prioriteren wat de organisatie moet patchen. Dit is belangrijk omdat de platforms bij een grotere organisaties al snel tien- tot honderdduizenden kwetsbaarheden van allerlei pluimage  en impact kan ontdekken.

Een evaluatie van dergelijke tools is nuttig voor potentiële gebruikers, zeker als dat door een onafhankelijke partij gebeurt. Dat hoeft natuurlijk niet een stichting of persmedium te zijn, ook een consultant kan prima reviews of evaluaties maken en met de wereld delen.

Bij sommige van deze tools staat in de gebruiksvoorwaarden dat recensies verboden zijn. Zo staat in de Master Agreement van Tenable Nessus dat ” (vi) use the Products
in order to create competitive analysis or a competitive product or service;” verboden is (artikel 4 onder c). Wat deze consultant wil, is een concurrentieanalyse en dat zou dus niet mogen.

Allereerst twijfel ik of dat werkelijk de beoogde lezing is. Gezien de context kan men goed doelen op analyseren voor concurrentiedoeleinden, dus het uit elkaar halen om te zien hoe jouw platform beter zou moeten. Het is voor mij als jurist raar dat je recensies en concurrerende producten in één artikellid verbiedt.

Ten tweede zou zo’n strenge lezing al heel snel afstuiten op de vrijheid van meningsuiting. Er wordt geen reden gegeven voor het verbod, en de software is eenvoudig verkrijgbaar via internet als standaardpakket. Dat er dan zware bedrijfsgeheimen op straat komen of dat criminelen zeer gevoelige inzichten krijgen, lijkt dan zeer onwaarschijnlijk.

Zo’n reden is belangrijk, want het verbod is juridisch gezien een inbreuk op de vrijheid van meningsuiting. En dat vereist een zwaarwegende argumentatie die maakt dat een verbod de enige optie is. Dat zie ik hier werkelijk niet.

Ik zie met een snelle zoektocht meteen al vele reviews van deze tool, inclusief vergelijkingen met de concurrent. Dat doet mij vermoeden dat de soep in ieder geval niet zo heet gegeten wordt.

Arnoud