Righard Zwienenberg: Komunikace bezpečnostní firmy se světem nikdy nekončí
Ačkoli komunikace s organizacemi, které se zabývají testováním antivirů a sestavováním nejrůznějších žebříčků na základě zjištěných výsledků, nemusí na první pohled působit jako nejzajímavější téma, při bližším pohledu můžeme zjistit pravý opak. O úskalích této činnosti a jejich dopadech jsme mluvili s odborníkem společnosti Eset Righardem Zwienenbergem.
Můžete se našim čtenářům stručně představit? Co máte v Esetu na starosti?
V Esetu působím jako analytik a výzkumník a současně se věnuji testování produktů ve smyslu komunikace a jednání s nezávislými testovacími organizacemi, používaným testovacím metodologiím a také řešení případných sporů a nejasností, které se zde objevují. Angažuji se také jako zástupce Esetu v organizaci AMTSO (Anti-Malware Testing Standards Organization), v jejímž vedení zároveň působím.
Lze obecně říci, o čem vlastně takové testy vypovídají? A k čemu se naopak příliš nehodí?
Hodnota testů záleží na tom, jak jsou provedeny. Pokud se chcete vy nebo kdokoli jiný dozvědět, jaký produkt je nejlepší pro jeho specifickou situaci, mohou mít testy značnou hodnotu. Je však třeba říci, že pro každého mají jinou hodnotu a co je dobré pro jednoho, může být naprosto neodpovídající pro někoho jiného.
Vypovídací hodnota testů také hodně záleží na zvolené metodologii. Testy jsou skutečně velmi cenné ve chvíli, kdy jsou provedeny řádně a kvalitně, což bohužel ale není vždy pravidlem. I v Esetu občas řešíme potíže tohoto druhu, což je často složité, zdlouhavé a navíc ne zrovna příjemné.
Mají tyto testy také nějaké zápory či nedostatky?
Ano, nedostatky a nevýhody testů určitě vnímáme. Řekněme, že chybu může udělat každý, ale pokud se člověk či organizace zabývající se testováním nehodlá z chyby poučit a navíc ji neustále opakuje, může vzniknout velký problém.
V řadě případů jsou testovací organizace komerčně založenými projekty (je to logické, testování není zadarmo), a abyste byli zařazeni do výsledků a žebříčků, musíte si zaplatit. S testovacími organizacemi jsme samozřejmě v kontaktu a většina z nich se postupně zlepšuje a posouvá, ale stojí to hodně času i energie. Řada organizací je ke změnám liknavá a trvá na svých postupech, ačkoli často nemusí být zcela korektní.
Můžete jmenovat některé hlavní testovací autority v oboru? Koho byste našim čtenářům doporučil sledovat?
Je jich celá řada. Mezi dlouhodobě uznávané patří AV-Test, AV-Comparatives a Virus Bulletin. Jistě sem patří i SE Labs, ačkoli tato organizace je o něco mladší než ty předchozí. Tyto čtyři jsou podle mého názoru nejdůležitější a všechny je považuji za kvalitní. AV-Test byla první organizací tohoto typu a stále jí patří prvenství ve velikosti tržního podílu. AV-Comparatives sice začínala od nuly, ale podle našich měřítek v řadě faktorů již AV-Test předčí. SE Labs jsou nejvíce technické testy, které můžete najít. Pracují na sobě, ale kvůli komplexnímu testování toho nezvládají tolik, jako ostatní. Virus Bulletin již také na trhu působí dlouho, od konce osmdesátých let, jejich testy však nejsou certifikací, ale fungují na principu tzv. „vault“ listů.
Jak tyto organizace komunikují? Jsou otevřené i případným připomínkám ze strany dodavatelů bezpečnostních řešení?
Některé otevřené jsou, některé nikoli. Čtyři předchozí, které jsem zmiňoval, jsou komunikaci otevřené, na rozdíl třeba od spotřebitelských organizací, které komunikaci nakloněny příliš nejsou. S testovacími organizacemi se můžeme o jednotlivých testech a vzorcích bavit a korigovat své postupy. To však v případě spotřebitelských organizací nejde. Už jsem zmiňoval organizaci AMTSO, která pod svými křídly sdružuje testovací organizace, a která má samozřejmě i odpovídající pravidla a předpisy. Ještě bych dodal, že ačkoli jsou organizace připraveny komunikovat, nutně to však ještě neznamená, že budou i naslouchat.
Jaké dopady mají výsledky takových testů? Například pokud z něho hypoteticky vyjde produkt hodně dobře nebo hodně špatně? Může se to projevit například i na prodejích?
Určitě. Pokud testovací organizace pracuje špatně a veřejně publikuje své výsledky, mohou zákazníci získat přesvědčení, že produkt je opravdu mizerný. Zákazníci nemají šanci zjistit, že za výsledkem stojí například špatná nebo nepřesná testovací metodika. Zákazníci testery a testovací instituce uznávají jako autoritu a nepřipouštějí si, že by zde mohla nastat nějaká chyba či nepřesnost. I to se však bohužel stává a uvedené informace vždy nemusejí být zcela správné nebo pravdivé.
V některých případech jsou dokonce kladné výsledky testů podmíněny finančním příspěvkem, s takovými organizacemi však v žádném případě nespolupracujeme. I v těchto případech může přímo docházet k ovlivňování prodejů. I když jsou některé testy provedeny očividně zcela špatně, často chtějí jejich autoři za přezkoumání našich námitek zaplatit, ačkoli jim poskytneme nezvratné informace o tom, že pravda je na naší straně. Často je bohužel finančním příspěvkem také podmíněno postavení na výsledkových žebříčcích. Výsledky testů tedy mohou náš byznys ovlivnit zcela jistě.
Berete si z těchto testování zpětnou vazbu? Snažíte se na základě testů například i upravovat budoucí produkty?
Testy rozhodně mají na produkty a jejich vývoj vliv. Na zjištěné výsledky a poznatky musíme reagovat, protože chceme, aby naše produkty byly co nejlepší a nejkvalitnější. Rozhodně to však neplatí vždy a o všech testech, je samozřejmě nutné vybírat pouze ty kvalitní a relevantní.
Mohou tyto testy pomoci prodejcům vašich produktů? Poradíte, jak je využít ve svůj prospěch?
Určitě, zde už se však dotýkáme i komerčního aspektu věci. Důležité je však být při čtení testů pečlivý. Některé testy bývají napsány mizerně, a pokud jim věnujete patřičnou pozornost, zjistíte, že z nich vyplývají zvláštní věci. Správné a hlavně správně interpretované testy však mohou resellerům pomoci s prodejem a argumentací u zákazníků.
