Slechte beveiligingsproducten kunnen gebruikers laten geloven dat ze werken, toch is men op de lange termijn altijd duurder uit, zo waarschuwt beveiligingsonderzoeker Robert 'Rsnake' Hansen. Daarnaast zorgt slechte security ervoor dat men nog altijd het risico loopt om gehackt te worden. Interessant genoeg kan van zelfs de meest waardeloze security tools worden bewezen dat ze "werken" door naar de cijfers te kijken.

Hansen schetst een scenario van twee banken, bankA en bankB. De aanbieder van snakeoil security gaat naar BankA en overtuigt de bank om zijn product te gebruiken. BankA denkt dat het met een toename van fraude heeft te maken, net als de andere banken, en gaat akkoord met een proefperiode. Aanvallers kijken naar de nieuwe beveiliging van BankA en besluiten om die niet te omzeilen, maar voeren twee keer zoveel aanvallen uit op BankB.

BankA ziet opeens een afname van fraude, wat de bank laat denken dat de snakeoil security werkt. De leverancier mag de bank vervolgens als 'case' gebruiken, die daarmee naar BankB gaat. BankB ziet sinds enige tijd een verdubbeling van de fraude (de eigen fraude en die van BankA) en win hier iets aan doen. De leverancier van de snakeoil security vertelt dat BankA sinds de introductie van de producten minder fraude heeft, waarop BankB de producten ook implementeert.

Snakeoil
De aanvaller moet op dit moment wel de snakeoil security proberen te kraken, anders kan hij stoppen. Binnen een paar uur is de waardeloze snakeoil security gekraakt en kan de aanvaller zijn aanvallen weer over beide banken verdelen. BankA ziet weer een toename van fraude, net als voorheen, maar kan dat niet in verband met de snakeoil security brengen. BankB ziet na installatie van de snakeoil security een afname, waardoor het product twee keer lijkt te werken door alleen naar de cijfers te kijken. Gebruikers zijn in dit geval niet beter af en lopen mogelijk zelfs meer risico.

Het netto effect is dat de banken nu geld spenderen aan een product dat niets doet, maar waar van de banken denken dat het ze tegen fraude beschermt. Ze hebben tenslotte de cijfers om het te bevestigen. Nu is er echter minder geld om aan echte security-oplossingen te spenderen.

Concurrentie
Hansen haalt ook de 'beer in het bos' analogie aan. Het gaat er niet om dat je sneller dan de beer rent, je hoeft alleen sneller dan de man naast je te rennen. "Hoewel het een grappig verhaal is, werkt het alleen als er twee mensen zijn en je één beer tegenkomt." In een echt ecosysteem zijn er veel verschillende mensen in dezelfde bedrijfstak actief en zijn er ook veel aanvallers. "Als je je concurrenten te grazen laat nemen, lijkt dat misschien goed voor je op de korte termijn, maar in werkelijkheid voer je de aanvallers."

Uiteindelijk blijft zo het ecosysteem van de aanvaller bloeien, terwijl de hoeveelheid fraude wereldwijd niet afneemt. "Als je echt je eigen probleem wilt oplossen, moet je je concurrenten helpen." Wie in de beer-analogie de man achter hem aan de beer voert, zorgt ervoor dat het dier eventjes tevreden is. "Maar als de beer weer honger heeft, achter wie gaat hij dan aan?" Volgens Hansen hebben in dit geval mensen die samenwerken meer kans om de beer af te schrikken dan degenen die alleen doorlopen.

Chief Security Officer
"Als je een onervaren CSO bent, wil je snel scoren, dus raad maar voor welke optie je kiest?" Bij veel bedrijven zijn CSO's slechts een paar jaar actief, waardoor belangrijke maatregelen niet worden doorgevoerd. "Ze willen aan de slag, flink scoren en weer vertrekken voordat er iets stuk gaat of ze gehackt worden", zegt de beveiligingsonderzoeker

Hansen merkt op dat de CSO weinig motivatie heeft om problemen echt op te lossen of flink te scoren. Die pogingen zijn te risicovol en ze willen hun naam ook niet met een fiasco associëren. "Ze zijn beter af door zo weinig mogelijk te doen, met een paar kleine overwinningen die ze op hun C.V. kunnen zetten." Dit soort CSO's zijn volgens Hansen eenvoudig te herkennen aan hoe lang ze ergens hebben gezeten en wat ze hebben bereikt.