Het gebruik van gratis of open-source oplossingen in de IT-markt wordt doorgaans geassocieerd met voordelen zoals kostenbesparing en flexibiliteit, maar een reeks gevallen heeft zorgen gewekt, met name op het gebied van beveiliging, bij de beslissing om deze systemen te gebruiken. Een van de meest recente ontwikkelingen in dit verband was de bevestiging, begin mei, van de betrokkenheid van "easyjson", een open-source softwarebibliotheek, bij ontwikkelaars van de Russische groep VK, waarvan de prestaties en prominentie in dat land worden vergeleken met die van Facebook. Omdat de bibliotheek veelvuldig wordt gebruikt in kritieke projecten zoals Kubernetes, Istio en Grafana, bestaat de vrees dat deze voor geopolitieke doeleinden kan worden misbruikt door middel van spionage of cyberaanvallen, met name in gevoelige sectoren zoals defensie en financiën.
Voor Rodrigo Gazola, CEO en oprichter van ADDEE, een bedrijf dat al 30 jaar actief is in de markt voor IT-managementoplossingen, is de "easyjson"-zaak slechts een nieuw voorbeeld dat de zorgen van bedrijven over open-sourceoplossingen bevestigt. "Het feit dat deze technologische structuren openbaar zijn, waardoor iedereen (inclusief aanvallers) ze kan bestuderen en naar kwetsbaarheden kan zoeken, is een grote risicofactor, vooral omdat de meeste open-sourceoplossingen geen gratis officiële ondersteuning bieden. Dit kan bedrijven in kritieke situaties volledig hulpeloos achterlaten, volledig afhankelijk van forums en de community", aldus Gazola.
Gazola noemt andere recente gevallen die verband houden met open-sourceprogramma's. Afgelopen december werd het Ultralytics YOLO-project, een open-sourcebibliotheek voor kunstmatige intelligentie, gehackt via een kwetsbaarheid in de automatiseringsscripts van GitHub Actions. Aanvallers maakten misbruik van deze kwetsbaarheid om kwaadaardige code te injecteren in gedistribueerde versies van de software. Eerder, in oktober 2024, publiceerden cybercriminelen honderden kwaadaardige pakketten op de NPM-repository, met namen die leken op die van legitieme bibliotheken (een techniek die bekend staat als typosquatting). Het doel was om ontwikkelaars ertoe te verleiden deze gecompromitteerde pakketten te installeren, waardoor kwaadaardige code op hun systemen kon worden uitgevoerd.
Volgens hem heeft dit zorgwekkende scenario geleid tot een toegenomen vraag van Braziliaanse bedrijven naar oplossingen van fabrikanten die bekendstaan als veilig en economisch. Organisaties die kiezen voor gratis of open-source tools worden immers geconfronteerd met de complexiteit van het zelf ontwikkelen van de configuratie van een groot deel van de systemen. Dit kost tijd en energie, terwijl de uiteindelijke kosten van de oplossing juist lager zouden uitvallen. Aangezien er bovendien nog rekening moet worden gehouden met hosting- en onderhoudskosten, en deze open platforms ook nog eens het risico op datalekken met zich meebrengen, wordt de kosten-batenverhouding aanzienlijk minder gunstig.
De directeur beweert deze trend in de markt voor IT-dienstverleners, ook wel MSP's genoemd, te hebben opgemerkt dankzij de acceptatie van oplossingen zoals HaloPSA en N-Able, die beide via exclusieve partnerschappen tussen ADDEE en wereldwijde merken naar Brazilië zijn gebracht. Volgens Gazola elimineert het feit dat het product volledig in lokale valuta wordt verkocht de blootstelling aan de dollar, wat financiële voorspelbaarheid biedt in een markt die sterk afhankelijk is van langlopende contracten en terugkerende inkomsten.
"Naast het ontlasten van bedrijven van de taak om oplossingen te configureren en van zorgen over hosting- en onderhoudskosten, zorgen partners zoals HaloPSA en N-Able ervoor dat bedrijven geen onderbrekingen ondervinden die worden veroorzaakt door misbruik van open en onbeveiligde technologieën", legt hij uit.
De CEO van ADDEE benadrukt dat het gebrek aan noodplannen voor het geval van storingen of fraude met behulp van open-source software de acceptatie ervan heeft ontmoedigd en de zoektocht naar robuustere alternatieven die binnen budgetten passen, heeft aangewakkerd.
