Bedrijven die software-updates niet uitvoeren: het zou eigenlijk verboden moeten worden. Minister Grapperhaus is er ook klaar mee en wil dat de overheid gaat optreden tegen bedrijven die hun internetbeveiliging niet op orde hebben. In de media gaven allerlei deskundigen de minister vervolgens gelijk, maar vielen hem meteen ook af: zo eenvoudig als de minister het voorstelt, is het namelijk niet. Maar waarom eigenlijk niet?

Dat zeer veel bedrijven hun updatebeleid niet op orde hebben is geen verzinsel, maar een feit. Het Nationaal Cyber Security Centrum van minister Grapperhaus' eigen ministerie van Justitie en Veiligheid constateert het al jaren in zijn Cybersecuritybeeld en specialisten zien het zelf ook in de markt: updates en patches worden nog veel te vaak te laat of zelfs helemaal niet doorgevoerd.

Het IDG Contributor Network geeft jou als IT-professional of opiniemaker een platform als je je kennis of mening wil delen met collega's via de websites van IDG: CIO.nl, CSO.nl, Computerworld.nl, Webwereld.nl en CxO.nl. Analisten, experts en IT-professionals kunnen deelnemen aan het platform als zij hun collega's van originele content kunnen voorzien. We accepteren geen promotionele bijdragen of herschreven content. Deelname kan worden aangevraagd via contributor@idg.nl

Waar dat het gevolg is van falend beleid of pure laksheid, is dat natuurlijk kwalijk. Ieder bedrijf hoort een degelijk updatebeleid te hebben. Maar er kunnen andere redenen zijn waarom bedrijven afzien van updates en patches: opvallend vaak is het een gedwongen keuze die wordt opgelegd door softwareleveranciers - en dat zou eigenlijk niet mogen gebeuren.

Gedwongen kwetsbaarheid

Er zijn softwareleveranciers die niet toestaan dat hun software gebruikt wordt met onderliggende middleware of besturingssystemen als die verder dan een bepaalde (minor) versie zijn geüpdatet. Doen hun klanten dat toch, dan vervalt de support. Dat klinkt als iets uit de jaren 90, maar dergelijke leveranciers, waaronder soms grote traditionele namen, bestaan nu nog steeds. Daarmee nemen ze effectief hun eigen klanten in gijzeling, en dát zou toch werkelijk verboden moeten worden.

Waarom het gebeurt, is niet eens altijd duidelijk. Vaak lijkt het erop dat de fabrikant simpelweg onvoldoende tijd heeft om in een product te investeren. Tenslotte moet zo'n product steeds opnieuw worden getest om te zien of het in combinatie met nieuwe middleware of besturingssystemen nog blijft draaien. Wij weten uit ervaring dat veel software vaak probleemloos werkt op nieuwere versies van de onderliggende middleware of besturingssystemen - maar zolang dat niet officieel getest is, wil de leverancier zich er niet aan branden.

Daarmee brengen ze hun klanten in een lastig parket. Vaak gaat het om cruciale software waarin fors is geïnvesteerd en die nog lang niet is afgeschreven. Dergelijke software zomaar even vervangen is niet altijd mogelijk (ook al is dat vanuit security-perspectief wel verstandig), en vaak zijn klanten zeer huiverig om de ondersteuning van zo'n partij te laten vallen. Maar het gevolg is dat dergelijke klanten met verouderde versies van middleware of besturingssystemen blijven werken, wat in potentie niet alleen gevolgen heeft voor de veiligheid van deze specifieke software, maar ook van alle andere software die op die systemen draait.

Wat nu?

Laat je goed informeren. Voorkomen is altijd beter dan genezen. Bedrijven moeten niet alleen zorgen dat ze een fatsoenlijk updatebeleid voeren, maar ook controleren of de producten die ze afnemen van leveranciers aan dat updatebeleid kunnen voldoen - gedurende de hele verwachte levensduur van dat product. Vaak blijkt dat klanten er pas heel laat achter komen dat ze vast zitten aan een product dat niet in hun beleid past. Zorg altijd dat je hier garanties over krijgt vóór je met zo'n partij in zee gaat en budgetteer eventuele kosten voor een majorupgrade.

Zoek hulp. Het is altijd denkbaar - en in de praktijk komt dit zo nu en dan ook voor - dat er werkelijk onoverkomelijke redenen zijn om toch een bepaalde tijd met zo'n product te blijven werken. Als het echt niet anders kan, zorg dan dat je zo'n product zo veel mogelijk isoleert, zodat het beveiligingsrisico beperkt blijft. En start een traject om dit product te vervangen.

Neem afscheid. Als je organisatie effectief gegijzeld wordt door software die onacceptabele beperkingen oplegt aan je updatebeleid, zou je daar vanuit security-perspectief zo snel mogelijk afscheid van moeten nemen. Er zijn vrijwel altijd alternatieven beschikbaar die wél de juiste ondersteuning bieden.

Om greep te krijgen op cybersecurity, moet een organisatie minimaal zorgen dat alle gebruikte soft- en hardware zo snel mogelijk wordt voorzien van de laatste updates en patches. Bewust langer blijven werken met apparatuur en applicaties waarvan al bekend is dat er veiligheidsgaten in zitten, is onverantwoord.

Het zou goed zijn als er meer aandacht komt voor software die hun gebruikers bijna dwingen een onveilig beleid te voeren. De leveranciers doen er goed aan hun eigen beleid op dit terrein te herzien. Afnemers doen er verstandig aan op dit vlak een stuk assertiever te worden. En tot slot zou ook bij de overheid meer aandacht mogen komen voor dit onderbelichte probleem, dat nog veel vaker voorkomt dan gezond is voor een veilige samenleving.

Marc Guardiola is CISO bij Solvinity - Secure Managed IT Services