Microsoft bracht deze week patches uit voor 25 lekken in zijn software, waarvan er zeker twee als ‘zero-day exploit’ kunnen worden aangemerkt en dus onmiddellijk moeten worden gedicht. Twee weken daarvoor bracht het bedrijf al tussentijdse patches uit die een al bekend lek moeten dichten. Adobe heeft eveneens deze week 15 patches uitgebracht en ­Oracle kwam in zijn kwartaaluitgave met 47 patches.

“Het is heel veel werk, maar het is standaard”, zegt Ton Keijzer, DBA bij IT Solutions Partners. “Wij hebben daar vaste procedures voor. Als het om een patch gaat met een hoog risiconiveau, hebben we een aparte procedure om het sneller in te voeren. En veel of weinig patches maakt dan weinig uit.”

Nanda Droog, servicemanager bij een gemeente beaamt dat het dit keer wel heel veel patches zijn. “Dan geven we voorrang aan de patches van Microsoft, omdat het daarbij riskanter is als je ze niet doorvoert. Ze komen altijd zo groot in het nieuws.” De gemeente waar Droog voor werkt, heeft rond de negenhonderd werkplekken en zo’n dertig logische servers. De uitrol is niet geheel geautomatiseerd. De distributie over de werkplekken wel, maar “het blijft toch een handmatige handeling om ze aan te zetten. Je wilt toch zelf de controle houden. “De enorme hoeveelheid patches gaat ze te lijf door te faseren. Daarbij is het risico leidend.

De patches van Microsoft worden sowieso binnen enkele dagen doorgevoerd. Wel neemt Droog enkele dagen respijt om af te wachten of er fouten in de patches zitten. “We hebben weleens meegemaakt dat alles plat lag door een patch.” Voor de serverpatches laat ze zich leiden door de adviezen van GOVCERT dat aangeeft welke een hoog risico met zich meebrengen en welke een laag. “Dat kost toch enige tijd, want je moet zo’n server rebooten. Dus dat kan niet allemaal onmiddellijk.”

Voor de patches van Adobe wacht ze ook af voordat ze worden uitgerold. “Even zien wat ze doen in de rest van Nederland. Onze beveiliging aan de buitenkant is toch al zo goed dichtgetimmerd dat mogelijke code in pdf’s tegengehouden worden.”

Ook bij de DA Retailgroep worden de systeembeheerders er niet onrustig van dat er nu zoveel patches zijn uitgebracht, constateert hoofd ICT Marco van der Zalm. “Het maakt weinig uit”, zegt hij.

“We kijken eerst wat er doorgevoerd kan worden. We beginnen er niet zomaar aan want in patches kunnen ook fouten zitten.” De afdeling Beheer bepaalt eerst wat de noodzakelijkste patches zijn. Daarbij is bepalend in hoeverre de beveiliging van de eigen systemen geschaad kan worden.

“Zeker als het om Oracle gaat, zit er altijd wel een aantal lagen beveiliging tussen; daar kom je van buitenaf niet zomaar op. Dus die patches hoeven we niet onmiddellijk uit te rollen. Voor Windows zijn we wel sneller omdat dat een omgeving is die directer met internet is verbonden. Maar ik heb tot nu toe nog geen onrustige systeembeheerder aan mijn bureau gehad omdat het zo veel patches zouden zijn deze maand.”