Management

Governance
Windows 7

Hardnekkig Windows 7 zorgt voor risico's en extra kosten

'Verouderd besturingssysteem blijft plakken'

14 april 2020

'Verouderd besturingssysteem blijft plakken'

Zo’n drie maanden na het wegvallen van de support is het verouderde besturingssysteem Windows 7 nog op veel plekken te vinden. Ook bij organisaties die  vanwege de gevoelige gegevens waarmee ze werken – voorop horen te lopen, zoals gemeenten.  AG Connect hield een rondgang bij vijftig gemeenten, om te zien of zij al zijn overgestapt. 

Uit de rondgang bij vijftig gemeenten bleek dat de helft nog gebruikmaakt van computers met het uitgefaseerde Windows 7, dat niet meer wordt ondersteund met beveiligingsupdates. Juist nu er in verband met de coronacrisis veel thuis wordt gewerkt, brengt dat extra risico’s met zich mee.

22 van de 35 gemeenten gaven eind februari van dit jaar aan Windows 7 te gebruiken. Het gaat in totaal om zo’n 16.000 werkplekken. Vijftien gemeenten reageerden niet, onder meer omdat dit mogelijk risico’s voor informatiebeveiliging met zich mee zou brengen.

Grootgebruikers

Sommige gemeenten zijn grootgebruikers: Utrecht heeft 4.600 pc’s met Windows 7, Amsterdam 4.500 en Tilburg 2.500. Windows 7 wordt sinds januari niet meer ondersteund door Microsoft. Er komen geen beschermingsupdates, tenzij organisaties daarvoor betalen. 9  van de 22 gemeenten die Windows 7 gebruiken, hebben geen patches (reparatiesoftware) en updates. De overige dertien geven aan wel te patchen en moeten daar Microsoft voor betalen.

Gemeenten zijn met het gebruik van Windows 7 geen uitzondering. Wereldwijd is het gebruik nog fors. Het marktaandeel van Windows 7 ligt in Nederland nu op 11%, aldus monitoring van StatCounter. Wereldwijd ligt het marktaandeel nu op maar liefst 23% en in Europa op zo'n 20%. In Microsofts thuismarkt de Verenigde Staten is het een kleine 16%, en inclusief Canada is het ongeveer 1% meer.

De kosten voor deze ondersteuning op maat zijn niet mals, gelden per pc, én verdubbelen per jaar. Een jaar geleden zijn de tarieven al uitgelekt. Toen is bekend geworden dat zakelijk gebruikers beginnen bij 50 of 25 dollar per jaar per computer, voor respectievelijk de Professional- en de Enterprise-uitvoering van Windows 7. Vervolgens wordt dat respectievelijk 100 en 50 dollar in 2021, om dan 200 en 100 dollar te worden in 2022.

* Het Shared Service Centrum (SSC) van de gemeente Leeuwarden beheert de ICT van de gemeente Leeuwarden, Noardeast-Fryslân, Dantumadiel, Waadhoeke, Ameland, Vlieland, Terschelling, Schiermonnikoog, de dienst Sociale Zaken en Werkgelegenheid Noordwest Friesland en nog een aantal kleinere overheidsorganisaties. De beantwoording van de vragen betreft de totale ICT-omgeving (circa 3.500 gebruikers) van al deze organisaties.

Drie jaar custom support

Daarna vervalt ook deze opgerekte ondersteuningsoptie; Microsoft biedt zijn custom support voor maximaal drie jaar aan. Ook vereist de Windows-maker bij zijn contracten voor maatwerkondersteuning dat klanten een plan hebben  en uitvoeren  om van Windows 7 af te stappen.

Gemeente Amsterdam is een van de partijen waar nog grote stappen gemaakt moeten worden. Overigens was dat voor de hoofdstad ook al het geval bij de vorige migratie; van Windows XP af. De supportdeadline in 2014 voor die nog oudere Windowsversie is toen ook niet gehaald.

Een woordvoerder benadrukte naar aanleiding van het onderzoek dat Amsterdam niet overvallen is door het stoppen van de ondersteuning door Microsoft en dat er op tijd aanvullende ondersteuning is ingekocht, zodat de gemeente geen aanvullend beveiligingsrisico loopt. Amsterdam wil niet dat de dienstverlening onverwachts stil komt te liggen. "Het gaat hier in totaal om meer dan 17.000 desktops en 5.200 laptops en meer dan 1.000 applicaties. Die applicaties moeten allemaal worden getest op Windows 10 en als ze daar niet op werken, moeten de applicaties worden aangepast."

Mogelijk kostenverdubbeling

Als de migratie naar Windows 10 komend jaar niet rond is, komt er een kostenverdubbeling aan. Deze geldt dan echter niet per definitie voor het huidige bedrag van €375.000, aangezien de tarieven voor custom support per pc gelden. Mocht een organisatie die nog op Windows 7 zit toch deels daarvan afgestapt zijn, dan scheelt dat in de kosten.

Organisaties die aanvankelijk niet voor betaalde maatwerkondersteuning hebben gekozen maar dat alsnog willen, krijgen echter een 'naheffing'. Bij aankopen van de custom support in het tweede of derde jaar moeten klanten óók betalen voor de voorgaande tijdsperiode, die vanaf januari dit jaar loopt.

Onveiliger werken

Behalve extra kosten levert het werken met Windows 7 ook extra risico’s op. Ook al betekent het niet per definitie dat werken met Windows 7 onveilig is. Dave Maasland van cybersecuritybedrijf ESET wijst op een bericht van eind maart waarin Microsoft aankondigt dat er een zero-dayaanval was die zich specifiek richtte op Windows 7. Een dergelijke aanval maakt gebruik van zwakke plekken in systemen die verder nog niet bekend zijn, dus een systeem zal daar ook nog niet tegen gepatcht zijn.

“Belangrijk is juist nu extra maatregelen te treffen om risico te beperken”, zegt hij. "We zien dat cybercrimeactiviteit vanwege de coronacrisis toeneemt zoals phishing en spam. Bovendien brengt werken op afstand additionele risico’s met zich mee. Beveiliging schaalt niet altijd evenredig mee. Sterker nog, Windows 7 draagt hier niet aan bij."

'Risico acceptabel'

De informatiebeveiligingsdienst van gemeentekoepel VNG schrijft dat door aanvullende maatregelen de risico’s helemaal zijn weg te nemen. "Als zo’n machine niet internet facing is – dat wil zeggen achter een firewall wordt gebruikt – en als die verbinding maakt met vertrouwde diensten via een beveiligde verbinding, dan is het risico acceptabel."

Dat er niet is geüpgraded en gepatcht, kan volgens Maasland een combinatie van oorzaken hebben: bureaucratie, schaarste qua personeel of gebrek aan urgentie. "Maar het zijn ook symptomen dat er andere dingen aan de hand kunnen zijn. Als je de basis niet op orde hebt, dan maak je je ook zorgen over de rest. Gemeenten werken met zo veel applicaties en data dat dit niet echt het vertrouwen geeft dat ze in control zijn."

Magazine AG Connect

Dit artikel is ook gepubliceerd in het magazine van AG Connect (meinummer 2020). Wil je alle artikelen uit dit nummer lezen, klik dan hier voor de inhoudsopgave.

Lees meer over
Lees meer over Management OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.