Beheer

Security
Ook leveranciers zijn verantwoordelijk voor een goed patchbeleid

Ook leveranciers zijn verantwoordelijk voor een goed patchbeleid

Betere patchhygiëne zou veel securityproblemen voorkomen, vindt cybersecurity-expert Lokke Moerel.

Lokke Moerel © Lokke Moerel
10 maart 2021

De meeste datalekken of hacks treden op doordat er in de security basisfouten zijn gemaakt. Kritische patches worden niet doorgevoerd of medewerkers worden stelselmatig niet gezien als risico. Cybersecurity-expert Lokke Moerel verbaast zich er niet meer over. Maar, zegt ze, het is te makkelijk om bij een hack bedrijven te verwijten dat ze dan maar tijdig hadden moeten patchen. Zoveel kwetsbaarheden worden momenteel als high of critical aangemerkt dat systeembeheerders onmogelijk kunnen prioriteren.

AG Connect spreekt Moerel een week nadat het datalek bij de GGD bekend werd. Als een interview gaat over security en waar het mis kan gaan, kan het gesprek bijna niet anders starten dan bij dit incident. Zo’n lek verbaast haar niet, zegt ze. “Als het gaat om data is de basishygiëne onvoldoende. Systemen zijn vaak wel extern beveiligd, maar er zijn onvoldoende interne access controls. Bedrijven vergeten de insider threat. Op de een of andere manier zien ze dat niet als een gevaar. Onterecht, werknemers met schulden zijn kwetsbaar voor omkoping. Ontevreden of ontslagen werknemers stelen soms gegevens om het bedrijf te chanteren of wraak te nemen. En mensen zijn nu eenmaal zeldzaam nieuwsgierig. Als ze toegang hebben tot data gaan ze ook kijken.”

Het gebrek aan basishygiëne komt deels door gebrek aan aandacht voor cybersecurity op bestuursniveau. Of er voldoende kennis aanwezig is, verschilt per sector, is de ervaring van Moerel. “Boards van bedrijven in onze topsectoren hebben door schade en schande inmiddels genoeg aandacht voor cybersecurity. Die hebben te maken met voortdurende aanvallen van economische spionage. Als ze zich niet beschermen worden ze leeggetankt door statelijke actoren uit China en Rusland. Hetzelfde geldt voor boards van financiële instellingen.” Maar bij publieke instellingen, scholen, universiteiten, ziekenhuizen ziet ze te weinig kennis. “Misschien omdat ze financieel uitgehold zijn en ze niet voldoende mensen van niveau kunnen aantrekken. Security wordt daar vaak nog gezien als kostenpost. Terwijl je van een ziekenhuis langzamerhand mag verwachten dat goede patiëntenzorg mede goede zorg voor patiëntendata omvat. Elke zorgmedewerker heeft het over het medisch beroepsgeheim. Dat begrijpt iedereen. Waarom zou dat niet voor de patiëntendata gelden?”

Patchhygiëne

En ja, het is inderdaad zo dat ook in andere sectoren lekken aan het licht komen door gebrek aan basishygiëne. Bijvoorbeeld patches die niet worden geïnstalleerd. Een betere patchhygiëne zou echt heel veel problemen voorkomen, vindt Moerel. “Hackers maken in 99% van de gevallen gebruik van bekende kwetsbaarheden waar vaak al een patch voor beschikbaar is. Maar dat het nu niet altijd gebeurt, is niet alleen te wijten aan bedrijven, zegt de hoogleraar. Het hele ecosysteem werkt niet goed. Dat heeft een aantal oorzaken. “De scoringsystemen voor kwetsbaarheden leiden tot te veel high of critical scores, waardoor bedrijven niet goed kunnen prioriteren. Ook leveranciers hebben een incentive om hun patches als high of critical aan te merken, omdat ze hiermee de verantwoordelijkheid naar de klant verschuiven: we hebben je gewaarschuwd! “Daarnaast worden securityfixes vaak aangeboden in een nieuwe versie waarin ook nieuwe functionaliteit zit. Die kan een bedrijf niet zomaar doorvoeren, dat vergt dan uitgebreid testen en ook een onderbreking van de workflow. Terwijl een enkelvoudige securityfix wel makkelijk zou kunnen worden doorgevoerd, zelfs automatisch.” Moerel vindt dat de hele governance van dit ecosysteem beter moet. “Je bent er niet met een wettelijke verplichting voor bedrijven om alle kwetsbaarheden met hoog risico te patchen, zoals minister Grapperhaus onlangs voorstelde voor vitale sectoren. Dit middel kan echt slechter zijn dan de kwaal.”

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!