Oracle publiceert sinds 2004 elk kwartaal beveiligingspatches voor zijn software in het zogeheten Critical Patch Updates-programma. Toralv Dirro, security strategist bij McAfee’s Avert Labs, benadrukt het belang ervan. “Gebruik een patch altijd onmiddellijk zodra hij beschikbaar is. Doe je dat niet, dan open je de deur van je systeem voor allerlei kwetsbaarheden.” Zodra patches zijn gepubliceerd, kunnen criminelen die gebruiken om ‘lekke’ systemen op te sporen. Pete Finnigan, Brits expert op het gebied van Oracle-beveiliging, noemt het gedrag van de Oracle-gebruikers op dit gebied “naïef, maar wel begrijpelijk.” Dat ze zo weinig patchen, hangt samen met de vrees dat de stabiliteit van de systemen in het geding komt als een patch wordt doorgevoerd. “Oracle is veel complexer dan bijvoorbeeld SQL. Het draait op diverse platforms, met verschillende versies van Windows en Linux. Oracle-gebruikers zijn gewoon bang dat een patch de stabiliteit van de installatie schaadt.” En die angst is niet geheel ongegrond, vindt Finnigan. Maar dat is nog niet reden genoeg om de beveiligingslekken niet te dichten. “Het is ronduit gek dat ze banger zijn voor de effecten van de patch op het systeem dan voor de beveiligingsrisico’s.”De meeste gebruikersorganisaties vinden het inmiddels normaal elke maand patches te installeren voor desktopomgevingen. Voor enterprise-servers waarop Oracle-applicaties draaien, lijken echter geheel andere patchnormen te gelden. Slechts in een kwart van de organisaties is het beleid om ‘critical patch update’ onverkort in de gehele IT-omgeving door te voeren. Nog eens 6 procent doet dat alleen op de bedrijfskritische systemen. Daar staat tegenover dat 30 procent überhaupt geen beleid heeft geformuleerd rond het aanbrengen van patches of dat de patches van Oracle niet onder dat beleid vallen. Ruim een derde moet een risicoanalyse maken voordat een patch mag worden toegepast, soms ook vergezeld van een kosten-batenanalyse, wat het patchen natuurlijk vertraagt.Daarnaast wordt het niet patchen ook niet gestraft. Wilfried Olthof, directeur van NOREA, de beroepsorganisatie voor IT-auditors: “Echt harde eisen worden niet gesteld in IT-governance frameworks als COBIT, ITIL en ISO 27001. Wij houden als regel aan dat er zo vaak gepatcht moet worden als een leverancier aangeeft.” Peter Kornelisse, director KPMG Advisory: “Bij audits van de beveiliging kijken we standaard naar het patchniveau. Daarover rapporteren we aan het algemeen management. Als het patchproces niet goed functioneert, kan dat tot risico’s leiden, ook voor het hoogste management. Maar het patchniveau is zeer verschillend en dat hangt echt niet samen met de grootte van een organisatie. Er komt wel steeds meer aandacht voor. De uitdaging is hoe je het behapbaar houdt, want er komen heel veel patches uit. Het is dan wel logisch dat je niet alle patches doorvoert.”Ook GOVCERT, dat zeker bij beveiliging van desktopomgevingen een fervent voorstander van zo snel mogelijk patchen is, toont er begrip voor dat Oracle-gebruikers niet altijd patchen. “Het is bij dit soort systemen ook niet meteen gevaarlijk als je het niet doet. In een bedrijfsomgeving is het heel goed mogelijk dat die producten al beschermd zijn achter firewalls en dergelijke. Het zijn vaak gelaagde architecturen, met bijvoorbeeld drie lagen. Tussen die lagen heb je dan al firewalls en bijvoorbeeld een intrusion detection system. En patchen kan soms gevaarlijker zijn dan niet patchen”, waarbij zij doelt op mogelijke stabiliteitsproblemen die ontstaan door patches.
