Beheer

Security
download updates

Updaten, makkelijker gezegd dan gedaan?

Updaten moet, voor beveiliging. Maar niet iedereen werkt mee.

Windows Update © CC BY 2.0 - Flickr.com Christiaan Colen
4 februari 2020

Updates geven, en updates nemen. Als het goed is, brengen updates bugfixes en beveiligingspatches. Soms brengen ze echter ongewenste zaken, zoals verse bugs of wegvallende functionaliteit. Zorgen om functieverlies, vrees voor storingen en ogenschijnlijk absurde argwaan voor bijvoorbeeld 'oprakende opslag' weerhoudt IT-gebruikers nogal eens van updaten. Als er überhaupt al updates zijn: beschikbaar zijn, bekend zijn, en toegankelijk zijn. In de tango van updaten dansen er namelijk veel méér dan twee partijen.

Laten we eerst allen even dankbaar stilstaan bij het feit dat updaten tegenwoordig al zoveel beter doenbaar is dan voorheen. Dank u, oh informatietechnologie. Laten we de zegeningen tellen van differentiële updates, cumulatieve updates, automatische updates, rollback-voorzieningen, telemetriefunctionaliteit voor update-installatie, en meer. Allemaal moderne mogelijkheden die we maar al te vaak voor lief nemen.

De update-tango

Laten we dan, met deze dankbaarheid in ons hart, moedig het feit tegemoet treden dat updaten nog altijd niet goed doenbaar is. Niet voor iedereen. Niet voor elk geval. Niet voor elk product of dienst. Niet door elke leverancier of aanbieder. 'It takes two to tango', is een spreekwoord wat eigenlijk tekortschiet voor de securitysituatie van updaten. Er zijn namelijk meer dan twee partijen bezig met deze dans. Het is niet simpelweg de leverancier die een update maakt en aanbiedt, en de gebruiker die het moet accepteren en installeren.

De dansers in de complexe update-tango zijn ook de ontdekkers van kwetsbaarheden en bugs. Plus ook de werknemers die meldingsloketten bemannen, als een leverancier al een goede voorziening heeft voor verantwoorde disclosure van beveiligingsgaten. Plus ook de productmanagers en hoofdontwikkelaars die wel of geen prioriteit aan patchontwikkeling kunnen toekennen. Plus nog de managers en CEO's die over het algehele updatebeleid van een IT-aanbieder gaan.

Leverend, ontvangend, afhoudend

Buiten de update-leverende partij dansen er nog meer mensen mee. Vóór de daadwerkelijke eindgebruiker in beeld komt, kunnen er in het technische traject nog applicatiebeheerders, testers, IT-managers, budgetverantwoordelijken, en andere betrokkenen mee dansen. Dit staat dan nog naast het zakelijke traject, waarin vanuit de business bijvoorbeeld afdelingsmanagers maar ook CEO's meedoen aan de update-tango met eisen voor uptime, functionaliteit en/of gebruiksgemak.

Zulke zakelijke eisen voor betrouwbare IT zouden juist argumenten vóór secuur updaten moeten zijn. Immers, een systeem met minder bugs en kwetsbaarheden is een beter systeem, met kleiner risico van hacks, downtime, datagijzeling, en andere business-beperkende zaken. Helaas kunnen zakelijke eisen voor uptime, functionaliteit en/of gebruiksgemak ook argumenten tégen trouw updaten zijn.

Neveneffecten

Updates kunnen namelijk ongewenste neveneffecten hebben. Zowel op zakelijk gebied als ook op particulier terrein. Zakelijk gezien hebben maar weinig organisaties trek in eventuele storingen door updates. Ze hebben ook weinig tijd voor geplande downtime om updates te installeren. Laat staan budget voor volledig gespiegelde IT-omgevingen om updates eerst te testen. Maar er zijn ook weinig organisaties die erkenning hebben van hackrisico's, die ver-van-het-bed lijken te zijn. Tot het te laat is?

Op particulier gebied wagen consumenten zich misschien niet aan updates omdat hun smartphone dan 'vol raakt', of omdat ze vrezen voor veranderingen (inclusief functieverlies). Dat zou je misschien denken. Ik vrees alleen dat de realiteit nog wat verwijderd is van die an sich logisch onderbouwde veranderingen. Veel mensen hebben simpelweg geen weet van updates, van het belang daarvan, of zelfs van de beschikbaarheid daarvan.

Prijsstelling en verdienmodel

Hiermee komen we weer terug bij de dansende partij van IT-leveranciers. Dat zijn voor bepaalde producten niet altijd ook updateleveranciers. Zeker voor goedkope smart producten is het lang niet altijd een gegeven dat er updates komen. Want dat extra ontwikkelwerk ondermijnt de prijsstelling en het businessmodel van de prijsvechtende aanbieder. Soms komen er wel updates, maar dan rijkelijk laat of ergens verstopt op een supportpagina die de (eind)gebruiker dan wel toevallig moet weten te vinden. En is er dan het gemak van klik-en-klaar voor updates, of is de updateprocedure zelf een tango an sich?

Maar ook voor niet-spotgoedkope devices speelt er updateproblematiek. Zie maar de schaduwzijde van (automatische) updates die zelf bugs kunnen hebben of zelfs securityproblemen kunnen brengen. Of updates die functionaliteit wegnemen. Dat laatste kan gebeuren omdat er onveiligheid schuilt in (oude) functionaliteit, zoals SMBv1. Soms nemen updates echter functionaliteit weg omdat de aanbiedende partij een ander belang heeft. Zie op consumentengebied de recente rel rond Sonos' slimme speakers. Op zakelijk gebied heus niet ondenkbaar.

Updates geven, updates nemen. En niet iedereen wil of kan updates even soepel ontwikkelen, verstrekken, vinden, testen, vertrouwen, accepteren en doorvoeren. De update-tango gaat maar door.

Reactie toevoegen
2
Reacties
Eric-Jan Hoogendijk 07 februari 2020 14:09

Eén aspect wordt volgens mij vergeten. De nauwelijks aanwezige bereidheid van eindgebruikers om goed omschreven en gedocumenteerd fouten aan de fabrikant te rapporteren. Dit wordt mede in de hand gewerkt doordat fabrikanten zelden terug melden wat er met de gerapporteerde tekortkomingen is gedaan.

Eerder dan te rapporteren zoeken eindgebruikers vaak wel een weg om de fout of onwenselijke gedraging te omgaan, om vervolgens na enkele releases later tot de conclusie te komen dat hun handelen in het beste geval niet meer nodig is of juist na het ongemerkt oplossen van het probleem andere schadelijke neveneffecten te gaan vertonen.

Daar waar vroeger het gezegde over fouten in IBM-software was "It's not a bug, it's an undocumented feature" gaat de klant daar tegenwoordig bijna klakkeloos van uit.

Nog wel grappig om te vermelden dat zo'n undocumented feature ons bedrijf behoorlijk wat geld heeft gekost. Daar waar IBM in zijn handboeken stelde dat alle types IMS-databases geïnitialiseerd moesten worden, was er ooit een slimmerik geweest die voor een bepaald type IMS-database had ontdekt dat dit niet nodig was ... tot er na jaren een release van IMS kwam waarbij dat niet meer opging. De vondst van de slimmerik was inmiddels bedrijfsstandaard geworden.

G. van de Ven 05 februari 2020 08:20

Leuk artikel. Wat er staat is waar, al is het een beetje populistisch gebracht.
De uitspraak: "Op particulier gebied wagen consumenten zich misschien niet aan updates omdat hun smartphone dan 'vol raakt', of omdat ze vrezen voor veranderingen" klopt, en hebben de techgiganten aan zichzelf te wijten.
Apple heeft bijvoorbeeld een update voor IOS uitgebracht die oudere Iphones opzettelijk trager maakte. Volgens eigen zeggen omdat het voor de gebruiker beter en stabieler zou zijn, maar iedereen weet dat ze daarmee gebruikers willen dwingen om een nieuwere, snellere Iphone te kopen.
Het is dus niet alleen dat er meerdere deelnemers meedoen met de tango, het blijkt ook dat ten minste één van die deelnemers een rumba danst.