Oracles klanten traag met patchen

Gevraagd hoe snel men Oracles ‘critical patch updates’ aanbracht, gaf 30 procent aan dat dat gebeurd is voor de volgende CPU gepubliceerd wordt; Oracle publiceert die patches eens per kwartaal. 45 procent van de ondervraagden komt daar niet binnen een half jaar aan toe. Opvallend genoeg weet een zesde van deze groep het antwoord niet; een kwart meldt zelfs zonder omhaal dat kritieke patchupdates nog nooit zijn aangebracht.

In principe zijn de respondenten wel van mening dat Oracles critical patch update-programma een positieve bijdrage levert aan het beveiligingsprofiel. Slechts 13 procent denkt dat daar geen sprake van is. Veelal wordt ook wel onderzocht of aanbrengen van de patches nodig is. Hoewel een schrikbarend hoog percentage van 19 meldt dat er binnen het bedrijf geen beleid geformuleerd is over het aanbrengen van patches, terwijl nog eens 11 procent meldt dat er wel beleid is, maar niet ten aanzien van Oracle-producten.

Anderzijds is het maar bij 32 procent van de bedrijven regel dat patches die Oracle aanbiedt ook aangebracht worden. In de overige gevallen moet er eerst een analyse uitgevoerd worden, en een advies neergelegd worden inclusief kosten/batenanalyse, voordat tot patchen wordt besloten.

De onderzoekers hebben ook gevraagd, wat de bedrijven van respondenten kon aanzetten tot sneller patchen. Daarop gaf 4 procent te kennen dat meer tijd tussen de updates zou helpen. 10 procent zei daar de noodzaak niet van in te zien. Helaas is niet duidelijk of het hierbij ging om de respondenten die zeiden dat er sowieso niet gepatcht wordt danwel om respondenten die dat al binnen drie maanden doen. Bijna een kwart noemt aanscherping van het beleid door de directie of de beveiligingsanalisten. 30 procent denkt dat onheil van buiten, zoals een inbraak of een negatief oordeel van een beveiligingsauditor zou helpen. 33 procent wil betere documentatie over de update danwel betere hulpmiddelen voor het testen, toepassen en uitrollen van de updates.