Voorkom onrust in de samenleving, verbeter je patchmanagement

Handel je bij een kwetsbaarheid in de systemen niet op tijd, dan zijn vaak drastische noodmaatregelen noodzakelijk. Zo kon het Openbaar Ministerie (OM) deze zomer na een hack niets anders dan de systemen afkoppelen van het internet. E-mailen met de buitenwereld kon niet meer, er moesten stapels papieren dossiers mee de rechtszaal in en advocaten misten cruciale informatie voor hun zittingen. Met alle gevolgen voor een eerlijke rechtsgang en voor het vertrouwen van het publiek. Door het compleet loskoppelen van het internet, kon het OM het vertrouwen in de rechtsspraak enigszins overeind houden. De weken offline waren echter wel schadelijk voor de dagelijkse rechtspraktijk en voor het verloop van procedures.
Wat de oorzaak van de hack precies was, weet het OM pas na afronding van het onderzoek dat ze nu doen. Maar het is zeer aannemelijk dat het patchmanagement niet op orde was. Zeker omdat het OM al liet doorschemeren dat de hackers een bekende kwetsbaarheid hadden gebruikt.
Pleisters plakken
Patchmanagement is letterlijk pleisters plakken op gesignaleerde kwetsbaarheden. Of in meer formele taal: mitigerende maatregelen nemen om kwetsbaarheden in systemen op te lossen. Dat kan bijvoorbeeld met tijdige software-upgrades en -updates, met technische work-arounds (als het om oude systemen gaat) of met aanscherping van het toegangsbeleid. Er zijn tal van oplossingen te bedenken, technisch en organisatorisch. Tot het personeelsbeleid aan toe. Denk maar aan het automatisch intrekken van toegangsrechten als iemand uit dienst gaat. Maar voor al deze maatregelen moet je wel eerst zicht hebben op de kwetsbaarheden.
Achterdeur
En daar wringt de schoen. Veel overheidsorganisaties hebben wel een patchmanagementsysteem, zoals Qualys of Rapid 7 of gebruiken de patchfunctionaliteit van bijvoorbeeld Microsoft Azure, maar ontvangen zoveel meldingen, dat de echt potentieel schadelijke in de continue stroom aan meldingen niet meer opvallen. Soms gaan er weken voorbij voordat een risicovolle kwetsbaarheid naar boven komt en opgepakt kan worden. Al die tijd staat er dus wel een achterdeur open.
Op tijd erbij
Door een classificatie aan te brengen in je patchmanagement, voorkom je dat die echt risicovolle meldingen over het hoofd worden gezien. Ingewikkeld hoeft zo’n classificatie niet te zijn. Zo vormt een kwetsbaarheid bij een apparaat dat aan het internet verbonden is, een groter risico dan een niet-verbonden apparaat. Sommige systemen zijn veel gevoeliger dan andere. En sommige processen of afdelingen bevatten meer risico’s dan andere, omdat mensen daar minder securitybewust zijn en sneller op een phishingmail klikken. Door al deze – en andere – factoren mee te laten wegen in je meldingen, ontstaat een classificatiestructuur waardoor de echt risicovolle meldingen veel sneller boven komen.
Niets gemerkt
Vervolgens kan de organisatiestructuur bij overheden nog een belemmering zijn: vaak moet een melding door zoveel verschillende lagen, dat de achterdeur te lang blijft openstaan. Waardoor er noodgrepen nodig zijn als een hacker alsnog binnenkomt, zoals bij het OM. Met alle maatschappelijke impact van dien. Vorig jaar gebeurde dat bijvoorbeeld ook bij de douane. Zij moesten na een hack zoveel systemen loskoppelen, dat reizigers op Schiphol niet meer door de paspoortcontrole konden. Was de kwetsbaarheid op tijd gesignaleerd en opgevolgd, dan had een deelproces er waarschijnlijk even uitgelegen, waarna alles weer door kon. Zonder dat ook maar één reiziger er iets van gemerkt had.
Break glass
Goed patchmanagement zul je dus moeten aanvullen met het inrichten van je organisatie op de echt risicovolle meldingen, zodat die meldingen direct omhoog de organisatie kunnen. Een ‘break glass’-procedure, zoals ze dat in de securitywereld noemen. Een noodknop, eigenlijk. Belangrijk blijft natuurlijk dat je wel goed weet wat je doet. Want patchmanagementsystemen kunnen steeds meer. Zelf handelingen in gang zetten, bijvoorbeeld. Maar als daardoor vitale systemen uitgezet worden, ben je weer verder van huis.
Laat je inspireren door onze KSP
Onze KPN Security Policy (KSP) – ons eigen securitybeleid – biedt je handig houvast bij dergelijke procedures en is deel openbaar toegankelijk. Ruim 10.000 KPN’ers gebruiken de (Engelstalige) KSP al. Je vindt er, naast strikt wettelijke verplichtingen, alle maatregelen en vereisten waar onze organisatie én leveranciers aan moeten voldoen. Voor vulnerability- en patchmanagement zijn dat bijvoorbeeld:
- Aanpakken van technische kwetsbaarheden
- Gebruik van een veilige softwareontwikkeling levenscyclus (sSDLC)
- Melden van beveiligings- en veiligheidsincidenten
Kom naar het webinar over cybersecurity bij de overheid
Overheden hebben te maken met allerlei securityrisico’s. Maar wat pak je nou als eerste op en waarom? Op 27 november november praten onze experts je in een webinar bij. En natuurlijk staan we stil bij de maatregelen – zoals patchmanagement – die juist bij overheden minimaal nodig zijn. Leer van de experts en