HomeZakelijkThe Digital DutchBlogVoorkom onrust in de samenleving, verbeter je patchmanagement
Labels:

Voorkom onrust in de samenleving, verbeter je patchmanagement

07-10-2025
6 min
Overheden doen hun werk zorgvuldig. Gelukkig maar, want ze hebben een publieke taak. Maar die zorgvuldigheid, verpakt in veel procedures en beslislagen, heeft ook z’n nadelen. Vooral voor de cybersecurity. Want áls je een melding van een risicovolle kwetsbaarheid in de ICT-systemen krijgt, moet je snel kunnen handelen. Blijft zo’n kwetsbaarheid te lang sluimeren, dan grijpen hackers hun kans. Met alle gevolgen voor de samenleving. De oplossing? Goed patchmanagement.

Handel je bij een kwetsbaarheid in de systemen niet op tijd, dan zijn vaak drastische noodmaatregelen noodzakelijk. Zo kon het Openbaar Ministerie (OM) deze zomer na een hack niets anders dan de systemen afkoppelen van het internet. E-mailen met de buitenwereld kon niet meer, er moesten stapels papieren dossiers mee de rechtszaal in en advocaten misten cruciale informatie voor hun zittingen. Met alle gevolgen voor een eerlijke rechtsgang en voor het vertrouwen van het publiek. Door het compleet loskoppelen van het internet, kon het OM het vertrouwen in de rechtsspraak enigszins overeind houden. De weken offline waren echter wel schadelijk voor de dagelijkse rechtspraktijk en voor het verloop van procedures. 

Wat de oorzaak van de hack precies was, weet het OM pas na afronding van het onderzoek dat ze nu doen. Maar het is zeer aannemelijk dat het patchmanagement niet op orde was. Zeker omdat het OM al liet doorschemeren dat de hackers een bekende kwetsbaarheid hadden gebruikt. 

Pleisters plakken 

Patchmanagement is letterlijk pleisters plakken op gesignaleerde kwetsbaarheden. Of in meer formele taal: mitigerende maatregelen nemen om kwetsbaarheden in systemen op te lossen. Dat kan bijvoorbeeld met tijdige software-upgrades en -updates, met technische work-arounds (als het om oude systemen gaat) of met aanscherping van het toegangsbeleid. Er zijn tal van oplossingen te bedenken, technisch en organisatorisch. Tot het personeelsbeleid aan toe. Denk maar aan het automatisch intrekken van toegangsrechten als iemand uit dienst gaat. Maar voor al deze maatregelen moet je wel eerst zicht hebben op de kwetsbaarheden. 

Achterdeur 

En daar wringt de schoen. Veel overheidsorganisaties hebben wel een patchmanagementsysteem, zoals Qualys of Rapid 7 of gebruiken de patchfunctionaliteit van bijvoorbeeld Microsoft Azure, maar ontvangen zoveel meldingen, dat de echt potentieel schadelijke in de continue stroom aan meldingen niet meer opvallen. Soms gaan er weken voorbij voordat een risicovolle kwetsbaarheid naar boven komt en opgepakt kan worden. Al die tijd staat er dus wel een achterdeur open. 

Op tijd erbij 

Door een classificatie aan te brengen in je patchmanagement, voorkom je dat die echt risicovolle meldingen over het hoofd worden gezien. Ingewikkeld hoeft zo’n classificatie niet te zijn. Zo vormt een kwetsbaarheid bij een apparaat dat aan het internet verbonden is, een groter risico dan een niet-verbonden apparaat. Sommige systemen zijn veel gevoeliger dan andere. En sommige processen of afdelingen bevatten meer risico’s dan andere, omdat mensen daar minder securitybewust zijn en sneller op een phishingmail klikken. Door al deze – en andere – factoren mee te laten wegen in je meldingen, ontstaat een classificatiestructuur waardoor de echt risicovolle meldingen veel sneller boven komen. 

Veiligheid verbindt: security als gezamenlijke missie binnen het overheidsdomein.

Hoe beschermen we Nederland tegen digitale dreigingen? Met een gezamenlijke missie voor overheid en bedrijfsleven. In dit webinar ontdek je de kracht van publiek-private samenwerking in security.
Meer informatie

Niets gemerkt 

Vervolgens kan de organisatiestructuur bij overheden nog een belemmering zijn: vaak moet een melding door zoveel verschillende lagen, dat de achterdeur te lang blijft openstaan. Waardoor er noodgrepen nodig zijn als een hacker alsnog binnenkomt, zoals bij het OM. Met alle maatschappelijke impact van dien. Vorig jaar gebeurde dat bijvoorbeeld ook bij de douane. Zij moesten na een hack zoveel systemen loskoppelen, dat reizigers op Schiphol niet meer door de paspoortcontrole konden. Was de kwetsbaarheid op tijd gesignaleerd en opgevolgd, dan had een deelproces er waarschijnlijk even uitgelegen, waarna alles weer door kon. Zonder dat ook maar één reiziger er iets van gemerkt had. 

Break glass 

Goed patchmanagement zul je dus moeten aanvullen met het inrichten van je organisatie op de echt risicovolle meldingen, zodat die meldingen direct omhoog de organisatie kunnen. Een ‘break glass’-procedure, zoals ze dat in de securitywereld noemen. Een noodknop, eigenlijk. Belangrijk blijft natuurlijk dat je wel goed weet wat je doet. Want patchmanagementsystemen kunnen steeds meer. Zelf handelingen in gang zetten, bijvoorbeeld. Maar als daardoor vitale systemen uitgezet worden, ben je weer verder van huis. 

Laat je inspireren door onze KSP 

Onze KPN Security Policy (KSP) – ons eigen securitybeleid – biedt je handig houvast bij dergelijke procedures en is deel openbaar toegankelijk. Ruim 10.000 KPN’ers gebruiken de (Engelstalige) KSP al. Je vindt er, naast strikt wettelijke verplichtingen, alle maatregelen en vereisten waar onze organisatie én leveranciers aan moeten voldoen. Voor vulnerability- en patchmanagement zijn dat bijvoorbeeld:  

  • Aanpakken van technische kwetsbaarheden
  • Gebruik van een veilige softwareontwikkeling levenscyclus (sSDLC)  
  • Melden van beveiligings- en veiligheidsincidenten 

Kom naar het webinar over cybersecurity bij de overheid 

Overheden hebben te maken met allerlei securityrisico’s. Maar wat pak je nou als eerste op en waarom? Op 27 november november praten onze experts je in een webinar bij. En natuurlijk staan we stil bij de maatregelen – zoals patchmanagement – die juist bij overheden minimaal nodig zijn. Leer van de experts en schrijf je nu in.  

Artikel delen
Tags
Labels: