De noodzaak van updates, deel 1. Het dichten (patchen) van zwakheden

Zakelijk, privé, met regelmaat wordt iedereen bij het opstarten van de pc, laptop of mobiel geconfronteerd met de opmerking ‘er is een update beschikbaar’, gevolgd door de vraag of u deze nu wilt activeren? Dat komt niet altijd uit. De reden om op nee te drukken kan, terecht, goed zijn. De gevolgen van (structureel) niet updaten kunnen echter groot zijn, omdat het uw ICT-omgeving en dus uw bedrijf blijvend onveilig houdt. Groter dan u misschien voor mogelijk houdt. We bekijken het onderwerp over twee afleveringen vanuit twee invalshoeken, maar eerst waar dienen die updates eigenlijk voor?

Waarom zijn er updates?

Updates kunnen meerdere redenen hebben, bijvoorbeeld om de functionaliteit van een apparaat uit te breiden, het plegen van onderhoud, een dienst toe te voegen, etc. De meest bekende en meest voorkomende reden is het patchen van software. Bij het maken van softwareprogramma’s worden fouten gemaakt, grote, kleine. Ze hebben echter één ding gemeen: de zogenaamde bugs in de software zijn zwakheden die kwaadwillenden kunnen gebruiken voor hun eigen doeleinden en deze komen doorgaans niet overeen met uw bedrijfsvoering en -doeleinden. Dit kan variëren van spionage op uw netwerk, het versturen van spam via uw bedrijfsnetwerk naar derden via een botnet waar u deel van geworden bent, de inzet van de rekenkracht van uw computer om digitale munten te minen of het opslaan van illegale content als bijvoorbeeld kinderporno op de servers van uw bedrijf, etc. Zaken waar u meer of minder last van heeft in uw bedrijfsvoering, maar kunnen leiden tot (financiële) schade, verlies van vitale of persoonsgebonden data, maar ook kunnen leiden tot (aanzienlijke) imagoschade.

Waarom updates implementeren?

Een heel simpele reden: u beveiligt zich direct tegen nu bekende zwakheden in de software en de daarmee gepaardgaande dreiging van buiten. Het verlies kan om aanzienlijke bedragen gaan. De bedrijven die vorige getroffen werden door het zogenaamde NotPetya virus, konden niet meer werken. Het virus maakte middels encryptie alle data van die bedrijven ontoegankelijk, zonder afkoopmogelijkheid zoals gebruikelijk bij "ransomware". Kleine en grote bedrijven overkwam dit en de schade liep tot in de vele honderden miljoenen, bij scheepvaartonderneming Maersk alleen al. Al deze bedrijven kenden een overeenkomst: zij hadden een patch die Microsoft al geruime tijd aanbood niet geïnstalleerd. Om vele redenen, waaronder financiële. De schade bleek uiteindelijk vele malen hoger.

De boodschap is: ja, het direct toepassen van een update kan heel vervelend zijn voor een bedrijf, ja, het kan zijn dat u systemen eerst wilt testen na de update, ja, het kan geld kosten, maar bewaak implementatie en zie er actief op toe dat uw medewerkers of extern adviseur de updates geregeld uitvoeren. Dit is een van de meest basale, actieve manieren om uw bedrijf veilig te houden. Gebruik het dan ook.

Volgende keer het tweede onderwerp, updates en het Internet of Things.