Skip to main content

Het belang van patchmanagement


Patchmanagement is erg belangrijk voor de beveiliging van de gemeentelijke ICT-omgeving. Als we het hebben over informatiebeveiliging, komen de termen ‘patches’ en ‘patchmanagementproces’ dan ook vaak voorbij. Maar wat betekenen deze termen nu eigenlijk? Waarom is patchmanagement belangrijk? En hoe richt je zo’n proces dan in? In deze blog lees je hoe je hier zelf mee aan de slag kan.

Wat is patchmanagement?

Allereerst is het belangrijk om te weten wat een patch is. Een patch is een installatiebestand dat een kwetsbaarheid of fout in een programma herstelt of een programma verbetert. Door programma’s op tijd te updaten en op structurele basis de juiste ‘patches’ door te voeren, kan je voorkomen dat bekende kwetsbaarheden in software, hardware en besturingssystemen worden misbruikt. Waar configuratiemanagement belangrijk is om te weten wat de gemeente in huis heeft, is het belang van patchmanagement om dat wat de gemeente in huis heeft ook veilig te houden, door het uitvoeren van juiste en tijdige beveiligingsupdates. Het proces waarmee beveiligingsupdates worden doorgevoerd noemen we patchmanagement.

Waarom belangrijk?

Door achterstanden in updates kunnen er kwetsbaarheden in software, hardware en besturingssystemen ontstaan, waar hackers misbruik van kunnen maken. En dit wordt steeds makkelijker. Dit komt o.a. doordat je via online scans kwetsbare systemen kan opsporen. Wanneer hier misbruik van wordt gemaakt, kan dit grote gevolgen hebben voor de beschikbaarheid, integriteit en vertrouwelijkheid van systemen. Zo kunnen er gegevens worden gestolen (datalek), gewijzigd of versleuteld (ransomware). Dit kan voor grote schade zorgen, zowel financiële als imagoschade (neem bijvoorbeeld de Universiteit van Maastricht). Daarnaast kan je bedrijfsvoering stil komen te liggen doordat ICT en data niet meer beschikbaar zijn en wanneer jouw gemeentelijke ICT-systemen kwetsbaarheden bevatten, kunnen deze zelfs worden misbruikt voor andere (externe) aanvallen.

Het is daarom belangrijk om een kwetsbaarheid zo snel mogelijk te verhelpen zodra een update beschikbaar is. Kortom, patchen en updaten is van groot belang voor de informatiebeveiliging van de gemeente. Door je systemen up-to-date te houden, kunnen veel incidenten voorkomen worden.

Het patchen van kritieke gekwalificeerde kwetsbaarheden is niet voor niets een verplichte maatregel vanuit de Baseline Informatiebeveiliging Overheid (BIO) (control 12.6.1).

Hoe richt je een patchmanagementproces in?

Je kan dit doen aan de hand van een aantal stappen:

  1. Goede afspraken zijn belangrijk. Zorg dus dat er een formeel, beschreven, geaccepteerd en werkend patchmanagementproces is: leg vast waar kwetsbaarheidsmeldingen worden geregistreerd, wie verantwoordelijk is voor het oppakken van meldingen, of de CISO een doorslaggevende rol heeft in het proces, et cetera. Zie ook de handreiking patchmanagement van de IBD voor meer uitleg.
  2. Zorg dat afspraken voor patches zijn vastgelegd in de Service Level Agreement (SLA): zo is ook het updaten bij leveranciers of ketenpartners geborgd.
  3. Registreer toegepaste patches: leg toegepaste patches vast in bijvoorbeeld een Configuration Management Database (CMDB). Dit zorgt voor een overzicht van welke hardware, software en besturingssystemen up-to-date zijn en welke (nog) niet.
  4. Controleer regelmatig of er nieuwe relevante patches beschikbaar zijn: wat heb ik in huis en wat moet ik patchen? Hierbij is het belangrijk dat je je configuratiemanagement op orde hebt, zodat je weet wat je in huis hebt. Hierdoor kan je makkelijk controleren of daar patches voor beschikbaar zijn. Zorg daarbij ook voor een actuele ICT-foto. Zo ontvang je tijdig relevante kwetsbaarheidsmeldingen van de IBD-CERT. Zij kunnen je ook verder helpen bij vragen hierover.
  5. Kan een belangrijke patch niet (direct) worden doorgevoerd? Neem dan waar nodig aanvullende mitigerende maatregelen, bijvoorbeeld het tijdelijk dichtzetten van iets in je firewall zodat die kwetsbaarheid niet misbruikt kan worden. Plan vervolgens op korte termijn de patch in op een voor de bedrijfsvoering acceptabel moment.
  6. Zorg dat er een specifiek proces is voor kritische/beveiligingspatches (spoedpatches): bij spoedpatches is de kans op misbruik en mogelijke schade hoog. Deze patches moeten dus zo snel als mogelijk worden doorgevoerd, uiterlijk binnen één week (zoals in de BIO vastgelegd in control 12.6.1.1).

Borging van het proces

Wanneer je het patchmanagementproces hebt ingericht is het ook belangrijk dat dit geborgd is binnen de organisatie. Dit kun je doen door:

  • Patchmanagement binnen bestaande processen te integreren. Bijvoorbeeld in het configuratiemanagement- en changemanagementproces. Die lopen al en dat betekent dat je met zo min mogelijk moeite het toch kunt borgen in je organisatie.
  • Afspraken te maken over het implementeren van patches en dit te borgen in bijvoorbeeld een SLA. Heel vaak worden deze SLA’s door een ICT-Servicedesk bewaakt, waardoor hier een stukje controle op zit.
  • Minimaal jaarlijks (of vaker) de werking van het proces te controleren, inclusief de registraties van toegepaste patches. Check af en toe in het CMDB of alles compleet is en of alle communicatielijnen nog werken. Door dit in de gaten te houden, kan je dit proces verbeteren indien nodig.

Tips uit de praktijk

Tot slot, nog een aantal tips uit de praktijk:

  • Registreer kwetsbaarheidsmeldingen in je ITIL-ticketsysteem of speel deze door aan de ICT-Servicedesk. Zo wordt de registratie vastgelegd en dient binnen de afgesproken SLA vanuit de Servicedesk een actie te volgen. Daarbij is het belangrijk dat de CISO tijdig van de kwetsbaarheidsmelding op de hoogte wordt gesteld, zodat hij direct een risicoschatting voor het patchen kan maken.
  • Start een mail-, WhatsApp- of Signal-groep met de personen die direct op de hoogte moeten worden gesteld bij een kritische kwetsbaarheid. Zo is er direct afstemming voor een risicoschatting en het bepalen van vervolgacties. Ook kan snel besloten worden of verdere afstemming noodzakelijk is om de dreiging te mitigeren.
  • Evalueer en leer. Heeft een eerdere patch problemen gegeven? Of heeft een update langer op zich laten wachten dan de afspraak? Ga na hoe dit in de toekomst beter kan en oefen waar nodig.

Meer informatie?
In de factsheet ‘Patchmanagment’ van de IBD vind je meer informatie, ook wordt hier uitgebreider in gegaan op hoe de CERT van de IBD je kan ondersteunen. Of bekijk de webinars van de IBD: ‘Patchmanagement deel 1 proces’ en ‘Patchmanagement deel 2 techniek’.

Heb je na het lezen van deze blog vragen of hulp nodig bij het inrichten van een patchmanagementproces? Laat ons dit dan weten en neem contact met ons op.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Wat is een gerechtvaardigd belang?

Wanneer je als organisatie persoonsgegevens verwerkt, heb je altijd een zogeheten ‘grondslag voor de verwerking van persoonsgegevens’ nodig. Eén van de grondslagen is een ‘gerechtvaardigd belang’. Maar wat houdt een ‘gerechtvaardigd belang’ eigenl…

Het volwassenheidsmodel voor authenticatie

In de factsheet ‘Volwassen authenticeren – gebruik veilige middelen voor authenticatie’ adviseert het NCSC om accounts te beveiligen op een manier die past bij de gevoeligheid van de gegevens en middelen waar deze toegang toe bieden.

Belangrijke vaardigheden voor een succesvolle Privacy Officer

Om de privacydoelen van de gemeente te bereiken en een succesvolle Privacy Officer te zijn, moet je over een aantal essentiële basisvaardigheden beschikken.

KPI’s in informatiebeveiliging

Om de effectiviteit van informatiebeveiliging te borgen en tijdig in te kunnen spelen op potentiële nieuwe dreigingen en risico’s, is het belangrijk om regelmatig te monitoren en te meten hoe het ervoor staat. Dit kan aan de hand van Key Performan…

Dataminimalisatie: waarom minder soms meer is.

: In de digitale wereld waarin we leven, verzamelen we een enorme hoeveelheid gegevens. Maar in deze tijd van dataverzameling is er gelukkig ook een AVG-principe dat steeds meer aandacht krijgt: gegevensminimalisatie.

Hoe zorg je dat een SaaS-leverancier voldoet aan je beveiligingseisen?

Gemeenten besteden het beheer van software steeds vaker uit en maken hierbij gebruik van SaaS. Bij de selectie van een SaaS-leverancier is het belangrijk dat de leverancier weet wat er van hen verwacht wordt als het gaat om informatiebeveiliging. …