Het belang van patchmanagement


Patchmanagement is erg belangrijk voor de beveiliging van de gemeentelijke ICT-omgeving. Als we het hebben over informatiebeveiliging, komen de termen ‘patches’ en ‘patchmanagementproces’ dan ook vaak voorbij. Maar wat betekenen deze termen nu eigenlijk? Waarom is patchmanagement belangrijk? En hoe richt je zo’n proces dan in? In deze blog lees je hoe je hier zelf mee aan de slag kan.

Wat is patchmanagement?

Allereerst is het belangrijk om te weten wat een patch is. Een patch is een installatiebestand dat een kwetsbaarheid of fout in een programma herstelt of een programma verbetert. Door programma’s op tijd te updaten en op structurele basis de juiste ‘patches’ door te voeren, kan je voorkomen dat bekende kwetsbaarheden in software, hardware en besturingssystemen worden misbruikt. Waar configuratiemanagement belangrijk is om te weten wat de gemeente in huis heeft, is het belang van patchmanagement om dat wat de gemeente in huis heeft ook veilig te houden, door het uitvoeren van juiste en tijdige beveiligingsupdates. Het proces waarmee beveiligingsupdates worden doorgevoerd noemen we patchmanagement.

Waarom belangrijk?

Door achterstanden in updates kunnen er kwetsbaarheden in software, hardware en besturingssystemen ontstaan, waar hackers misbruik van kunnen maken. En dit wordt steeds makkelijker. Dit komt o.a. doordat je via online scans kwetsbare systemen kan opsporen. Wanneer hier misbruik van wordt gemaakt, kan dit grote gevolgen hebben voor de beschikbaarheid, integriteit en vertrouwelijkheid van systemen. Zo kunnen er gegevens worden gestolen (datalek), gewijzigd of versleuteld (ransomware). Dit kan voor grote schade zorgen, zowel financiële als imagoschade (neem bijvoorbeeld de Universiteit van Maastricht). Daarnaast kan je bedrijfsvoering stil komen te liggen doordat ICT en data niet meer beschikbaar zijn en wanneer jouw gemeentelijke ICT-systemen kwetsbaarheden bevatten, kunnen deze zelfs worden misbruikt voor andere (externe) aanvallen.

Het is daarom belangrijk om een kwetsbaarheid zo snel mogelijk te verhelpen zodra een update beschikbaar is. Kortom, patchen en updaten is van groot belang voor de informatiebeveiliging van de gemeente. Door je systemen up-to-date te houden, kunnen veel incidenten voorkomen worden.

Het patchen van kritieke gekwalificeerde kwetsbaarheden is niet voor niets een verplichte maatregel vanuit de Baseline Informatiebeveiliging Overheid (BIO) (control 12.6.1).

Hoe richt je een patchmanagementproces in?

Je kan dit doen aan de hand van een aantal stappen:

  1. Goede afspraken zijn belangrijk. Zorg dus dat er een formeel, beschreven, geaccepteerd en werkend patchmanagementproces is: leg vast waar kwetsbaarheidsmeldingen worden geregistreerd, wie verantwoordelijk is voor het oppakken van meldingen, of de CISO een doorslaggevende rol heeft in het proces, et cetera. Zie ook de handreiking patchmanagement van de IBD voor meer uitleg.
  2. Zorg dat afspraken voor patches zijn vastgelegd in de Service Level Agreement (SLA): zo is ook het updaten bij leveranciers of ketenpartners geborgd.
  3. Registreer toegepaste patches: leg toegepaste patches vast in bijvoorbeeld een Configuration Management Database (CMDB). Dit zorgt voor een overzicht van welke hardware, software en besturingssystemen up-to-date zijn en welke (nog) niet.
  4. Controleer regelmatig of er nieuwe relevante patches beschikbaar zijn: wat heb ik in huis en wat moet ik patchen? Hierbij is het belangrijk dat je je configuratiemanagement op orde hebt, zodat je weet wat je in huis hebt. Hierdoor kan je makkelijk controleren of daar patches voor beschikbaar zijn. Zorg daarbij ook voor een actuele ICT-foto. Zo ontvang je tijdig relevante kwetsbaarheidsmeldingen van de IBD-CERT. Zij kunnen je ook verder helpen bij vragen hierover.
  5. Kan een belangrijke patch niet (direct) worden doorgevoerd? Neem dan waar nodig aanvullende mitigerende maatregelen, bijvoorbeeld het tijdelijk dichtzetten van iets in je firewall zodat die kwetsbaarheid niet misbruikt kan worden. Plan vervolgens op korte termijn de patch in op een voor de bedrijfsvoering acceptabel moment.
  6. Zorg dat er een specifiek proces is voor kritische/beveiligingspatches (spoedpatches): bij spoedpatches is de kans op misbruik en mogelijke schade hoog. Deze patches moeten dus zo snel als mogelijk worden doorgevoerd, uiterlijk binnen één week (zoals in de BIO vastgelegd in control 12.6.1.1).

Borging van het proces

Wanneer je het patchmanagementproces hebt ingericht is het ook belangrijk dat dit geborgd is binnen de organisatie. Dit kun je doen door:

  • Patchmanagement binnen bestaande processen te integreren. Bijvoorbeeld in het configuratiemanagement- en changemanagementproces. Die lopen al en dat betekent dat je met zo min mogelijk moeite het toch kunt borgen in je organisatie.
  • Afspraken te maken over het implementeren van patches en dit te borgen in bijvoorbeeld een SLA. Heel vaak worden deze SLA’s door een ICT-Servicedesk bewaakt, waardoor hier een stukje controle op zit.
  • Minimaal jaarlijks (of vaker) de werking van het proces te controleren, inclusief de registraties van toegepaste patches. Check af en toe in het CMDB of alles compleet is en of alle communicatielijnen nog werken. Door dit in de gaten te houden, kan je dit proces verbeteren indien nodig.

Tips uit de praktijk

Tot slot, nog een aantal tips uit de praktijk:

  • Registreer kwetsbaarheidsmeldingen in je ITIL-ticketsysteem of speel deze door aan de ICT-Servicedesk. Zo wordt de registratie vastgelegd en dient binnen de afgesproken SLA vanuit de Servicedesk een actie te volgen. Daarbij is het belangrijk dat de CISO tijdig van de kwetsbaarheidsmelding op de hoogte wordt gesteld, zodat hij direct een risicoschatting voor het patchen kan maken.
  • Start een mail-, WhatsApp- of Signal-groep met de personen die direct op de hoogte moeten worden gesteld bij een kritische kwetsbaarheid. Zo is er direct afstemming voor een risicoschatting en het bepalen van vervolgacties. Ook kan snel besloten worden of verdere afstemming noodzakelijk is om de dreiging te mitigeren.
  • Evalueer en leer. Heeft een eerdere patch problemen gegeven? Of heeft een update langer op zich laten wachten dan de afspraak? Ga na hoe dit in de toekomst beter kan en oefen waar nodig.

Meer informatie?
In de factsheet ‘Patchmanagment’ van de IBD vind je meer informatie, ook wordt hier uitgebreider in gegaan op hoe de CERT van de IBD je kan ondersteunen. Of bekijk de webinars van de IBD: ‘Patchmanagement deel 1 proces’ en ‘Patchmanagement deel 2 techniek’.

Heb je na het lezen van deze blog vragen of hulp nodig bij het inrichten van een patchmanagementproces? Laat ons dit dan weten en neem contact met ons op.

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

Het belang van patchmanagement

Als we het hebben over informatiebeveiliging, komen de termen patches en patchmanagementproces vaak voorbij. Maar wat betekenen deze termen nu eigenlijk? Waarom is patchmanagement zo belangrijk? En hoe richt je zo’n proces dan in? In deze blog lee…

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?

Behaviour by Design?

Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

Gezichtsherkenning een inbreuk op de privacy?

Gezichtsherkenning is een methode om de identiteit van personen te ontdekken of te controleren aan de hand van hun gezicht. Privacyorganisaties maken zich zorgen over de opmars van slimme camera’s met gezichtsherkenning. Want hoe zit het met het w…