Patchmanagement is erg belangrijk voor de beveiliging van de gemeentelijke ICT-omgeving. Als we het hebben over informatiebeveiliging, komen de termen ‘patches’ en ‘patchmanagementproces’ dan ook vaak voorbij. Maar wat betekenen deze termen nu eigenlijk? Waarom is patchmanagement belangrijk? En hoe richt je zo’n proces dan in? In deze blog lees je hoe je hier zelf mee aan de slag kan.

Wat is patchmanagement?

Allereerst is het belangrijk om te weten wat een patch is. Een patch is een installatiebestand dat een kwetsbaarheid of fout in een programma herstelt of een programma verbetert. Door programma’s op tijd te updaten en op structurele basis de juiste ‘patches’ door te voeren, kan je voorkomen dat bekende kwetsbaarheden in software, hardware en besturingssystemen worden misbruikt. Waar configuratiemanagement belangrijk is om te weten wat de gemeente in huis heeft, is het belang van patchmanagement om dat wat de gemeente in huis heeft ook veilig te houden, door het uitvoeren van juiste en tijdige beveiligingsupdates. Het proces waarmee beveiligingsupdates worden doorgevoerd noemen we patchmanagement.

Waarom belangrijk?

Door achterstanden in updates kunnen er kwetsbaarheden in software, hardware en besturingssystemen ontstaan, waar hackers misbruik van kunnen maken. En dit wordt steeds makkelijker. Dit komt o.a. doordat je via online scans kwetsbare systemen kan opsporen. Wanneer hier misbruik van wordt gemaakt, kan dit grote gevolgen hebben voor de beschikbaarheid, integriteit en vertrouwelijkheid van systemen. Zo kunnen er gegevens worden gestolen (datalek), gewijzigd of versleuteld (ransomware). Dit kan voor grote schade zorgen, zowel financiële als imagoschade (neem bijvoorbeeld de Universiteit van Maastricht). Daarnaast kan je bedrijfsvoering stil komen te liggen doordat ICT en data niet meer beschikbaar zijn en wanneer jouw gemeentelijke ICT-systemen kwetsbaarheden bevatten, kunnen deze zelfs worden misbruikt voor andere (externe) aanvallen.

Het is daarom belangrijk om een kwetsbaarheid zo snel mogelijk te verhelpen zodra een update beschikbaar is. Kortom, patchen en updaten is van groot belang voor de informatiebeveiliging van de gemeente. Door je systemen up-to-date te houden, kunnen veel incidenten voorkomen worden.

Het patchen van kritieke gekwalificeerde kwetsbaarheden is niet voor niets een verplichte maatregel vanuit de Baseline Informatiebeveiliging Overheid (BIO) (control 12.6.1).

Hoe richt je een patchmanagementproces in?

Je kan dit doen aan de hand van een aantal stappen:

1. Goede afspraken zijn belangrijk. Zorg dus dat er een formeel, beschreven, geaccepteerd en werkend patchmanagementproces is: leg vast waar kwetsbaarheidsmeldingen worden geregistreerd, wie verantwoordelijk is voor het oppakken van meldingen, of de CISO een doorslaggevende rol heeft in het proces, et cetera. Zie ook de handreiking patchmanagement van de IBD voor meer uitleg.
2. Zorg dat afspraken voor patches zijn vastgelegd in de Service Level Agreement (SLA): zo is ook het updaten bij leveranciers of ketenpartners geborgd.
3. Registreer toegepaste patches: leg toegepaste patches vast in bijvoorbeeld een Configuration Management Database (CMDB). Dit zorgt voor een overzicht van welke hardware, software en besturingssystemen up-to-date zijn en welke (nog) niet.
4. Controleer regelmatig of er nieuwe relevante patches beschikbaar zijn: wat heb ik in huis en wat moet ik patchen? Hierbij is het belangrijk dat je je configuratiemanagement op orde hebt, zodat je weet wat je in huis hebt. Hierdoor kan je makkelijk controleren of daar patches voor beschikbaar zijn. Zorg daarbij ook voor een actuele ICT-foto. Zo ontvang je tijdig relevante kwetsbaarheidsmeldingen van de IBD-CERT. Zij kunnen je ook verder helpen bij vragen hierover.
5. Kan een belangrijke patch niet (direct) worden doorgevoerd? Neem dan waar nodig aanvullende mitigerende maatregelen, bijvoorbeeld het tijdelijk dichtzetten van iets in je firewall zodat die kwetsbaarheid niet misbruikt kan worden. Plan vervolgens op korte termijn de patch in op een voor de bedrijfsvoering acceptabel moment.
6. Zorg dat er een specifiek proces is voor kritische/beveiligingspatches (spoedpatches): bij spoedpatches is de kans op misbruik en mogelijke schade hoog. Deze patches moeten dus zo snel als mogelijk worden doorgevoerd, uiterlijk binnen één week (zoals in de BIO vastgelegd in control 12.6.1.1).

Borging van het proces

Wanneer je het patchmanagementproces hebt ingericht is het ook belangrijk dat dit geborgd is binnen de organisatie. Dit kun je doen door:

• Patchmanagement binnen bestaande processen te integreren. Bijvoorbeeld in het configuratiemanagement- en changemanagementproces. Die lopen al en dat betekent dat je met zo min mogelijk moeite het toch kunt borgen in je organisatie.
• Afspraken te maken over het implementeren van patches en dit te borgen in bijvoorbeeld een SLA. Heel vaak worden deze SLA’s door een ICT-Servicedesk bewaakt, waardoor hier een stukje controle op zit.
• Minimaal jaarlijks (of vaker) de werking van het proces te controleren, inclusief de registraties van toegepaste patches. Check af en toe in het CMDB of alles compleet is en of alle communicatielijnen nog werken. Door dit in de gaten te houden, kan je dit proces verbeteren indien nodig.

Tips uit de praktijk

Tot slot, nog een aantal tips uit de praktijk:

• Registreer kwetsbaarheidsmeldingen in je ITIL-ticketsysteem of speel deze door aan de ICT-Servicedesk. Zo wordt de registratie vastgelegd en dient binnen de afgesproken SLA vanuit de Servicedesk een actie te volgen. Daarbij is het belangrijk dat de CISO tijdig van de kwetsbaarheidsmelding op de hoogte wordt gesteld, zodat hij direct een risicoschatting voor het patchen kan maken.
• Start een mail-, WhatsApp- of Signal-groep met de personen die direct op de hoogte moeten worden gesteld bij een kritische kwetsbaarheid. Zo is er direct afstemming voor een risicoschatting en het bepalen van vervolgacties. Ook kan snel besloten worden of verdere afstemming noodzakelijk is om de dreiging te mitigeren.
• Evalueer en leer. Heeft een eerdere patch problemen gegeven? Of heeft een update langer op zich laten wachten dan de afspraak? Ga na hoe dit in de toekomst beter kan en oefen waar nodig.

Meer informatie?
In de factsheet ‘Patchmanagment’ van de IBD vind je meer informatie, ook wordt hier uitgebreider in gegaan op hoe de CERT van de IBD je kan ondersteunen. Of bekijk de webinars van de IBD: ‘Patchmanagement deel 1 proces’ en ‘Patchmanagement deel 2 techniek’.

Heb je na het lezen van deze blog vragen of hulp nodig bij het inrichten van een patchmanagementproces? Laat ons dit dan weten en neem contact met ons op.