NIS2: Bent u in het toepassingsgebied?
De nieuwe Belgische cybersecurity-wet treedt in kracht. Bekijk het nu.
Cybercriminelen zijn voortdurend op zoek naar nieuwe zwakke plekken in toepassingen, software, servers en apparaten. Via deze gebreken kunnen ze toegang krijgen tot een apparaat en het gebruiken voor kwaadaardige doeleinden, zoals het stelen van vertrouwelijke gegevens. Om deze pogingen tegen te gaan, werken leveranciers voortdurend aan correcties van nieuw ontdekte kwetsbaarheden om ervoor te zorgen dat hun producten veilig blijven. Deze correcties worden via een update ter beschikking gesteld van de klanten. Het is dus belangrijk dat organisaties hun software en apparaten up-to-date houden.
Een enkele kwetsbaarheid in een systeem, toepassing of apparaat is voldoende voor cybercriminelen om schade aan te richten en toegang te krijgen tot de hele omgeving. Bijgevolg is het cruciaal om updates te installeren zodra ze beschikbaar zijn om een sterke cyberdefensie te garanderen en ervoor te zorgen dat de leverancier de gebruikte systeemversie kan blijven ondersteunen.
Er zijn twee soorten updates. Enerzijds zijn er updates die bedoeld zijn om zwakke plekken in de beveiliging te verhelpen, zodat een product niet kan worden gecompromitteerd. Anderzijds zijn er updates om de functionaliteit van een product te verbeteren. Beide soorten updates zijn even belangrijk en moeten worden geïnstalleerd zodra ze beschikbaar zijn.
Om het updateproces efficiënt te beheren, moet een organisatie een aantal regels vaststellen om onder meer te bepalen wat moet worden bijgewerkt, hoe vaak, wie de beschikbaarheid van nieuwe updates moet controleren en wie ervoor moet zorgen dat ze worden geïnstalleerd.
Installeer alleen de toepassingen (besturingssystemen, firmware of plugins) die je nodig hebt om je activiteiten uit te voeren en patch/update ze zo snel mogelijk.
Software van derden, zoals browsers, programma-extensies en middleware, moet ook regelmatig worden bijgewerkt. Door hun interactiviteit zijn ze een handig hulpmiddel voor oplichters.
Als medewerkers op hun toestel aan het werken zijn, zijn ze geneigd updatemeldingen te negeren om hun werk niet te onderbreken of om geen tijd te verliezen door te wachten tot de update is voltooid. Omdat updates soms tijd kosten, is het beter ze te plannen buiten de
werkuren of tijdens minder drukke periodes. Plan geen grote updates op een vrijdagavond voor het geval je ondersteuning bij problemen nodig zou hebben.
Cybercriminelen geven valse updatemeldingen weer via reclameberichten of pop-ups. Het is belangrijk dat je een update alleen van de officiële leverancier downloadt om te voorkomen dat er een virus wordt geïnstalleerd. Naast de aandacht voor de legitimiteit van de website, moet ook worden nagegaan wat er in de update is opgenomen om te vermijden dat vakjes worden aangekruist voor onnodige functionaliteiten zoals een advertentie-add-on.
Installeer alleen een actuele en door de leverancier ondersteunde versie van de software die je wilt gebruiken. Het kan nuttig zijn om elke maand een specifieke dag te kiezen om op patches te controleren.
Automatiseer indien mogelijk en indien het systeem dit in de configuratie toestaat, het downloaden en installeren van de nieuwe updates om ervoor te zorgen dat je altijd beschikt over de meest recente, veiligere versie van de leverancier. Controleer bovendien handmatig of de update correct werkt.
Er zijn ook programma's die bronnen kunnen scannen en de vereiste updates kunnen zoeken om een overzicht te geven van wat moet worden geïnstalleerd.
Er bestaan producten die je systeem kunnen analyseren en je kunnen waarschuwen wanneer er een update is voor een toepassing die je hebt geïnstalleerd. Als je een van deze producten gebruikt, moet je ervoor zorgen dat het product de updates controleert voor elke toepassing die je gebruikt.
Om een cruciale update niet te missen, moeten organisaties de beschikbaarheid van nieuwe updates voor de gebruikte apparaten en software controleren op de websites van de leveranciers. Daarnaast is het ook belangrijk om vast te stellen wanneer een product niet langer wordt ondersteund door de leverancier, omdat het een “end-of-life”-status heeft bereikt. Dat houdt in dat er geen nieuwe updates meer worden uitgevoerd, waardoor het kwetsbaar wordt. Het is dus beter te anticiperen op de “end-of-life”-status van een product en de nodige middelen tijdig over te zetten. Ten slotte kan je ook voorkomen dat medewerkers niet-ondersteunde producten installeren door een witte lijst van alle toegestane producten op te stellen.
Migreren naar een ander of beter ontwikkeld product is niet altijd mogelijk. Soms moet een organisatie de niet-ondersteunde versie blijven gebruiken. In dat geval moeten er extra beveiligingsmaatregelen worden genomen om het huidige product te beschermen. Een goed begin is ervoor te zorgen dat het product in kwestie volledig geïsoleerd is, niet alleen van de rest van het netwerk van de organisatie, maar ook van buitenaf (d.w.z. zonder enige verbinding met internet).
De gevolgen en de afhankelijkheden kunnen variëren naargelang het belang van de update. Waar mogelijk moeten de updates worden getest voordat ze worden geïmplementeerd. Een testomgeving en een referentiebasis zijn een goede manier om updates te valideren in een geïsoleerde omgeving die vergelijkbaar is met de productieomgeving. Het kan ook helpen om reparatiescenario's of mislukte installaties te testen.
Het is een goede gewoonte om gegevens en systemen te back-uppen, voordat je een update installeert om er zeker van te zijn dat er een werkende versie beschikbaar is voor het geval er iets misgaat. Het is ook beter om een volledige back-up van de servers te maken voordat deze worden bijgewerkt. Een rollback-strategie is zeer nuttig bij het updaten van deze gemeenschappelijke bronnen, om zo snel mogelijk terug te kunnen gaan naar een werkende server. Bovendien moet de rollback-procedure worden getest om de negatieve gevolgen van een update te beperken.
Zelfs indien een organisatie slechts een beperkt aantal systemen heeft, kan ze het updateproces efficiënter beheren door een inventaris van alle beschikbare middelen bij te houden. Deze inventaris moet altijd worden bijgewerkt met de toegevoegde of verwijderde elementen om de actuele situatie zo nauwkeurig mogelijk weer te geven. Wanneer een nieuw apparaat wordt aangekocht, moet het op de standaardinstellingen worden teruggezet en moeten alle updates die beschikbaar zijn bij de leverancier worden geïnstalleerd voordat het wordt gebruikt.
Het doel van deze inhoud is om goede cyberbeveiligingspraktijken te delen en onder de aandacht te brengen.
Sommige van deze adviezen kunnen anders van toepassing zijn, afhankelijk van de context van uw organisatie.
Houd u altijd aan het beleid en de instructies die binnen uw organisatie van kracht zijn.
Vraag bij twijfel altijd eerst advies aan uw IT-manager.