50 jaar IT: Wie nou nog niet patcht, is gek

Er komt geen eind aan de stroom hacks waarbij de data van tientallen miljoenen mensen en organisaties worden gestolen: Yahoo, Equifax, Uber. En dan waren er vorig jaar WannaCry en PetyaWrap. Beide raasden de wereld over en lieten een enorm spoor achter van platgelegde systemen. Heel vervelend, maar op tijd patchen had veel schade kunnen voorkomen.

Want veel malware maakt gebruik van oude, al jaren bekende lekken, waar ook al jaren patches voor beschikbaar zijn. Maar die domweg niet doorgevoerd zijn. Dat verklaart ook het jarenlange overleven van een worm als Conficker. Die is al 9 jaar oud en maakt al die tijd misbruik van een lek in Windows dat al in 2008 is gepatcht. PetyaWrap had weinig kunnen klaarmaken als een Windows-update was doorgevoerd en een verouderd protocol was vervangen door een nieuwer. En de hack bij Equifax was ook alleen maar mogelijk dankzij een lek in een webapplicatie.

Weggegooid geld

Inmiddels wordt wereldwijd bijna 100 miljard dollar uitgegeven aan IT-beveiliging. Maar dat is weggegooid geld als een basale maatregel als patchen niet wordt genomen. Want alleen al in Nederland draait volgens een recent rapport van Flexera bijna 12 procent van de niet-Microsoft-toepassingen met een bekend beveiligingsissue.

Ja, patchen kan complex zijn; technisch maar ook organisatorisch. Updates kunnen uitgesteld worden omdat de ‘business’ er geen last van wil hebben of omdat een patch andere systemen kan plat leggen. Of er is geen overzicht van de apparaten en software die geüpdatet moeten worden. Allemaal waar, maar het zijn geen afdoende excuses. Want er zijn inmiddels genoeg oplossingen voor het geautomatiseerd uitrollen van updates en het inventariseren van de software die in gebruik is.

Patchen zal de cybercriminaliteit niet de wereld uit helpen, maar het gaat hier om een relatief eenvoudige maatregel die een onmisbare basis vormt voor een goede IT-beveiliging. Niet patchen is eigenlijk geen optie.