Sasser stelt bedrijven voor lastige afweging

Onder de slachtoffers waren niet de minste bedrijven. In Nederland werd onder andere de drukkerij van PCM Uitgevers getroffen. Kranten als NRC Handelsblad en Het Parool bereikten daardoor de lezers uren te laat of helemaal niet. Jan-Hein Koningsveld, directeur PCM Grafische Bedrijven: "Een vitaal onderdeel van ons systeem waarmee we de pagina’s op drukplaten belichten, is waarschijnlijk door het virus op tilt geraakt. Het betreft een cluster waarbij de ene server direct de taak van de andere overneemt wanneer die uitvalt. We nemen aan dat dat tot corruptie van databases heeft geleid." Waarom was zo’n vitaal systeem niet tijdig gepatcht? Koningsveld: "Het probleem met patches is dat ze niet zelden neveneffecten hebben. Dan moet u niet denken aan de kantooromgeving, maar aan zeer geavanceerde productiesystemen. Een routine waarbij je altijd de laatste updates installeert, zou dan weleens erger kunnen zijn dan de kwaal. Maar nu het probleem achter ons ligt, gaan we natuurlijk heel goed na of die afweging nog steeds zo gemaakt moet worden." Testen Om nadelige effecten van patches uit te sluiten, willen veel bedrijven ze eerst testen. Peter Geytenbeek, werkzaam voor de business unit Enterprise Administration van IT-beveiligingsbedrijf Symantec: "Je merkt dat bedrijven patches voor desktopcomputers vaak redelijk snel installeren, maar voorzichtiger zijn met hun servers. Daar wil men eerst intern testen en de patch pas op de server zetten als de test goed is doorlopen. Alleen als er een ernstige bedreiging is, neemt men het risico, maar dan is bijvoorbeeld gezorgd voor een goede organisatie van de back-ups." Tom Welling, technical account manager van Symantec, stelt vast dat veel bedrijven die door Sasser zijn getroffen niet beschikken over adequate gereedschappen voor het updaten en patchen van hun software. "Het gaat ook vaak fout doordat de nodige discipline bij de gebruiker ontbreekt. De patch is dan wel aanwezig maar wordt om wat voor reden dan ook te laat, of in het geheel niet, geïnstalleerd. Er zijn organisaties waar het patchen heel strak centraal is geregeld, maar ook organisaties waar men geen tools heeft en men afhankelijk is van de gebruiker." Ook Ruud de Jonge, practice manager bij de consultancyafdeling van Microsoft, zegt goed te begrijpen dat bedrijven patches eerst in hun eigen IT-omgeving willen testen. "Dat is altijd een afweging tegen het risico dat je loopt door niet te patchen. Wij werken samen met bedrijven aan oplossingen om patches zo snel mogelijk te distribueren. Zo hebben we de Software Update Service (SUS)-server, in feite een versie van Windows Update voor gebruik binnen bedrijven." De Netwerk Gebruikersgroep Nederland (NGN) bundelt al zes jaar patches en updates voor zijn leden op cd en dvd. Sinds kort is daar een website bijgekomen. Samensteller Roel van Bueren: "Er zijn maar weinig bedrijven waar het patchen echt verweven is in het beheer en er snel en adequaat mee omgegaan wordt. Probleem is ook dat IT-beheerders meer te doen hebben. Iedere verandering in je IT-omgeving behoor je gestructureerd door te voeren, want je weet nooit wat er omvalt doordat je een patch installeert. Het blijkt bijvoorbeeld dat de patch voor Sasser ervoor zorgt dat Oracle-databases niet meer goed draaien." Crypsys Data Security behoort tot de leveranciers van ‘patch tools’. Marketingmanager Marnix van Meer: "Binnen de tienduizenden patches bestaat een belangrijk onderscheid tussen securitygerelateerde patches en de rest, die vaak cosmetisch is. Idealiter installeert iedereen alle patches. Maar er is al veel gewonnen als bedrijven niet steeds achter de feiten aanlopen maar eens per maand of vier keer per jaar patches doorvoeren."