Patches en updates: dilemma van IT binnen OT

Solvinity

IT-systemen die OT-installaties aansturen, ondergaan niet altijd updates vanwege het risico op verstoring van het operationele proces. Tussen wat men denkt en wat werkelijk zo is gaapt een behoorlijke kloof, zo valt te lezen in een rapport, vervaardigd naar aanleiding van een onderzoek uitgevoerd in opdracht van IT-dienstverlener Solvinity.

Afgelopen zomer ontving PanelWizard de opdracht een enquête te organiseren onder 500 IT-verantwoordelijken bij Nederlandse bedrijven met meer dan 200 medewerkers. Terwijl de Covid-pandemie in Nederland leek af te zwakken, namen de IT-beveiligingsincidenten epidemische vormen aan. Ronduit alarmerend waren de ontwikkelingen rondom onopgeloste kwetsbaarheden bij IT-voorzieningen voor thuiswerkers en de reeks ransomware-aanvallen, gericht op het verkrijgen van losgeld. Het Solvinity-rapport volgde op een golf van cybercriminaliteit die in omvang het aantal woninginbraken oversteeg.

Volgens het onderzoek liet ruim 88 procent van de respondenten weten dat de beveiliging van de IT-omgeving op orde is. Daarvan is 26 procent absoluut overtuigd, terwijl 62,4 procent er een ‘goed gevoel’ over heeft. Niet vreemd dus dat 70 procent van de ondervraagden goed in staat denkt te zijn zelfstandig weerstand te bieden tegen cybercrime. In schril contrast daarmee verklaren vier op de vijf respondenten niet alle patches en updates te installeren. Nog niet eens de helft daarvan neemt specifieke maatregelen om de eigen kwetsbaarheid te verkleinen. De samenstellers van het rapport concluderen dat de door hen ondervraagde doelgroep een te rooskleurig beeld heeft van de IT-beveiliging binnen de eigen organisatie.

Schaduw-IT

Zo werd onder meer gevraagd of er binnen hun organisatie hardware, software of diensten actief zijn, waarvan zij weten dat ze niet veilig zijn. Een bescheiden 18,4 procent van de IT-verantwoordelijken gaf dit ruiterlijk toe. Bij de overige deelnemers aan het onderzoek is blijkbaar niets bekend over schaduw-IT. Dit betreft voorzieningen die niet door de IT-afdeling zijn goedgekeurd, maar toch worden toegepast. Het verschijnsel valt volgens de Solvinity-specialisten nauwelijks te voorkomen. Alleen bij actief scannen van het bedrijfsnetwerk zijn dergelijke ongeoorloofde toepassingen te detecteren en dat doet slechts 23 procent.

Inzicht in de eigen IT-infrastructuur en de kwetsbaarheden ontbreekt bij 51 procent van de respondenten. De rest zegt wel over dat inzicht te beschikken. Die behoren ongetwijfeld tot de 49 procent die volgens het rapport patches en updates binnen twee dagen installeert. Van de respondenten zegt 24 procent daar enkele weken voor nodig te hebben en 8 procent lukt het zelfs niet binnen enkele maanden of nog langer. Volgens vier op de vijf respondenten worden sommige patches en updates helemaal niet geïnstalleerd omdat ze de continuïteit van de business in gevaar brengen (38%), of omdat eindgebruikers geen zin hebben in veranderingen (13%), of omdat er binnen de IT-organisatie domweg onvoldoende capaciteit is (16,2%).

Enorme schades

De samenstellers van het rapport maken wel de aantekening dat het installeren van patches en updates niet altijd zonder gevaar is. In het geval dat de IT-componenten koppelen met operationele technologie, kan bij een onverhoopte storing van de bedrijfsprocessen de schade in de miljoenen euro’s gaan lopen. Een risicoanalyse moet de mate van kwetsbaarheid van de betreffende IT-voorzieningen duidelijk maken.

Soms zitten de gebruikte IT-voorzieningen de veiligheid in de weg. Eén op de vijf respondenten meldt althans dat hun systeemleveranciers beperkingen opleggen voor wat betreft patches voor software van derden. Dat mag maar tot bepaalde versies. Indien men zich daar niet aan houdt, vervalt de technische ondersteuning van de betreffende leveranciers. Daarmee gijzelen deze leveranciers in feite hun afnemers.