In populaire back-upsoftwareprogramma’s van EMC en Veritas zijn onlangs beveiligingslekken ontdekt. De betrokken fabrikanten stelden snel aanpassingen beschikbaar. Systeembeheerders zullen echter niet halsoverkop de verbeteringen installeren.
Het patchen van applicaties die niets met internet doen heeft bij mij geen hoge prioriteit”, zegt Siem Weel, beheerder bij BRTArchitecten. “Ik kijk een keer in de paar maanden of voor de belangrijkste applicaties die we gebruiken patches zijn verschenen. Mocht een programma erg nieuw zijn of problemen geven, dan kijk ik wat vaker.”. “Al mijn klanten zitten achter een firewall, dus ik kan me niet voorstellen hoe een hacker daar bij kan komen”, zegt Adrie de Regt, Network-Engineer bij A.A.D. Netwerken.
Fouten introduceren
Bonno Bloksma, hoofd Systeembeheer bij Hogeschool TIO, benadrukt het belang van de back-upsoftware en hij wijst erop dat veranderingen aan de omgeving juist problemen kunnen veroorzaken: “Aangezien back-up en vooral restore altijd een ‘last-line-of-defence’ is, wil ik dus 100 procent zeker weten dat dit goed werkt. Dus ja, patches en dat soort dingen controleer ik regelmatig, maar ik zit er niet altijd bovenop. Upgraden naar een nieuwe versie doe je juist niet te vroeg. Nieuwe versies willen nog wel eens fouten bevatten en die wil je juist niet hebben in je back-upsoftware.”
Ook Siem Weel belicht die kant van het patchen. “Bij het installeren van patches van diverse softwarefabrikanten word je door de documentatie voortdurend op het hart gedrukt om toch vooral de ‘patches te testen’ voordat je ze in een productie-omgeving loslaat. Dat klinkt wel logisch, maar ik weet niet goed hoe ik dat moet doen. Testen of een patch het probleem ook daadwerkelijk heeft opgelost is vaak al moeilijk genoeg, laat staan dat je kunt testen of een patch gevolgen heeft voor de rest van het systeem of andere applicaties.” Weel kiest daarom een pragmatische aanpak: “dus ik installeer de zaak in de hoop dat het goed uit zal pakken.”
“Ja, testen is moeilijk”, beaamt Henri den Toom, ict-adviseur bij Pekaar & Partners. “Vooral in het mkb heb je niet de budgetten om een testomgeving neer te zetten die identiek is aan een productieomgeving. Daarom patch ik niet direct de eerste dag dat er een patch beschikbaar is, althans niet de back-upsoftware. Zo kunnen anderen voor mij de kastanjes uit het vuur halen.“
Roel van Bueren is onafhankelijk adviseur en geeft trainingen op verschillende terreinen, bijvoorbeeld voor beheerders op het gebied van het geautomatiseerd installeren van applicaties, en dus ook van patches. “Tijdens zo’n training vraag ik altijd wie van de cursisten ervoor heeft gezorgd dat bijvoorbeeld zijn Microsoft Office-omgeving volledig is voorzien van de laatste beveiligingspatches”, zegt hij, “juist omdat Office, naast Windows en Internet Explorer, namelijk een van de Microsoft-producten is om snel en goed te patchen. Ik kan gerust stellen dat het aantal mensen die dat 100 procent voor elkaar heeft bedroevend laag is. Ik kom daarom tot de conclusie dat er over het algemeen pas gepatched wordt als het risico groot genoeg is. Want als er grote problemen van zouden komen, dan zou men toch wel patchen?”