McAfee, Inc. marktleider op het gebied van gespecialiseerde beveiligingstechnologie, maakt vandaag de resultaten bekend van een onderzoek naar de mate waarin Europese ondernemingen zich beschermen tegen beveiligingsbedreigingen. Die resultaten mogen opvallend worden genoemd. Bijna de helft (45%) van de ondervraagde bedrijven is van mening dat hun IT-infrastructuur op geen enkel moment volledig veilig is voor gevaren die de software en het netwerk bedreigen.
In het onderzoek van McAfee, uitgevoerd door Ipsos Research, werd het oordeel gevraagd van ruim 600 senior IT-managers bij Europese bedrijven met meer dan 250 medewerkers. Doel van het onderzoek was beter zicht te krijgen op de gehanteerde methodiek in de bedrijfswereld ten aanzien van patch management. Patch management is een van de belangrijkste uitdagingen waar grote ondernemingen op het gebied van beveiligingsbeheer mee te maken hebben.
Een aantal van de belangrijkste bevindingen:
- Ruim een kwart (27%) van de ondervraagden geeft aan dat het 48 uur of langer duurt voordat de IT-infrastructuur volledig is beschermd tegen de kwetsbaarheden waar een nieuw vrijgegeven patch de oplossing voor vormt. Bij één op de vijf organisaties (19%) duurt dat zelfs een week en soms nog langer.
- Bij meer dan eenderde (36%) van de bij het onderzoek betrokken Europese bedrijven ontbreekt elk zicht op het aantal patches dat de laatste zes maanden is geïnstalleerd.
- Ruim de helft (58%) van de ondervraagde IT-professionals heeft geen idee van de bedrijfskosten voor het implementeren van patches.
- Eén van de vijf (20%) ondervraagde IT-medewerkers is per dag een uur of meer kwijt aan research op het gebied van kwetsbaarheden en patches.
- Bijna de helft (45%) van de ondervraagden brengt geen prioriteiten aan in systeemgeledingen bij de toepassing van patches.
In de context van steeds sneller om zich heen grijpende, technisch steeds meer geavanceerde virussen en andere bedreigingen in een omgeving van steeds grotere en meer complexe IT-systemen, is patch management voor de meeste grote bedrijven een serieus thema geworden. Gedurende de tijd die verstrijkt tussen publicatie van een nieuwe patch en de implementatie van die aanpassing in de totale organisatie, is het bedrijf immers kwetsbaar voor inbreuken op de beveiliging, systeemuitval, verlies van productiviteit en, als gevolg daarvan, verlies van vertrouwen aan de kant van de klanten.
Tijdrovend proces
Implementatie van patches is, met name in grotere ondernemingen, een gecompliceerd proces waar vaak dagen van onderzoek, testen en installatiewerk aan vooraf gaan – en dat voor elke afzonderlijke patch. Uit het onderzoek van McAfee blijkt nu ook op wat voor schaal de kwestie patch management een beroep doet op de resources van een organisatie. In 20% van de onderzochte gevallen wordt elke dag één uur of meer besteed aan research en informatieverzameling. In Italië is dat de norm in bijna eenderde (31%) van de gevallen, terwijl Duitsland nauwelijks beter scoort met 24%. In het totale Europese beeld is één van de 10 IT-professionals per jaar 240 uur kwijt aan onderzoek naar systeemkwetsbaarheden. Oftewel vijf volledige werkweken.
Steeds grotere interval van kwetsbaarheid
De tijd om een patch volledig te implementeren, is een interval van concrete kwetsbaarheid. Over heel Europa genomen is de interval in meer dan een kwart van de gevallen een periode van 48 uur of meer. In bijna één op de vijf Europese organisaties (19%) is zelfs sprake van een kwetsbaarheidsinterval van een week of langer. In Frankrijk is een periode van een week of langer de norm bij meer dan een kwart (27%) van de bedrijven.
Kostencalculatie
Wat met name opvalt in de resultaten van het onderzoek, is het grote aantal IT-professionals dat aangeeft geen idee te hebben van het exacte aantal geïnstalleerde patches, noch van de daarmee geassocieerde bedrijfskosten. Het aantal gepubliceerde patches is blijkbaar zo groot dat ruim eenderde (36%) van de ondervraagden niet bij benadering kan zeggen hoeveel patches er over een periode van zes maanden in hun organisatie zijn vrijgegeven, terwijl meer dan de helft (58%) geen enkele kijk heeft op de bedrijfskosten. Dat is des te opvallender als we het afzetten tegen een prognose van marktonderzoeker IDC, waarin wordt gesproken over totale Europese uitgaven voor patch management van maar liefst 88 miljoen Euro tegen het jaar 2010.
Wat ook duidelijk uit het onderzoek naar voren komt, is dat de meeste organisaties verwachten in de toekomst meer mensen en middelen in te moeten gaan zetten voor patch management. Meer dan de helft (54%) is ervan overtuigd dat extra inzet van resources noodzakelijk is, waarbij de Duitse bedrijven, met 68%, in dat opzicht voorop lopen.
Het belang van prioriteiten
Cyberdreigingen worden steeds complexer, terwijl IT-resources in de meeste organisaties beperkt blijven. Dat betekent dat er dringende behoefte is aan een strategie van patch management waarin rekening wordt gehouden met die realiteit. De kern van een dergelijke benadering is de identificatie van bedrijfsmiddelen die een cruciale rol spelen in het zakelijk functioneren van de onderneming, zodat resources gericht ingezet kunnen worden om die bedrijfsmiddelen bij wijze van prioriteit veilig te stellen. Uit het onderzoek blijkt dat Europese bedrijven steeds meer bezig zijn met de ontwikkeling van een strategie in die richting: bij 45% van de ondervraagde ondernemingen wordt onderscheid gemaakt in aard en functie van bedrijfssystemen bij het vaststellen van prioriteiten voor implementatie van patches. Het onderzoek laat echter ook zien dat identificatie van deze prioriteitsfunctionaliteit bij een groot aantal organisaties nog geheel ontbreekt.
Het is van het grootste belang dat ondernemingen overgaan op een methode van patch management op basis van duidelijke prioriteiten in combinatie met het gebruik van pro-actieve beveiligingssystemen die een betrouwbare beveiliging vormen tegen bekende en nieuwe gevaren. Alleen op die manier kan voldoende tijd worden vrijgemaakt voor nader onderzoek naar en volledige inzet van beschikbare patches.
Conformering aan formele voorschriften
Patch management is ook een belangrijk thema waar het gaat om aantoonbare conformering aan bestaande wettelijke voorschriften, bijvoorbeeld in het kader van Sarbannes Oxley, HIPPA en MiFID. Blijft een organisatie in gebreke bij het beveiligen van de bedrijfssystemen met de laatste patches, dan kan dat in de context van dergelijke regelgeving ernstige consequenties hebben. Het onderzoek wijst er echter op dat de meeste Europese bedrijven hun zaken wat dat betreft op orde lijken te hebben. Een grote meerderheid van 82% van de ondervraagden zegt er vertrouwen in te hebben dat hun beleid van patch management garant staat voor volledige conformering.
“De geluiden uit deze grote ondernemingen geven een duidelijk beeld – patch management is voor al deze bedrijven een serieus onderwerp,” zegt John Parker, product line director intrusion prevention bij McAfee EMEA. “Tegelijkertijd is er echter sprake van ernstige kwetsbaarheid en dat heeft vooral te maken met de grote aantallen patches die voortdurend beschikbaar komen. Er is domweg geen tijd om die allemaal uitvoerig te testen en vervolgens structureel te implementeren. Daardoor ontstaan concrete risico's en de enige methode om voor enige gemoedsrust te zorgen is de combinatie van een proces van patch management op basis van duidelijke prioriteiten en het gebruik van pro-actieve beveiligingssystemen.”