Eén op de drie kleine bedrijven heeft geen automatische updates ingesteld voor al zijn met internet verbonden apparaten. Daardoor zijn ze kwetsbaar voor cybercriminelen die proberen om systemen binnen te dringen.
Dat stelt het Digital Trust Center. Dat onderdeel van het Ministerie van Economische Zaken helpt bedrijven met voorlichting over en verbeterplannen voor cyberbeveiliging. Via de Cyberveilig-check inventariseert het centrum welke basismaatregelen zzp’ers en mkb’ers nemen om hun bedrijf te beveiligen. Eén van de vragen die in de tool gesteld wordt is: ‘Staat automatisch updaten aan op alle met internet verbonden apparaten?’ Een derde van de ruim negenduizend ondervraagden beantwoorde die vraag met ‘nee’.
DTC: ‘Software-updates bevatten vaak belangrijke verbeteringen en beveiligingsupdates voor de gebruiker. Als het installeren van de beveiligingsupdates uitgesteld wordt, kan de beveiliging van je apparaat kwetsbaar worden.’
Ze waarschuwen voor kwaadwillenden die via zwakke plekken proberen binnen te dringen in de systemen en data van bedrijven. Het advies voor zzp’ers en kleine mkb’ers is om alle aan internet verbonden apparaten in te stellen op automatisch updaten. Naast computers of smartphones moeten ook de printer, slimme deurbel, routers en andere slimme apparaten die verbonden zijn met het internet niet vergeten worden, waarschuwt DTC.
Verschillen per sector
Uit de data komt ook naar voren dat er grote verschillen zijn tussen sectoren. Bedrijven in de sector ‘informatie en communicatie’ scoren het hoogst, met 73 procent van de ondernemers die automatische updates hebben ingesteld. In de e sectoren ‘zakelijke dienstverlening’ en ‘financiële dienstverlening’ heeft gemiddeld 66 procent alle apparaten automatisch geüpdatet. Landbouw, bosbouw en visserij scoren lager, iets meer dan de helft (55 procent) van de bedrijven heeft automatische updates ingesteld. Andere sectoren die achterblijven zijn ‘onroerend goed’ (57 procent) en ‘nijverheid en energie’ samen met ‘handel, vervoer en horeca’ (beide 58 procent).
DTC: ‘Hoewel de data afkomstig uit de Cyberveilig-check niet afkomstig zijn uit een wetenschappelijk onderzoek, biedt de hoge respons toch waardevolle inzichten in het gedrag rondom automatische updates in verschillende sectoren.’ De tool, die het afgelopen jaar verplicht was voor kleine bedrijven die gebruik wilden maken van de Mijn Cyberweerbare Zaak-subsidie, moet ondernemers helpen een betere basis voor hun digitale veiligheid te leggen.
Budget
Onlangs concludeerde Computable op basis van onderzoek in samenwerking met Enigma dat de investeringen in ict-beveiliging terug zijn op het niveau van 2022. Daar waar er vorig jaar minder geld naar security ging, zien we dat in 2024 17 procent van het totale ict-budget naar beveiliging en veiligheid gaat. In 2023 was dit gedaald naar 15 procent. Medio 2023 zagen de onderzoekers dat het mkb al een inhaalslag maakte met hun budget voor ict-beveiliging.
En die andere 2 op 3 bedrijven vinden continuiteit ook belangrijk.
Die gaan dan elke vulnerability en patch uitgebreid bestuderen om alsnog de verkeerde beslissing te nemen.
Financiele potje van security risicos versus die van de beschikbaarheid.
Ik verlang toch zo naar het touwtje uit de brievenbus, maar na sleutel onder bloempot gingen we naar zero trust 🙁
Het touwtje uit de brievenbus van Dino gaat om de geaccepteerde zwakheden in de keten doordat er ook nog zoiets is als legacy protocollen zoals FTP. Wat betreft een sleutel onder de bloempot van zwakke wachtwoorden blijft het dweilen met de kraan open. Want zoals dat Johan Cruijff nooit een zak geld heeft zien voetballen zo heb ik afgelopen 30 jaar geen integraal beleid in het configuratiemanagement gezien waardoor het vinkje van automatische updates niks zegt over het beveiligingsbeleid. De cijfermatige veiligheid met budgetten is leuk voor de rapportage maar te goed van vertrouwen gaat het om de basismaatregelen van een wijzigingsbeleid binnen ketens met een gelaagde realiteit. Zero trust gaat tenslotte om 100% wantrouwen met zoiets als controle.
‘Software-updates bevatten vaak belangrijke verbeteringen en beveiligingsupdates voor de gebruiker. Als het installeren van de beveiligingsupdates uitgesteld wordt, kan de beveiliging van je apparaat kwetsbaar worden.’
Alles kan, zo kun je een verdacht apparaat isoleren met zoiets als een firewall waardoor alleen vertrouwde protocollen/poorten toegestaan zijn met verhoogde dijkbewaking want de sociale controle in de jaren 70 ging om de buurvrouw achter de geraniums. Deze is vervangen door een goedkope Chinese IP camera waardoor waarschuwing over IoT wel leuk is als ik kijk naar Big Brother in Peking. Volledig up-to-date maar nog steeds zo lek als een mandje doordat de packets gerouteerd worden naar Shanghai schijnt cyberspionage de hype van 2024 te worden. Budgetverhoging van onze verplichting in NAVO verband zijn het spreekwoordelijke paard achter de wagen spannen, het touwtje van Dino worden de teugels voor toegang waarbij we het paard moeten vervangen door een hond.
Een voorbeeld:
een webprogramma, nodig: Linux, Apache, Mysql/Mariadb, PHP, java, javascript/jquery
wordt 1 van deze programma’s geupdated dan past het geheel niet meer bijelkaar en moet met verdere updates opnieuw een stabiele omgeving gemaakt worden.
Gevolg uitval van bedrijfssoftware van een halve tot meerdere dagen.
Door het sterk verhogen van de update-frequentie is een instabiele software-wereld ontstaan. Niet alleen bij Webapps ook lokaal, hoevaak crasht Windows-Update bedrijfssoftware, omdat het gebruikte databaseprogramm Mysql, SQLlite etc. etc. nog niet aan de MS-patches aangepast is. Vroeger had je 1 keer per jaar of per 3 jaar een paaar patches nu ieder half jaar patches of updates (Java – PHP).
Wat stabiliteit betreft is er eigenlijk geen vooruitgang te zien in de ICT eerder het tegendeel, OS400 of VaxVMS/Openvms draaide jaren zonder storingen en met heel weinig updates.
Automatische updates zijn een gevaar voor de continuiteit, eerst testen is beter maar kost veel uren, het mkb heeft die tijd niet.