Het regelmatig updaten van software is erg belangrijk. Wist u dat er sprake kan zijn van een datalek in uw organisatie doordat derden gebruik kunnen maken van een bekende kwetsbaarheid in niet geüpdatete software? Dat lijkt wellicht een ver-van-mijn-bed-show, maar voor een aantal Nederlandse bedrijven is dat nu realiteit. Gebruikt uw organisatie VPN-software van Fortigate of Pulse Secure? Check meteen de beschikbare updates!
VPN en beveiligingsupdates
Veel organisaties gebruiken een VPN (Virtual Private Network) om thuiswerkers veilig te laten inloggen op de netwerkomgeving van de organisatie.
VPN-diensten worden door de organisatie in de regel ingekocht bij een externe partij (de VPN-provider). Deze stelt een account ter beschikking en VPN-software. De software wordt door de organisatie gedownload en geïnstalleerd op haar IT-omgeving.
Zo nu en dan zal de VPN-provider een update van de software beschikbaar maken. Bijvoorbeeld omdat er een kwetsbaarheid in de software is ontdekt. Dan is het zaak dat de organisatie het lek dicht met die beveiligingsupdate. Is de kwetsbaarheid in de software bekend maar wordt er niet geüpdatet? Dan word je als organisatie een sitting duck voor hackers.
Zo zat er een kwetsbaarheid in de software van VPN-providers Fortigate en Pulse Secure. Deze maakten in respectievelijk mei 2019 en april 2019 beveiligingsupdates beschikbaar om het lek te dichten.
Veel bedrijven hebben beveiligingsupdates niet uitgevoerd
In augustus werd door onderzoekers bekendgemaakt dat er een kwetsbaarheid in de oude versies van Fortegate en Pulse Secure zit. De kwetsbaarheid (en hoe je daarvan gebruik kunt maken) is nu dus algemeen bekend. Dat wil zeggen dat hackers zich via die verouderde software redelijk eenvoudig toegang kunnen verschaffen tot de VPN-omgeving.
Vorige week maandag publiceerde BNR het bericht dat tientallen bedrijven en organisaties in Nederland de beveiligingsupdates van VPN-diensten Fortigate en Pulse Secure nog niet hebben uitgevoerd. Zij maken dus nog gebruik van de oude versie van de software, let wel: de oude versie met de kwetsbaarheid. Het gaat daarbij om: “beursgenoteerde bedrijven, een AEX-bedrijf en Midcap-bedrijven, grote mediabedrijven, financiële dienstverleners, industriële spelers en zelfs overheidsinstanties”. Deze organisaties zijn daarmee zeer kwetsbaar voor aanvallen van hackers. Extra zorgwekkend is de mededeling van onderzoeker Ralph Moonen dat het beveiligingslek actief gebruikt wordt.
BNR geeft aan een lijst te hebben van bedrijven die nog niet geüpdatet hebben, maar die is uiteraard niet openbaar gemaakt.
Controleer uw software-updates
Gebruikt uw organisatie VPN-diensten van Fortigate of Pulse Secure? Controleer of de software is geüpdatet. Überhaupt is het goed om regelmatig na te gaan of het patch management beleid (en proces) nog goed lopen. Dit is onderdeel van de technische en organisatorische beveiligingsmaatregelen die organisaties onder de AVG moeten nemen.
Nog een laatste opmerking. Soms vergeten organisaties updates te draaien of hebben ze het bestaan/gebruik van de software niet meer goed op het netvlies. Maar dit is niet altijd de oorzaak dat een update wordt uitgesteld. Een IT-omgeving kan een ingewikkeld monster zijn. Soms blijkt uit een impact analyse dat een update ervoor zorgt dat (maatwerk) functionaliteiten of andere applicaties niet meer of niet meer goed werken. Het gevolg: de bedrijfsvoering kan worden verstoord. Dat kan vaak worden opgelost (al dan niet tijdelijk) maar dat kost tijd en mankracht.
Neem contact op