Met de komst van de NIS2-richtlijn worden de eisen voor cyberveiligheid in Europa flink aangescherpt. Organisaties die hun systemen niet up to date houden, zijn kwetsbaar en lopen grote risico’s. Hoe zorg je ervoor dat je systemen up to date zijn en het patchmanagement op orde is, vooral in complexe IT- en OT-omgevingen? Lees deze waardevolle tips in de Oktober Cybersecurity Maand.
17 oktober 2024 was een belangrijke datum voor iedereen die met cybersecurity te maken heeft. Op die dag moest de NIS2-richtlijn door de EU-lidstaten in nationale wetgeving zijn omgezet. Even recapituleren: de Network and Information Security Directive 2 is een aanscherping van de NIS-richtlijn. Meer organisaties gaan onder deze wetgeving vallen, die ook nog eens scherpere eisen stelt aan de beveiliging van netwerken en informatiesystemen. Doel is om de cyberveiligheid van essentiële diensten en digitale infrastructuren beter te kunnen waarborgen. De digitale weerbaarheid ten opzichte van cyberaanvallers moet versterkt worden en de nieuwe wetgeving gaat bedrijven en instellingen in de juiste richting duwen.
De Nederlandse regering heeft al aangegeven dat zij de deadline van 17 oktober niet haalt. De Nederlandse wet gaat de Cyberbeveiligingswet (Cbw) heten en zal nu naar verwachting tussen april en september 2025 in werking gesteld worden. Dit neemt niet weg dat organisaties die onder de NIS2-richtlijn vallen, aan de nieuwe eisen moeten voldoen. De ontwerptekst van de wet is reeds beschikbaar, dus waarom zou je dat niet willen als organisatie?
Patchmanagement
Een belangrijke component hierbij is het patchmanagement. Patchen is het up-to-date houden van software of firmware door beveiligingsupdates en optimalisaties toe te passen. Organisaties die aangemerkt zijn in de NIS2, en straks dus de Cbw, moeten daarom beschikken over robuuste procedures voor het tijdig patchen van hun systemen. Dit helpt om geconstateerde beveiligingslekken tijdig te dichten, in ieder geval voordat cyberaanvallers deze kunnen benutten.
Kijken we naar NIS2, dan zijn er verschillende aanknopingspunten aan de hand waarvan je als organisatie het patchen meer prioriteit en meer aandacht kunt geven. Zo biedt de richtlijn handvatten om het risicomanagement in kaart te brengen en word je geacht incidenten te rapporteren. Is het patchbeleid niet op orde, dan loop je meer risico’s en in geval van een incident zul je dit kenbaar moeten maken. Het IT-landschap is omvangrijk en divers, wat patchen lastig en tijdrovend maakt. Automatiseren ligt voor de hand, tools zijn hiervoor beschikbaar. Hoewel dit zorgt voor meer efficiency en minder menselijke interventie, is dit niet de ultieme oplossing.
Complexiteit van de IT-infrastructuur
Patchen is dan ook niet zo eenvoudig is als het lijkt. De complexiteit van de IT-infrastructuur is toegenomen. Daarnaast beschikken veel organisaties nog over legacysystemen, die moeilijk te patchen zijn. Waar een poging wordt ondernomen, kunnen er compatibiliteitsproblemen optreden. Ten slotte hebben veel organisaties moeite om genoeg menskracht vrij te maken, waardoor tijdig patchen onder druk komt te staan. Door de workload die patchen toevoegt ontstaat terecht de wens patchen te automatiseren. Echter, we zagen in de CrowdStrike casus dat een automatische update in live omgevingen ook desastreuze gevolgen kan hebben. Je moet als organisatie altijd voor ogen houden dat patchen implicaties kan hebben op de hardware.
Patchen in de OT-omgeving
De uitdagingen rondom patchen zijn in de omgeving van Operationele Technologie (OT) nog forser. OT-systemen, zoals die in productie, energie en andere kritieke infrastructuren, draaien 24/7 en kunnen niet zonder gevolgen worden stilgelegd voor onderhoud of updates. Een korte onderbreking kan leiden tot verstoringen in de productie, verlies van inkomsten of veiligheidsrisico’s. Het stilleggen van deze systemen voor patching moet daarom zorgvuldig worden gepland, wat in de praktijk zelden op korte termijn kan. Gevolg is dat het patchen wordt uitgesteld, wat grote risico’s met zich mee brengt. Daar komt bij dat juist in de OT-omgeving er veel sprake is van legacysystemen, die ooit ontwikkeld zijn zonder rekening te houden met security. Ten slotte moeten we constateren dat veel OT-systemen in geïsoleerde ruimtes gesitueerd zijn. Deze zijn soms beperkt of helemaal niet verbonden met het internet, wat het doorvoeren van patches op afstand lastig maakt. Je moet als operator of IT-engineer fysiek naar de hardware om het werk uit te voeren. Dit kost tijd, die er niet is als je cyberaanvallers buiten de deur wil houden.
Risicogestuurd patchen
We kunnen niet met één maatregel de complexiteit van patchen in de OT wegnemen. We kunnen er wel voor zorgen dat je veel gerichter kunt patchen en dat is door risicogestuurd te werk te gaan. Dit concept heeft twee dimensies:
- Dimensie 1: Je brengt in kaart wat de belangrijkste assets zijn in de infrastructuur: applicaties, netwerken, productiefaciliteiten, etc. De focus komt op het patchen van hardware, software of machines die onmisbaar zijn voor de businesscontinuïteit.
- Dimensie 2: Je gaat systemen patchen op basis van de mate van risico dat een specifieke kwetsbaarheid of dreiging vormt voor de organisatie. In plaats van simpelweg alle beschikbare patches blindelings toe te passen, kijk je met deze risicogestuurde aanpak naar welke kwetsbaarheden het grootste potentiële gevaar vormen.
Patchmanagement is een cruciaal onderdeel van NIS2 en vereist een risicogestuurde aanpak om de juiste prioriteiten te stellen in een complexe IT- en OT-omgeving. Organisaties moeten nu stappen zetten om hun patchbeleid te optimaliseren en risico’s in kaart te brengen. Wacht niet tot de Cbw in Nederland in werking treedt, maar ga aan de slag met de genoemde dimensies.
Dit is een ingezonden bijdrage van Thales. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.