Blog door Bas Marquering
Tot mijn verbazing zag ik de afgelopen week op verschillende grote mediaplatformen berichten verschijnen over kwetsbaarheden in systemen om thuis te kunnen werken. De systemen, onder meer van fabrikanten Fortinet en Pulse Secure, konden misbruikt worden om de inlognamen en wachtwoorden van thuiswerkende gebruikers te achterhalen. Deze gegevens konden vervolgens gebruikt worden om toegang te krijgen tot de interne netwerken van grote bedrijven.
Voor de meeste specialisten in het vakgebied security, was dit oud nieuws. Deze lekken zijn aan het begin van dit jaar al ontdekt. En ondanks dat deze lekken lange tijd ‘onder de pet’ werden gehouden door de verantwoordelijke bedrijven, zijn de oplossingen hiervoor al geruime tijd beschikbaar. Bij een goed lopend proces van het doorvoeren van patches en updates, zouden deze oplossingen voor het probleem dan ook al lang geïnstalleerd zijn.
Grote bedrijven handelen te langzaam
Het opzienbarende van de berichtgeving in de media vond ik vooral dat grote bedrijven, die bijdragen aan de kritieke infrastructuren van ons land, het niet voor elkaar lijken te krijgen om deze (kritieke) patches snel door te voeren op hun infrastructuur. En dat er, weken na het bekend worden van deze kwetsbaarheden, nog steeds systemen waren die via deze lekken misbruikt konden worden.
Voorkom paniek in de media
Hieruit blijkt maar weer dat het patch- & updateproces nog altijd niet goed ingebed is in organisaties van diverse groottes. Voor kwetsbaarheden van dit kaliber is het echt noodzakelijk om snel te kunnen handelen en zonder vertraging de nodige pleisters te plakken. Een goed proces zorgt ervoor dat de IT-manager erop kan vertrouwen dat een infrastructuur veilig is en dat er geen paniek uitbreekt als er weer door de media geschreven wordt over het zoveelste ernstige datalek. Want lekken zullen we voorlopig nog wel even tegenkomen…
Bas geeft op het kennisevent cybersecurity en datalekkage de themasessie Inzicht in beveiligingsrisico’s en concrete oplossingen. Klik hier voor meer info en aanmelden voor het kennisevent op dinsdag 10 maart 2020.
Bas Marquering
Security Consultant