Den store amerikanske lekkasjen av persondata fra Equifax er et eksempel på hvor ille det kan gå når patch-styringen i en organisasjon ikke fungerer. Det danske nettstedet Version2 siterte i forrige uke The Register på at det ifølge den tidligere direktøren for bedriften, var en manglende kommunikasjon fra én enkelt medarbeider som førte til at en Apache Struts-patch ikke ble installert.
Den manglende patchen etterlot et hull i systemene, og dette kunne hackere komme inn gjennom. Resultatet ble at 140 millioner amerikanere fikk blottlagt ulike personopplysninger.
Omfanget av datalekkasjen hos Equifax er usedvanlig stor. Men det er ikke noe usedvanlig ved at organisasjoner har dårlig kontroll på patch-rutinene sine.
Jørgen Sørensen er partner og leder av cyber security-avdelingen i den danske avdelingen av revisjons- og konsulentbedriften PricewaterhouseCoopers (PwC). Han vurderer at over halvparten av bedriftene ikke har en effektiv prosess for patch-administrering.
– Hvis man hadde orden på dette i alle bedrifter, ville vi oppleve en reduksjon på rundt 80 prosent av vellykkede hackerangrep, forteller han.
Lite effektiv patche-prosess
Jørgen Sørensen poengterer at hackerne i de aller fleste tilfellene kommer inn via allerede kjente, men ikke reparerte sikkerhetshull.
Årsaken til at organisasjoner i stor grad opplever problemer med patch-styring, er ifølge Jørgen Sørensen at det i realiteten ikke er implementert tilstrekkelig effektive prosesser på dette området.
– Så hvorfor fungerer ikke patch-styringen? Det er ganske enkelt fordi man ikke har patch-styring.
Han påpeker at det i «styring» i patch-styring nettopp ligger et signal om at det finnes noen styrte prosesser i forhold til å få patchingen på plass.
Det innebærer for eksempel at når den patch-ansvarlige tar ferie, skal det finnes en rutine som sikrer at noen andre overtar.
– Hvis man fulgte en rutine for patch-administrering, vet man jo veldig godt at man skal kunne overføre ansvaret til en backup-person, sier Jørgen Sørensen.
Må ikke stoppe i innkurven
Helt nede på bakkeplan innebærer det også at når en programvareleverandør sender ut en beskjed om at det er dukket opp en kritisk sårbarhet som må patches, så må denne beskjeden helst ikke stoppe i innkurven hos en enkelt person som kanskje er syk eller på ferie.
En løsning kunne være å sørge for at bulletiner om kritiske sårbarheter havner i et system – for eksempel i en felles innkurv hos it-avdelingen, slik at flere får mulighet til å ta seg av saken.
Jørgen Sørensen bemerker i den forbindelsen at det altså ikke er nok at det finnes en teoretisk mulighet for at noen tar seg av at det som må patches. Det må også følges opp hvorvidt det faktisk blir gjort.
– En styringsprosess innebærer også at noen følger opp om tingene er utført.
En avveining
Som med så mye annet, er det også et stort element av avveining tilknyttet patch-administrering. Noen patcher er kort sagt mer kritiske for firmaet enn andre. Og samtidig kan patching innebære nedetid.
Og hvis det er snakk om en superkritisk patch som lukker et sikkerhetshull som vil kunne sende bedriften ned for telling hvis det blir utnyttet, kan det kanskje være fornuftig å akseptere en halv times nedetid framfor et drastisk fall i årsresultatet.
Jørgen Sørensen nevner et annet eksempel på avveining som kan bestå i ganske enkelt å sette opp et system opp slik at det automatisk installerer oppdateringer, hvis det i en periode ikke er noen til stede for å installere oppdateringene.
Han forteller at det ganske sikkert kan innebære at noen systemer slutter å fungere i forbindelse med en oppdatering, men at det likevel kan være et bedre alternativ enn et vellykket hackerangrep.
Patch-administrering og ressurser
Patch-styring er som så mye annet et spørsmål om ressurser. Jørgen Sørensen mener at it-avdelingene generelt ikke får tilført de tiltrengte ressursene slik at de står i forhold til de økte cybertruslene og digitaliseringen i organisasjonen. Denne digitaliseringen gjør samtidig bedriftene sårbare overfor cyberangrep, og spesielt hvis systemene ikke blir patchet.
– Hovedproblemet er at it-avdelingene til tross for digitaliseringen i bedriftene også har måttet skjære ned for å spare penger. I dag drives mange kritiske it-systemer av altfor få mennesker, og derfor har man havnet i en situasjon der man har en grad av personavhengighet, sier han, og legger til:
– Det kunne på sett og vis vært greit, hvis it-avdelingene samtidig hadde fått noen midler til å digitalisere selv. Altså til noen systemer for patch-styring, slik at man ikke var så personavhengig, og kunne automatisere prosessen omkring dette.
Så hva med bedriften din? Hvordan sikrer du at en kritisk oppdatering til for eksempel CMS-en blir installert raskest mulig?
Les også: MacOS-feil avslører passord i stedet for å vise hintet til passordet (Version2.dk)
Artikkelen ble først publisert på Version2.dk