Patch management maakt systemen minder kwetsbaar


Cyberaanvallen, softwarestoringen en niet functionerende apparatuur. Kwetsbaarheden in software en hardware van systemen zijn niet altijd even duidelijk, kunnen onverwacht misbruikt worden en kosten dan veel geld. Leveranciers verhelpen deze kwetsbaarheden vaak in updates van de software, maar het uitrollen van deze updates is vaak een complex en risicovol proces. Actemium heeft veel ervaring met Patch management. Graag leggen we uit wat wij eronder verstaan en hoe wij onze klanten kunnen adviseren en ondersteunen.
Life cycle management is in de industrie een bekend begrip. Ook wij als Actemium hebben onze eigen aanpak voor de verschillende fasen van een levensduur, waarbij we adviseren, ontwerpen, bouwen en onderhouden. Ook de ISO20000-norm en de ISO55000-norm gaan respectievelijk over het beheer van IT-systemen en asset management.
Verschillende soorten onderhoud
Wat in alle life cycle managementsystemen voorkomt zijn de factoren operate en maintain. Want groot belang wordt gehecht aan het laten draaien en het onderhouden van de installaties. De focus in de industrie ligt echter vooral op het onderhouden van mechanische onderdelen als pompen, lopende banden, mengsystemen of andere machines. Minder aandacht wordt bewust of onbewust besteed aan het onderhoud en draaiende houden van software. En als er al aandacht aan wordt gegeven, betreft het vaak slechts het maken van back-ups of het opruimen van oude data.
Of het nu gaat om besturingssoftware als Windows of Linux of om basisapplicaties als SQL Server, .NET of Java Runtime, ze zijn van cruciaal belang bij het draaiende houden van veel processen. Maar ook aan standaardapplicaties voor SCADA en MES en firmware voor SIS, HMI, PLC’s, switches en firewalls, wordt relatief weinig aandacht besteed. Terwijl juist daar veel bekende kwetsbaarheden in voorkomen, die door malware eenvoudig uitgebuit kunnen worden.
Net als bij mechanisch onderhoud, kent ook het onderhoud van software verschillende niveaus van volwassenheid. Zo is er het reactieve onderhoud, het incidentele onderhoud wanneer er een noodzaak is. “If it ain’t broken, don’t fix it”, is de welbekende uitspraak die hierbij hoort. Daarnaast kennen we het beheerste onderhoud, waarbij de onderhoudsactiviteiten periodiek en procesmatig worden uitgevoerd. Tot slot is er het proactieve onderhoud. Bij deze vorm van onderhoud wordt echt goed gekeken of en wanneer onderhoud nodig is en wanneer updates nodig zijn. Er worden bewuste keuzes gemaakt.
Helaas zien we dat in sommige branches van de industrie vooral reactief onderhoud wordt uitgevoerd. Ondanks de gevaren die toch echt reëel zijn. Niet voor niets horen we achteraf van steeds meer van onze klanten dat ze betrokken zijn geweest bij cybersecurity incidenten. Dat ondernemingen hier niet altijd mee naar buiten komen, betekent niet dat cyberaanvallen niet veelvuldig voorkomen.
Gevallen die bekend zijn op het gebied van cybersecurity, zijn bijvoorbeeld:
- NotPetya-aanval in 2017. Bedrijven als Merck, MSD, FedEx, TNT, Saint-Gobain en APM Mearsk werden getroffen. De schade liep op tot een totaal van 10 miljard euro. En nog steeds zijn er bedrijven die de update hiertegen niet uitgerold hebben!
- Ukrain Power Grid aanvallen in 2015 en 2016 (BlackEnergy en Industroyer)
- Norsk Hydro aanval in 2019, waarbij de schade in de eerste week alleen al 40 miljoen euro was.
- Zelfs Safety Instrument Systems (SIS) zijn niet altijd bestand tegen aanvallen (Triton malware in 2017)
Updates zijn van groot belang

Genoemde aanvallen kunnen in de meeste gevallen voorkomen worden, wanneer de software van systemen actueel blijft!
Naast het beveiligen tegen cyberaanvallen, is het regelmatig bijhouden van updates ook van belang voor de continuïteit van processen. Zijn er problemen met een applicatie? Werkt een koppeling niet goed? Grote kans dat de leverancier dit al verholpen heeft in de laatste update. Waarschijnlijk zijn de problemen dan ook voorbij als de update is uitgevoerd.
Loop je achter met de updates? Dan riskeer je dat de leverancier geen support meer verleent en dat een update/hotfix niet werkt. Achterlopen met updates resulteert regelmatig in een volledige herimplementatie, omdat de upgrade, ook financieel gezien, niet meer uitvoerbaar is.
Kortom, de impact en kosten van gestructureerd updaten zijn minder groot dan volledig opnieuw installeren, gezien de tijd en stilstand die dit kost. Nog los van de cybergevaren die gelopen worden, bij niet regelmatig updaten.
Patch management voorkomt problemen
De ISA-62443 standaard beschrijft in deel 2-3 de levenscyclus van een patch of update. Hierbij wordt uitgegaan van het ontwikkelen en beschikbaar komen van een patch, maar ook het valideren en installeren bij de eindgebruiker. Vaak komen we deze zogenaamde gap tegen: na vrijgave door de leverancier moet de patch nog wel in beeld komen bij de klant en getest worden alvorens hij uitgerold kan worden.
Patch management helpt om gestructureerd met updates om te gaan en zorgt voor veiligheid en een waarborging van de continuïteit.
Met Actemium van beheerst naar proactief systeemonderhoud
Actemium heeft ruime ervaring met Patch management op beheerste wijze. Wij ondersteunen onze klanten graag met het opstellen van protocollen, of adviseren hoe bepaalde updates uitgevoerd moeten worden. Soms kiest de klant ervoor de uitrol zelf te doen. In andere gevallen verzorgt Actemium dit.
Maar Actemium een stap verder! Met de Industrial Patch Management dienst trekt Actemium het level van het bijgewerkt houden van systemen tot een nieuw niveau, namelijk proactief.
Bij deze dienst brengen wij uw Asset Inventory volledig in kaart en benaderen wij u proactief met advies voor de voor u belangrijke kwetsbaarheden en beschikbare updates of patches. Wij screenen dagelijks de beschikbare databases en websites op nieuwe ontwikkelingen. We melden direct wanneer er belangrijke informatie is die specifiek voor uw situatie of assets van toepassing zijn.
Dit biedt u de mogelijkheid om op basis van actuele en accurate data de juiste keuzes en beslissingen te nemen.
Hiermee dicht Actemium de gap tussen het beschikbaar komen van een patch en de op u toegespitste mogelijkheden van die patch! Wij vormen de link tussen de leveranciers met hun patches en uw specifieke situatie.
Uiteraard kan Actemium ondersteuning bieden bij alle onderdelen van Patch management en het uitrollen van updates.
Meer weten over proactief onderhoud
Wilt u meer weten over dit partnerschap of over de organisaties? Neem dan contact op met ons of vul het contactformulier in.
Patch management in vier stappen
Hoe ziet patch management eruit? We leggen het uit in vier stappen.
- Asset Inventory: wat heb ik staan?
- Vulnerability Repository: welke gevaren loop ik, wat zijn mijn kwetsbaarheden?
- Released: welke patches en updates zijn beschikbaar?
- Welke kwetsbaarheden zijn van toepassing voor mijn systemen?
- Welke patches en updates zijn specifiek beschikbaar voor mijn systemen?
- Kwetsbaarheden
- Patches/updates
- Beschikbaarheid
Wanneer de stappen 1. tot en met 3. zijn uitgevoerd zal een protocol opgesteld moeten worden. In dit protocol staat duidelijk vermeld hoe de updates worden uitgerold.
Stap 1 Inventarisatie
- Asset Inventory, wat heb ik staan?
- Computers, netwerkcomponenten, automatiseringscomponenten (PLC, DCS, VFD, RTU, HMI etc.), virtuele systemen. Kortom alles met een connectie als Ethernet, Profibus, Modbus etc.
- Air-gapped systemen, ook aan deze systemen wordt gewerkt, weliswaar met een vertraagde connectie, maar ook hier kan een engineer een laptop aankoppelen met alle risico’s van dien.
- Alle software die aanwezig is op systemen
Het opbouwen van de Asset Inventory kan grotendeels automatisch worden uitgevoerd door het inzetten van de oplossingen van Nozomi Networks (zie ons eerdere artikel: klik hier).
- Vulnerability Repository, welke gevaren loop ik, wat zijn mijn kwetsbaarheden?
- Hier zijn databases en websites voor (bijvoorbeeld van het US Department of Homeland Security: klik hier)
- Wat is de zogenoemde CVSS-score (Common Vulnerability Scoring System), waarmee de ernst wordt aangegeven.
- Released, welke patches en updates zijn beschikbaar
- Iedere softwareleverancier heeft hier zijn eigen methodiek voor. Overzichten van patches en updates zullen dus op verschillende manieren opgevraagd moeten worden.
Stap 2 Mapping
Wanneer de inventarisatie van assets, kwetsbaarheden en patches en updates heeft plaatsgevonden moet het volgende in kaart gebracht worden:
- Welke kwetsbaarheden zijn van toepassing voor mijn systemen?
- Hoe worden de systemen gebruikt? Als er een kwetsbaarheid in een webportal zit, maar die portal is uitgeschakeld, dan is de kwetsbaarheid minder of niet relevant.
- Welke patches en updates zijn specifiek beschikbaar voor mijn systemen?
Stap 3 Afwegingen maken
- Kwetsbaarheden
- Hoe belangrijk zijn die kwetsbaarheden, wat is het risico en de impact? Wat als een systeem (oven, lopende band, koeltoren) uitvalt? Is dat eenvoudig op te vangen?
- Wat is de kans dat de kwetsbaarheid benut wordt? Er zijn sites om te kunnen beoordelen wat de kans is. Bijvoorbeeld:
- ICS-CERT/CISA
- NIST Vulnerability Database (NVD)
- CVE (Common Vulnerabilities and Exposures) by Mitre
- Security Advisories of suppliers
- Is er een patch voor deze kwetsbaarheid?
- Hoe snel moet ik reageren? Zo snel mogelijk, binnen 24 uur? Of kan het ook bij het volgende groot onderhoud? Als leidraad kan hiervoor de CVSS-score gebruikt worden.
- Patches/updates
- Hoe kan het getest worden?
- Hoe kan het risico bij implementatie geminimaliseerd worden?
- Heeft de patch invloed op de compatibiliteit met engineeringssoftware van derden, is er wel ondersteuning door de leverancier?
- Is de patch of update alleen voor nieuwe functionaliteiten of juist voor het dichten van kwetsbaarheden? Dit geeft de urgentie van een patch of update aan.
- Wat is erger, stilstand vanwege het niet goed uitvoeren van de patch, of de kans op het benutten van de kwetsbaarheid door kwaadwillenden?
- Beschikbaarheid
- Wat als er geen patch is en er wellicht ook niet komt? Dan staat in de vulnerability melding altijd wel een advies hoe de kwetsbaarheid te beperken of mitigeren is.
Stap 4 Protocol
Wanneer de stappen 1. tot en met 3. zijn uitgevoerd zal een protocol opgesteld moeten worden. In dit protocol staat duidelijk vermeld hoe de updates worden uitgerold.
- Hoe wordt getest en gevalideerd
- Risico- en impactbepaling van de uitrol
- Planning
- Gedetailleerd uitrolplan
- Wie doet wat?
- Back-up/fallback procedures
- Afstemming support van leveranciers
- Informeren gebruikers
- Management of Change procedure, wanneer in te zetten
- Wijze van documenteren hoe alles verloopt
Bij voorkeur wordt hier een vast protocol (template) voor gebruikt.
Meer weten of advies?
Wij zijn benieuwd hoe u over het updaten van systemen denkt en denken er graag over mee!
Stel daarom uw vraag.
Wij vinden het van belang dat zorgvuldig wordt omgegaan met jouw persoonsgegevens. Daarom hebben wij in ons privacystatement voor je uiteengezet hoe wij met jouw persoonsgegevens omgaan en welke rechten je hebt. Via bovenstaande checkbox geef je akkoord op het verwerken van jouw persoonsgegevens.
De resultaten die we samen met onze klanten hebben bereikt
Na zes jaar trouwe dienst namen we afscheid van onze Renault Kangoo Diesel bij de Elektro Technische Dienst (ETD) op Zeeland Refinery.
We verwelkomen de volledig elektrische Opel Combo-e die gaat ondersteunen bij onze technische dienstverlening op locatie.
“Behalve moderniseren wilden wij ook meer standaardiseren en het operationele beheer efficiënter gaan organiseren.”
Het is een ambitieuze uitspraak van Joop Wervers. Een uitspraak gedaan vanuit de volle overtuiging dat duurzaam ondernemen allang geen ‘nice-to-have’ meer is. De afgelopen jaren is er hard gewerkt aan het verduurzamen van de processen in eigen huis.