Norea logo

Oude software aanpakken nodig voor cybersecurity

4 tips voor organisaties

Nalatig onderhoud van verouderde ICT (‘legacy’) is een van de onderwerpen in het rapport van de Algemene Rekenkamer ‘Staat van de rijksverantwoording 2019’ (gepubliceerd op 20 mei 2020). Uit het rapport blijkt dat bij ruwweg de helft van de ministeries niet voldoende kennis is over de staat van de ICT-systemen, wat het kost om ze in de lucht te houden en hoe groot het risico is op verstoringen.

Ook NOREA, de beroepsorganisatie van IT-auditors, constateert dat veel organisaties met dit probleem worstelen.

Voorzitter Irene Vettewinkel van NOREA: ‘Ik snap hoe aanlokkelijk het is om nieuwe wegen in te slaan. Vernieuwende – liefst ‘slimme’ – ICT-oplossingen, software en data in de cloud, algoritmes, noem maar op. Meegaan in de vaart der volkeren, uitstralen van daadkracht en demonstreren bij de tijd te zijn krijgen gemakkelijk voorrang. Wat mij bij dat alles enorme zorgen baart is dat dit doorgaans ten koste gaat van het onderhoud aan of vervanging van verouderde ICT – ook van de bedrijfskritische systemen. Beveiliging is dan het kind van de rekening’.

Tips voor organisaties om de legacy aan te pakken

Tip 1.
Wijs de functionaris aan die eindverantwoordelijk is voor tijdig upgraden van alle software, met extra aandacht voor de bedrijfskritische systemen. Immers, gedeelde of onduidelijke verantwoordelijkheid is geen verantwoordelijkheid.

Tip 2.
Zorg voor duidelijk omschreven en naar alle betrokken partijen uitgedragen beleid. Concretiseer het in een gedragskader, procesmodellen, verantwoordelijkheden en normen. Voorbeeld van een norm is: de systemen X, Y en Z mogen maximaal één versie achterlopen op de nieuwste versie.

Tip 3.
Zorg voor een signaleringsysteem dat tijdig aangeeft wie wat wanneer moet doen om de software up-to-date te houden. Regel ook mechanismen voor escalatie bij problemen in het upgradeproces.

Tip 4.
Maak onderhoud van bestaande software, en zeker ook de legacy-systemen, onderdeel van de reguliere kaders voor monitoring van en rapportage over de bedrijfsvoering tot en met het c-level.

Noodzaak

Verouderde software (‘legacy-systemen’) vormt een serieuze bedreiging voor de informatieveiligheid en de betrouwbaarheid van (kritische) bedrijfsprocessen en daarmee voor de dienstverlening van een organisatie (zie ‘Risico’s van legacy-systemen’ verderop). Tegelijkertijd zijn ze een blok aan het been waar vaak structureel van wordt weggekeken. Organisaties waar deze systemen ruwweg de helft van de softwaresystemen uitmaken zijn geen uitzondering. Aanpakken van deze legacy moet maar al te vaak wijken voor de zorgen van alledag en de drang tot vernieuwing. Het achterstallige onderhoud vormt samen met de bijbehorende risico’s een gevaarlijke mix.

Risico’s van legacy-systemen

  • Tekortschietende beveiliging. Voor legacy-systemen komen geen beveiligings-patches beschikbaar. Dit maakt ze kwetsbaar voor cyberaanvallen. Als ze op verouderde besturingssystemen draaien zijn bovendien de meer recente, superieure beveiligingsmogelijkheden niet beschikbaar.
  • Niet beschikbaar zijn. Legacy-systemen vereisen doorgaans ICT-componenten waarop leveranciers geen onderhoud meer leveren. Dit betreft al evenzeer verouderde besturingssystemen en vaak ook verouderde hardware. Onderdelen zijn mogelijk niet meer verkrijgbaar en vervanging van incourant geworden hardware is al snel een onmogelijke opgave.
  • Belemmering strategische innovatieprogramma's. Het in de lucht houden en veilig houden van Legacy-systemen kost onevenredig veel inspanning. Hoe meer aandacht en geld wordt besteed aan het zorgenkind legacy, hoe minder er overblijft voor strategische innovatie.
  • Geen of kostbare leveranciersondersteuning. Leveranciers geven geen standaardondersteuning op legacy-software. Een organisatie die fouten in een legacy-systeem wil laten herstellen of functionaliteit wil laten toevoegen moet deskundige, dus kostbare deskundigheid inhuren.