Digitaal ondernemen

Software updates: nut en noodzaak

Ben je net lekker aan het werk op je computer, krijg je een pop-up dat er een update is. Je klikt de melding weg. Nu even niet! Herkenbaar? Toch is direct updaten van je systeem belangrijk, zeggen security specialisten Gijs Hollestelle van FalconForce BV en Jan Jaarsma van Secure Connection BV. Met updates repareer je onder andere kwetsbaarheden in je software. Zo verklein je de kans op digitale indringers.

Stel, je backup software draait naar tevredenheid. Updates installeren lijkt daarom niet nodig. Totdat het terugzetten van een belangrijk bestand uit een backup van vorige maand mislukt. Wat blijkt? Een update van enkele maanden geleden moest een cruciale fout in jouw backup software repareren. Door deze update te negeren ben je nu data kwijt.

Een ander voorbeeld. Een medewerker negeert al tijden een updatemelding van het besturingssysteem op zijn laptop. Sinds gisteren kan opeens niemand meer bij zijn bestanden en ligt je bedrijf plat. Na onderzoek blijken al je bestanden te zijn versleuteld door een cybercrimineel. Hij drong binnen via een kwetsbaarheid in het besturingssysteem op de genoemde laptop. Als je medewerker direct de hiertoe verspreide update had geïnstalleerd, dan zat je nu niet met een enorme schadepost! Het onderstreept meteen waarom je ook je medewerkers moet meenemen in het belang van direct updaten.

Wat is updaten?

Updaten is het actueel houden van je IT-systemen. Het gaat met name om de software die op deze systemen staat. Zoals je besturingssysteem, mailprogramma, webbrowser of website. Hierbij gaat het niet alleen om de computer die je dagelijks gebruikt. Ook als je een smartphone, tablet, router, server of andere slimme apparaten gebruikt, dien je deze up-to-date te houden. Zeker als de apparaten regelmatig of permanent aan het internet hangen.

Welke updates zijn er?

Er zijn ruwweg 2 soorten software updates. Een functionaliteitsupdate maakt je software stabieler, beter of mooier. Bijvoorbeeld: met een update van je favoriete webshop software is nu betaling via iDEAL mogelijk. Functionaliteitsupdates zijn bijna nooit urgent.

Een beveiligingsupdate (security patch) is vaak wel urgent. Die vergroot de veiligheid van je software door één of meer ontdekte kwetsbaarheden daarin te repareren (patchen). Stel het installeren van beveiligingsupdates daarom nooit uit.

Het is niet altijd in één oogopslag duidelijk om welk type update het gaat. Soms is het een mix van beide soorten. Het is daarom raadzaam beschikbare updates direct te installeren. Op die manier gebruik je altijd de beste en veiligste versie van je software.

Waarom is updaten belangrijk?

Updaten is in de eerste plaats nodig om met de nieuwste versie van je software te werken. Je beschikt dan over de nieuwste functionaliteiten en je krijgt ondersteuning van de leverancier. Leveranciers brengen namelijk geen updates meer uit voor zwaar verouderde software. Ook beantwoorden ze eventuele vragen over die software niet meer. Je werkt dan met software waar mogelijk fouten of kwetsbaarheden inzitten.

Daarnaast bevat alle software zwakke plekken. Vaak komt een digitale aanvaller langs die weg jouw bedrijf binnen. In januari 2020 kwam een gevonden kwetsbaarheid in Citrix software in het nieuws. Voor veel ondernemers is dit misschien een ver-van-mijn-bed-show. Dichter bij huis ontdekt men echter ook regelmatig zwakke plekken in veelgebruikte besturingssystemen zoals Windows.

Een voorbeeld uit de praktijk van hoe het niet moet is volgens Jaarsma een ondernemer in de bouw die nog steeds draait op Windows Server 2003. Deze versie is niet alleen zwaar verouderd, de leverancier biedt ook geen enkele ondersteuning, zoals updates, meer. Er zijn in de afgelopen jaren veel kwetsbaarheden ontdekt in deze software. Een cybercrimineel heeft hierdoor vrij spel op het bedrijfsnetwerk en steelt bijvoorbeeld data, zoekt naar financiële informatie of versleutelt alle bestanden. Qua functionaliteit volstaat de software wellicht nog steeds, maar qua veiligheid absoluut niet. Volgens Jaarsma komt hij helaas veel van dit soort voorbeelden tegen in zijn werk.

Door beschikbare updates direct te installeren, werk je altijd met de nieuwste en veiligste versie van je software. Je beschikt dan over de nieuwste mogelijkheden en houdt cybercriminelen buiten de deur.

Wat moet je allemaal updaten?

Letterlijk alles up-to-date houden is praktisch onmogelijk. Er zijn gewoon te veel systemen. Hollestelle raadt aan in risico’s te denken. Bepaal met een risico-inventarisatie welke systemen in jouw bedrijf het allerbelangrijkste zijn om altijd direct te updaten. Beveiligingsupdates gaan daarbij altijd vóór functionaliteitsupdates.

Het grootste risico ligt bij systemen die 24/7 aan het internet hangen. Bijvoorbeeld je website of je router. Een digitale aanvaller, waar ook ter wereld, kan dan de hele dag tegen je digitale voordeur trappen. Dit is zelden een gerichte aanval, maar vaak een schot hagel. Hij rammelt aan duizenden voordeuren tegelijk en komt binnen via de voordeur die toch al op een kier staat. Beveiligingsupdates voor dit soort systemen moet je dus altijd direct installeren.

Ook risicovol zijn systemen die regelmatig contact maken met het internet. Bijvoorbeeld je webbrowser. Als je ongewild op een gevaarlijke website komt, dan kan kwaadwillende software zoals ransomware (gijzelvirus) zich nestelen in jouw systeem. Zeker als dat systeem niet bij is met beveiligingsupdates. Ransomware komt veel voor en maakt al je bestanden onbenaderbaar. Vaak pas na betaling aan een cybercrimineel zijn je bestanden (hopelijk!) weer beschikbaar. Updates voor dit soort risicovolle systemen voer je dus ook zo snel mogelijk uit.

Hoe houd je je software up-to-date?

Leveranciers brengen regelmatig updates uit voor hun software. Die stellen ze beschikbaar aan gebruikers om te installeren op hun systemen. Bij moderne systemen gebeurt dat vaak automatisch en achter de schermen. De gebruiker hoeft niets te doen. Soms vereist het downloaden en installeren van updates een handeling of toestemming van de gebruiker. Dan krijg je vaak een melding, bijvoorbeeld via de bekende pop-up.

De belangrijkste tip van Jaarsma en Hollestelle is hierbij: Stel updates nooit uit. Neem het zekere voor het onzekere en installeer zowel functionaliteits- als beveiligingsupdates meteen. Doe dit zelf en zorg ervoor dat je medewerkers dit ook doen.

Samen met de overige tips van beide experts kom je zo een heel eind bij het up-to-date houden van de IT-systemen die jij gebruikt:

  • Focus allereerst op risicovolle systemen. Dat zijn de systemen die 24/7 aan het internet hangen. Zoals je website of webshop, maar ook je modem/router.
  • Kijk naar de tweede risicogroep: systemen die regelmatig contact maken met het internet. Denk aan je webbrowser, mailprogramma, maar ook je smartphone.
  • Besteed extra aandacht aan verouderde systemen. Leveranciers ondersteunen deze vaak niet meer met software updates. Voorbeeld: de eind 2019 verlopen ondersteuning van Windows 7. Vervang/upgrade deze oude systemen of ontkoppel ze permanent van het internet.
  • Zoek per systeem uit wie verantwoordelijk is voor het updaten: jijzelf, je ICT-partner, je softwareleverancier of toch je internetprovider? Het meest eenvoudig is aan de genoemde partijen te vragen bij wie de verantwoordelijkheid ligt. Laat je eventuele ICT-partner ook periodiek checken of alles up-to-date is en nog goed ingesteld staat.
  • Beperk de hoeveelheid IT-systemen. Dat geeft overzicht, maakt beheer eenvoudiger en verkleint het aantal kwetsbaarheden. Elk nieuw systeem is een mogelijk risico.
  • Werk zo veel mogelijk in de cloud. De verantwoordelijkheid voor het updaten ligt dan bij de leverancier en je werkt altijd met de nieuwste en veiligste versie van de software.
  • Voor software buiten de cloud: check of de instelling ‘automatisch updaten’ aanstaat. Vraag je softwareleverancier hoe dit moet of kijk op het internet (zoek bijvoorbeeld: “Windows automatisch updaten“). Bij moderne systemen staat de optie ‘automatisch updaten’ vaak standaard aan.
  • Kies altijd gerenommeerde leveranciers en volg hun advies over updaten op. Zorg er altijd voor dat ze jouw actuele contactinformatie hebben.
  • Heel praktisch: het is verstandig je IT-systemen regelmatig opnieuw op te starten. Dan weet je zeker dat alle updates goed verwerkt zijn. Dit geldt ook voor je tablet en smartphone.
Lees meer over digitaal ondernemen in het e-book Digitaal Ondernemen: mis de toekomst niet
Kelvin Klijnsma

Als KVK-adviseur volg ik de razendsnelle ontwikkelingen rond digitalisering en cybersecurity. Ik vertaal dit naar praktische tips om slimmer en veiliger te ondernemen. Deze tips deel ik via KVK.nl, e-books, nieuwsbrieven en social media.

InspiratiePage