Software updates: beperk digitale risico’s met 1 muisklik

Met updates repareer je kwetsbaarheden in je software. Update je niet? Dan lopen je ICT-systemen het risico besmet te raken met schadelijke software zoals ransomware.

Wat is updaten?

Updaten is het actueel houden van je IT-systemen. Het gaat met name om de software die op deze systemen staat. Denk aan je besturingssysteem, mailprogramma, webbrowser of website. Hierbij gaat het niet alleen om de computer die je dagelijks gebruikt. Ook je smartphone, tablet, router, server of andere slimme apparaten moet je up-to-date houden. Zeker als de apparaten in verbinding met het  internet staan.

Welke updates zijn er?

Er zijn twee soorten software updates. Een functionaliteitsupdate maakt je software stabieler, beter of mooier. Bijvoorbeeld: met een update van je favoriete webshop software is nu betaling via iDEAL mogelijk. Functionaliteitsupdates zijn bijna nooit dringend.

Een beveiligingsupdate, oftewel security patch, is vaak wel dringend. Die repareert kwetsbaarheden in je software, dit noem je ook wel 'patchen'. Stel het installeren van beveiligingsupdates daarom nooit uit maar installeer beschikbare updates direct. Op die manier gebruik je altijd de beste en veiligste versie van je software.

Waarom is updaten belangrijk?

Door beschikbare updates direct te installeren, werk je altijd met de nieuwste en veiligste versie van je software. Leveranciers brengen geen updates meer uit voor zwaar verouderde software. Ook beantwoorden ze eventuele vragen over die software niet meer. Je werkt dan met software waar mogelijk fouten of kwetsbaarheden in zitten.

Alle software heeft zwakke plekken. Vaak komt een digitale aanvaller via zo'n zwakke plek je bedrijf binnen. Een voorbeeld uit de praktijk van hoe het niet moet is volgens Jaarsma een ondernemer in de bouw die nog steeds werkt met een Windows Server 2003. "Deze versie is niet alleen zwaar verouderd, de leverancier biedt ook geen enkele ondersteuning, zoals updates, meer. Er zijn in de afgelopen jaren veel kwetsbaarheden ontdekt in deze software. Een cybercrimineel heeft hierdoor vrij spel op het bedrijfsnetwerk en steelt bijvoorbeeld data, zoekt naar financiële informatie of versleutelt alle bestanden." Jaarsma komt helaas veel van dit soort voorbeelden tegen in zijn werk.

Wat moet je allemaal updaten?

Hollestelle raadt aan in risico’s te denken. Bepaal met een risico-inventarisatie welke systemen in je bedrijf het allerbelangrijkste zijn om altijd direct te updaten. Beveiligingsupdates gaan daarbij altijd voor functionaliteitsupdates.

Het grootste risico ligt bij systemen die 24/7 met het internet verbonden zijn. Bijvoorbeeld je website of je router. "Een digitale aanvaller, waar ook ter wereld, kan dan de hele dag tegen je digitale voordeur trappen", zegt Hollestelle. "Dit is zelden een gerichte aanval, maar vaak een schot hagel. Een cybercrimineel rammelt aan duizenden voordeuren tegelijk en komt binnen via de voordeur die toch al op een kier staat." 

Ook risicovol zijn systemen die regelmatig contact maken met het internet, zoals je webbrowser. Als je ongewild op een gevaarlijke website komt, kan schadelijke software zoals ransomware binnen komen in je systeem. Ransomware zet al je bestanden op slot. Vaak pas na betaling aan een cybercrimineel krijg je weer toegang tot je bestanden. Updates voor dit soort risicovolle systemen voer je dus ook zo snel mogelijk uit.

Hoe houd je je software up-to-date?

Leveranciers brengen regelmatig updates uit voor hun software. Die stellen ze beschikbaar aan gebruikers om te installeren op hun systemen. Bij moderne systemen gebeurt dat vaak automatisch en achter de schermen. De gebruiker hoeft niets te doen. Soms is voor het downloaden en installeren van updates een handeling of toestemming van de gebruiker nodig. Dan krijg je vaak een melding, bijvoorbeeld via de bekende pop-up. Let goed op wat de bron van de melding is. Vertrouw je het niet? Klik dan niet op bijvoorbeeld een knop met de tekst ‘Update’ of iets vergelijkbaars.

De belangrijkste tip van Jaarsma en Hollestelle is hierbij: Stel updates nooit uit. Neem het zekere voor het onzekere en installeer zowel functionaliteits- als beveiligingsupdates meteen. Doe dit zelf en zorg ervoor dat je medewerkers dit ook doen.

Zo houd je je systemen up-to-date:

• Focus eerst op risicovolle systemen. Dat zijn de systemen die 24/7 online zijn, zoals je website of webshop, maar ook je modem/router.
• Kijk naar de tweede risicogroep: systemen die regelmatig contact maken met het internet. Denk aan je webbrowser, mailprogramma, maar ook je smartphone.
• Besteed extra aandacht aan verouderde systemen. Leveranciers ondersteunen deze vaak niet meer met software updates. Vervang deze oude systemen of ontkoppel ze voor altijd van het internet.
• Zoek per systeem uit wie verantwoordelijk is voor het updaten: jijzelf, je ICT-partner, je softwareleverancier of toch je internetprovider? Laat je eventuele ICT-partner ook regelmatig checken of alles up-to-date is en nog goed ingesteld staat.
• Beperk de hoeveelheid IT-systemen. Dat geeft overzicht, maakt beheer eenvoudiger en verkleint het aantal kwetsbaarheden. Elk nieuw systeem is een mogelijk risico.
• Werk zo veel mogelijk in de cloud. De verantwoordelijkheid voor het updaten ligt dan bij de leverancier en je werkt altijd met de nieuwste en veiligste versie van de software.
• Voor software buiten de cloud: check of de instelling ‘automatisch updaten’ aanstaat. Vraag je softwareleverancier hoe dit moet of kijk op het internet (zoek bijvoorbeeld: 'Windows automatisch updaten'). Bij moderne systemen staat de optie ‘automatisch updaten’ vaak standaard aan.
• Kies bekende leveranciers en volg hun advies over updaten op. Zorg er altijd voor dat ze jouw actuele contactinformatie hebben.
• Heel praktisch: start je IT-systemen regelmatig opnieuw op. Dan weet je zeker dat alle updates goed verwerkt zijn. Dit geldt ook voor je tablet en smartphone.

Read this article in English