Het tijdig installeren van beveiligingsupdates om zo grote uitbraken als WannaCry en NotPetya te voorkomen is een maatschappelijke verantwoordelijkheid van organisaties en bedrijven, zo stelt Microsoft. Beide malware-exemplaren konden zich respectievelijk in mei en juni 2017 verspreiden via een ernstig beveiligingslek waarvoor sinds 14 maart van dat jaar een patch beschikbaar was. Een maand na het uitkomen van de patch verscheen er een exploit online waarmee kwetsbare systemen konden worden aangevallen.
De eerste aanvallen op kwetsbare systemen werden ongeveer een week na het verschijnen van de exploit waargenomen. Desondanks besloten tal van organisaties de beschikbare update niet te installeren. Drie weken later op 12 mei 2017 verspreidde de WannaCry-ransomware zich en werden tal van bedrijven platgelegd. Zelfs na de uitbraak van de ransomware gingen organisaties niet over tot het patchen van hun systemen. Eind juni vond de aanval met de NotPetya-malware plaats die van dezelfde kwetsbaarheid gebruik kon maken om zich binnen organisaties te verspreiden.
Na de NotPety-aanval besloot Microsoft te onderzoeken waarom organisaties beveiligingsupdates voor ernstige kwetsbaarheden die al maanden beschikbaar zijn niet installeren. Veel van de organisaties hadden vragen over wat voor soort tests ze moesten uitvoeren voor het uitrollen van updates en hoe snel patches moesten worden geïnstalleerd. Volgens Microsoft liet het onderzoek zien dat bedrijven duidelijker advies en standaarden over patchmanagement nodig hebben.
Samen met het National Institute of Standards and Technology (NIST), een Amerikaanse organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, werkte Microsoft aan het opstellen van richtlijnen en processen. De samenwerking leidde tot een conceptrapport over "critical cybersecurity hygiene" voor bedrijven (pdf).
"Het uitrollen van patches is een essentieel onderdeel van het beschermen van je systemen. We ontdekten dat hoewel het niet zo eenvoudig is als securityafdelingen denken, het niet zo lastig is als it-organisaties denken", zegt Microsofts Mark Simos. Hij stelt dat het tijdig installeren van patches een maatschappelijke verantwoordelijkheid is doordat de samenleving zo afhankelijk is geworden van de systemen die bedrijven en andere organisaties aanbieden. "Deze situatie wordt versterkt doordat bijna alle organisaties tegenwoordig een digitale transformatie ondergaan, waardoor er een nog grotere maatschappelijke verantwoordelijkheid op technologie komt te liggen", aldus Simos.
Deze posting is gelocked. Reageren is niet meer mogelijk.