Wat zijn de redenen dat Nederlandse organisaties nog kwetsbare Pulse Secure en Fortigate vpn-software hebben? Of is dit dezelfde vraag waarom er we massaal met steeds ouder wordende smartphones rondlopen in plaats van te investeren in updaten of vervangen?

Dat is hier toch uitgebreid besproken? Omdat er kennelijk bij Nederlandse organisaties veel beheerders werken die
zich indekken door "volgens het boekje" te werken waarin staat dat je nooit updates van je leverancier moet installeren
zonder ze eerst in-house een jaar getest te hebben, zelfs niet als de leverancier zegt dat het een critical update is.
Want je weet het: als er door het door jou installeren van een update een kleine downtime is dan heb jij het gedaan, en
als je de update alleen op een lijst van nog uit te voeren projecten zet dan ben je de gevierde peer.
Ik weet het, het is ernstig, maar er zijn hier op het forum diverse mensen die dergelijk wanbeheer met hand en tand
verdedigen dus het zit er kennelijk diep ingepeperd.

Waar het bij veel organisaties of bedrijven aan ontbreekt is goed gekwalificeerd personeel. Wat daarbij dan sterk meespeelt is een opeenstapeling van foute keuzen gemaakt in het verleden. Vooral zogenoemde ‘legacy-systemen’, verouderde technologie die niet of nauwelijks nog ondersteund door de leverancier, brengen grote risico's met zich mee:

https://www.ncsc.nl/documenten/publicaties/2019/mei/01/zicht-op-risicos-van-legacysystemen

Tja, wanneer deze in omgevingen gebruikt worden waarbij downtime niet kan, ga dan maar eens regelen 'met de business' dat ie plat moet en dat je niet kunt garanderen dat het gaat werken als voorheen.

Hoe kun je controleren of je VPN-provider al dan niet de Pulse Secure of Fortigate VPN-software gebruikt? Ik heb al twee updates van de door mij gebruikte software gehad en toegepast.

Gewoon vragen aan je provider door middel van een ticket of via een account manager.

Als het alternatief is dat het netwerk wagenwijd open staat moet dat niet te moeilijk zijn. Dit is maar een sslvpn appliance, de upgrade moet niet te schokkend zijn.

En voor de reactie aan het begin, kun je daar wat voorbeelden van geven dan. Dat bedrijven / organisaties positief zijn over het op de stapel leggen van zulke belangrijke upgrades.

Ik vermoed dat een ander probleem een grotere rol speelt, namelijk bij organisaties die (o.a.) het beheer van VPN-systemen hebben uitbesteed en zelf geen mensen in huis hebben die de bijbehorende risico's kunnen inschatten en/of überhaupt op de hoogte zijn van het bestaan van ernstige kwetsbaarheden op een bepaald moment.

Ongetwijfeld zullen de meeste beheerders van ingehuurde organisaties, de noodzaak tot patchen, melden bij hun account-managers, die dat op hun beurt weer zullen melden bij hun contactpersonen in de betreffende organisaties. Bij deze laatste stap spelen commerciële belangen, en dus afwegingen die zo'n accountmanager maakt, een rol - waarbij de urgentie kan worden afgezwakt.

Vervolgens is het van belang dat de contactpersoon begrijpt wat de urgentie is, en wat de impact kan zijn bij uitstel (of afstel). Ook hier kan informatie verloren gaan of de urgentie worden afgezwakt (zo'n contactpersoon heeft immers ook een eigen agenda van zaken die hij/zij geregeld wil hebben).

Deze contactpersoon zal dit, vroeger of later, wel melden bij leidinggevenden - die, op basis van vaak onvolledige informatie en met gebrek aan kennis, allerelei verschillende prioriteiten moeten stellen. En zo kan het besef van de noodzaak om ASAP te patchen verloren gaan in de waan van de dag.

En indien/zodra e.e.a. wel begrepen wordt, moet de instructie om te updaten via dezelfde weg terug, waarbij er weer vanalles mis kan gaan. Ten slotte hebben de ondersteunende bedrijven vaak veel klanten waar patches moeten worden uitgerold, in de volgorde waar de klanten om vragen (en de meeste natuurlijk buiten kantoortijden). Als zo'n leverancier haar asset-management/CMDB niet op orde heeft en houdt (niet precies weet wat waar draait met welke versie), ook in zeer drukke tijden ("dat ik, binnen de beschikbare tijd, niet meer heb kunnen testen of het patchen gelukt is, voeg ik morgen wel toe, ik ga nu naar bed"), is smeken om problemen.

Als organisaties niet zelf iemand -met kennis van zaken- hebben rondlopen, waar de directie naar luistert als hij/zij roept "laat alles vallen en doe eerst dit om een calamiteit te voorkomen", en vervolgens niet persoonlijk de vinger aan de pols blijven houden (c.q. aan iemand met voldoende verantwoordelijkheidsgevoel kan delegeren, bijv. bij ziekte of vakantie) totdat een lek aantoonbaar is gedicht, blijven dit soort dingen fout gaan - puur door onkunde en miscommunicatie op een hoger niveau dan van beheerders.

Beheerders die na een paar keer waarschuwen hun schouders ophalen en weer een stukje onverschilliger worden; wie niet horen wil, moet maar voelen.

Overzicht met timeline van het Pulse Secure VPN lek: https://kb.cert.org/vuls/id/927237/