Danske virksomheder lurepasser på sikkerhedsopdateringer

Blot få dage efter en sikkerhedsopdatering er frigivet, banker hackerne på døren. Men nogle danske virksomheder vender det blinde øje til og dropper helt at patche deres system.

Kapløbet mellem hackerne og de it-ansvarlige spidser til ? nu går der kun nogle få dage fra en sikkerhedsopdatering er sendt ud, til hackerne er begyndt at udnytte de sårbarheder, opdateringen skal rette op på.

Men en del af de danske virksomheder er stået helt af ræset og ignorerer stort set sikkerhedshullerne.

»De opdaterer måske deres it-systemer en gang hvert halve år. Og det er selvfølgeligt et stort problem for deres it-sikkerhed, for man skal ikke vende ryggen til i ret mange dage, før der er kommet en ny sårbarhed,« siger Henning Mortensen, der er chefkonsulent i Dansk Industris brancheforening ITEK og rådgiver om it-sikkerhed.

Han anbefaler naturligvis, at man altid installerer sikkerhedsopdateringerne så hurtigt som muligt. Men er det to dage eller to uger efter patchen er frigivet? Det må komme an på en afvejning hver gang, mener Henning Mortensen.

På den ene side kan opdateringerne skabe problemer i virksomhedens it-setup og i værste fald lægge hele systemet ned. Men er det en kritisk sårbarhed, som opdateringen skal fjerne, så dur det heller ikke at vente for længe. Så det er afgørende at vide, hvor følsomme it-systemer, virksomheden kører med.

»Har du et forretningskritisk ERP-system, som er lavet specielt til virksomheden, så skal en patch testes først i et adskilt testmiljø. Men i mellemstore virksomheder uden specialdesignede systemer kan risikoen for problemer være lav,« siger Henning Mortensen.

Er det svært at holde styr på opdateringer til al software i huset, er der hjælp at hente udefra. Henning Mortensen råder til at købe et abonnement hos et it-sikkerhedsfirma, så man bliver holdt orienteret om alle nødvendige opdateringer om netop de programmer, der bliver brugt i virksomheden.

Hellere hurtig rollback

Steen Pedersen, Topnordics security business manager, er generelt mest tilhænger af hurtig udrulning af opdateringerne, kombineret med et godt beredskab, der hurtigt kan rulle opdateringen tilbage, hvis der er problemer.

»Min anbefaling er at patche hurtigt og samtidigt have gode rollback-procedurer. Hvis det er et kritisk hul, der bliver lukket, er virksomheden alt for udsat, hvis de venter. Og jeg har set mange eksempler på, at en virksomhed venter i ugevis og bruger flere ressourcer på at teste og kvalitetssikre en sikkerhedsopdatering før udrulning, end det ville kræve at rulle den tilbage, hvis der er problemer,« siger han.

Når mange venter i flere uger og kører grundige tests, kan det være baseret på erfaringer fra tidligere, hvor opdateringerne gav flere rystelser i it-systemerne. Nu er kvaliteten af rettelserne blevet bedre og det er sjældent, at en opdatering giver ballade, mener Steen Pedersen.

Hvis man samtidigt har adskilt servermiljøet og arbejdsplads-computerne, kan man vente med at patche serverne, til man er helt sikker på, at der ingen problemer opstår.

»Det er en god idé at have en adskillelse af servere og arbejdspladser, for eksempel med en firewall imellem. Det svarer til at lukke for direkte adgang til bankboksen i en bank,« siger Steen Pedersen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere