Digitaal Fundament Overheid

DFO‑strategie 6: patchen van besturingssystemen

📊 Operationeel 👥 Patchmanagers, IT‑operations ⏱️ 10 min lezen
Continuous Access Evaluation CAE Real-time revocation | Critical events | IP changes 5s Response
Executive Summary

Het tijdig patchen van besturingssystemen voor Windows, Linux en macOS is een van de meest effectieve maatregelen om kwetsbaarheden in kernel, stuurprogramma's en systeemcomponenten te voorkomen. Door een volwassen patchproces in te richten volgens Essential Eight-maatregel 6 verkleint een organisatie het risico op succesvolle ransomware-aanvallen en privilege-escalatie aanzienlijk. Voor gedetailleerde proces- en governance-informatie: zie ook de pagina Kwetsbaarhedenplanning (/bedrijf-en-overheid/herken-en-reageer/kwetsbaarhedenplanning/).

Strategie voor het patchen van besturingssystemen

Het patchen van besturingssystemen is een basisvoorwaarde voor een veilige digitale infrastructuur, maar in de praktijk blijkt het een van de lastigste processen om structureel goed in te richten. Servers, werkplekken, laptops en specialistische systemen draaien vaak verschillende versies van Windows, Linux of macOS, hebben uiteenlopende onderhoudsvensters en vallen soms onder verschillende beheerteams of leverancierscontracten. Zonder duidelijke governance, heldere verantwoordelijkheden en een professioneel ingericht patchproces ontstaan snel achterstanden, uitzonderingen en onnodige risico's. Deze strategie beschrijft hoe organisaties binnen de Nederlandse publieke sector een volwassen aanpak voor het patchen van besturingssystemen kunnen realiseren, in lijn met Essential Eight-maatregel 6 en de BIO.

De kern van een effectieve patchstrategie is een volledig en actueel overzicht van alle besturingssystemen die binnen de organisatie worden gebruikt. Dit omvat niet alleen de standaard kantoorwerkplekken, maar ook servers in datacenters, virtuele machines in de cloud, specialistische applicatie-servers, OT-gerelateerde systemen waar dat mogelijk is, en beheeromgevingen zoals jump servers of beheerconsoles. Voor ieder systeemtype moet duidelijk zijn welk platform wordt gebruikt, wie eigenaar is, welke kritikaliteit het systeem heeft voor de dienstverlening en welke onderhoudsvensters beschikbaar zijn. Dit inventarisatie- en classificatieproces vormt de basis voor prioritering en maakt het mogelijk om patchbeleid risicogestuurd toe te passen.

Vervolgens is het noodzakelijk om een centraal patchbeleid op te stellen waarin staat hoe snel kwetsbaarheden moeten worden verholpen. Voor Essential Eight maturity level 2 (ML2) geldt als norm dat beveiligingsupdates voor besturingssystemen met een hoge of kritieke impact binnen twee weken na beschikbaarheid worden geïnstalleerd. Dat betekent dat de organisatie niet alleen moet weten welke patches worden uitgebracht, maar ook continu moet kunnen bepalen welke systemen door welke kwetsbaarheden worden geraakt. Dit vraagt om een nauwe koppeling tussen kwetsbaarhedenmanagement, configuratiebeheer en de patch- en distributiesystemen. In veel Microsoft-omgevingen wordt hiervoor een combinatie van Microsoft Intune en Configuration Manager (voorheen SCCM) gebruikt, eventueel aangevuld met WSUS of andere patchoplossingen voor specifieke platformen.

Bij het uitrollen van patches is een zorgvuldig opgebouwde keten van testen, goedkeuren en gefaseerde uitrol essentieel. Een veelgebruikte aanpak is om nieuwe updates eerst in een kleine, representatieve testgroep te installeren, bijvoorbeeld een aantal IT-beheerders en functioneel beheerders. Op basis van hun ervaringen wordt bepaald of de patch functioneel veilig kan worden uitgerold naar een bredere pilotgroep met reguliere gebruikers. Pas als in deze groepen geen onacceptabele verstoringen optreden, wordt de patch naar de volledige productiepopulatie uitgerold. Door deze gefaseerde aanpak te combineren met duidelijke terugvalscenario's en het gebruik van change- en releaseprocessen, kunnen organisaties de kans op grote verstoringen beperken, terwijl ze toch voldoen aan de eis om kritieke beveiligingsupdates binnen twee weken te implementeren.

Een belangrijk onderdeel van de strategie is het expliciet meenemen van servers en bedrijfskritische systemen. In veel organisaties zijn dit juist de systemen waarop veranderingen het meest worden uitgesteld uit angst voor verstoringen. Dit leidt echter tot het omgekeerde effect: een server die jarenlang niet is bijgewerkt, vormt een aantrekkelijk doelwit voor aanvallers en kan bij een incident leiden tot langdurige uitval. Daarom moeten voor bedrijfskritische systemen specifieke onderhoudsvensters worden afgesproken, bijvoorbeeld maandelijkse of kwartaalgewijze patchrondes met voorafgaande communicatie, testscenario's en de aanwezigheid van de relevante applicatiebeheerders. Waar een beperkt onderhoudsvenster onvoldoende blijkt, is het vaak nodig om de architectuur aan te passen, bijvoorbeeld door clustering, redundantie of uitwijkmogelijkheden in te richten zodat systemen beurtelings gepatcht kunnen worden zonder dat de dienstverlening uitvalt.

Transparante rapportage en monitoring zijn onmisbaar om de voortgang en effectiviteit van het patchproces te bewaken. Beheertools zoals Intune en Configuration Manager bieden standaardrapportages over patchcompliance, maar deze informatie moet actief worden gebruikt in managementrapportages en risicodialoog. Denk aan overzichten van het percentage systemen dat volledig bijgewerkt is, de gemiddelde doorlooptijd voor kritieke patches en de lijst van systemen die structureel achterlopen of buiten de standaardpatchstraat vallen. Deze rapportages moeten periodiek worden besproken met zowel de IT- als de securityfunctie, zodat achterstanden tijdig worden aangepakt en uitzonderingen expliciet worden geaccepteerd of opgelost.

Naast de technische uitvoering is ook bewustwording en samenwerking tussen verschillende rollen essentieel. Patchmanagers, systeembeheerders, product owners, leveranciers en security officers moeten gezamenlijk eigenaarschap nemen over het patchproces. Dit betekent onder andere dat leverancierscontracten afspraken bevatten over patchsupport en testverantwoordelijkheden, dat projectteams nieuwe systemen alleen in productie brengen als ze binnen de standaard patchstraat passen, en dat securityteams kwetsbaarheidsinformatie vertalen naar concrete acties voor de beheerteams. Door patchmanagement als integraal onderdeel van de levenscyclus van IT-diensten te zien, wordt voorkomen dat het als een losse technische activiteit wordt behandeld.

Tot slot moet de strategie duidelijke koppelingen leggen met kwetsbaarhedenplanning en incidentrespons. Wanneer uit een kwetsbaarheidsscan blijkt dat een kritieke kwetsbaarheid actief wordt misbruikt, moet de organisatie kunnen opschalen naar een versneld patchproces waarin reguliere onderhoudsvensters tijdelijk worden losgelaten. Dit vraagt om vooraf gedefinieerde noodprocedures, waaronder versnelde risicoafweging, uitzonderingsbesluiten door het management en nauwkeurige communicatie naar gebruikers en stakeholders. Door deze noodscenario's vooraf uit te werken en te oefenen, kan de organisatie bij ernstige dreigingen snel en gecontroleerd handelen, zonder de governance en traceerbaarheid van het patchproces te verliezen.

Conclusie

Het patchen van besturingssystemen is geen eenmalig project, maar een continu proces dat vraagt om goede inventarisatie, duidelijke verantwoordelijkheden, volwassen tooling en nauwe samenwerking tussen IT-operatie en security. Door een risicogestuurde patchstrategie te implementeren, kritieke updates binnen twee weken na beschikbaarheid uit te rollen en de voortgang actief te monitoren, voldoen organisaties aan Essential Eight-maatregel 6 en verlagen zij aantoonbaar het risico op succesvolle aanvallen en verstorende beveiligingsincidenten. De koppeling met kwetsbaarhedenplanning en incidentrespons zorgt ervoor dat bij ernstige dreigingen snel kan worden opgeschaald. Zo wordt patchmanagement een integraal onderdeel van de algehele cyberweerbaarheid binnen de Nederlandse publieke sector.

Executive Aanbevelingen
  • Richt een centraal governance- en rapportageproces in voor het patchen van alle besturingssystemen.
  • Zorg dat kritieke beveiligingsupdates voor besturingssystemen uiterlijk binnen twee weken na release worden geïnstalleerd (ML2).
  • Gebruik moderne beheeroplossingen zoals Microsoft Intune en Configuration Manager om patchuitrol te automatiseren en te monitoren.
Digitaal Fundament Overheid patchmanagement besturingssystemen