Wat zijn de risico's van legacy-systemen?
Doelgroep:
Als CISO in een beginnende organisatie heb ik geen overzicht van onze meest kwetsbare legacy en OT-systemen. Geef mij daarom concretere handvatten om hier zicht en grip op te krijgen.
Wat is legacy?
Legacy is de verzamelnaam voor verouderde hardware en/of software, die niet meer door leveranciers ondersteund wordt. Legacy systemen zijn verouderde software of systemen die nog steeds gebruikt worden maar niet meer onderhouden worden door de leverancier of ontwikkelaar. De beveiliging van deze systemen is vaak verouderd en bevat regelmatig bekende gebreken.
Wanneer systemen (hardware en software) binnen de organisatie verouderen kunnen ze een ‘legacy-status’ krijgen. Daarvoor zijn een aantal redenen.
We hebben ze onderverdeeld in vier categorieën. Aan de hand daarvan leggen we uit wat we onder legacy verstaan. We gebruiken hierbij voorbeelden van een fictieve organisatie, namelijk HollandTechSolutions.
Categorie 1: Ondersteuning
Het systeem is aan het einde van haar levenscyclus en krijgt weinig of geen ondersteuning meer van de leverancier in de vorm van software-updates, aanpassingen en hardware-onderdelen. Dit betekent in de praktijk dat de leverancier je weinig steun kan bieden om je legacy-systeem te onderhouden of aan te passen. Het kan ook een systeem zijn met veel bekende (CVE – Common Vulnerabilities and Exposures) en geëxploiteerde kwetsbaarheden (KEV – Known Exploited Vulnerabilities) die de leverancier niet (tijdig) oplost.
CVE – Common Vulnerabilities and Exposures. Een openbare lijst van bekende zwakke plekken in software. De lijst is te vinden via https://cve.mitre.org
KEV – Known Exploited Vulnerabilities verwijst naar beveiligingslekken waarvan bewezen is dat ze actief worden misbruikt door aanvallers.
De afdeling facilitymanagement van de firma HollandTech Solutions BV schaft interactieve displays aan zodat bezoekers zichzelf kunnen aanmelden in de lobby. De leverancier van deze systemen is een jaar na de installatie failliet gegaan waardoor ze het onderhoud niet meer uitvoeren. Na onderzoek blijkt dat de displays op Windows XP draaien, waarvoor de ondersteuning al meer dan tien jaar geleden is stopgezet.
Mogelijke risico's
De beëindiging van ondersteuning door de leverancier leidt onder andere tot de volgende risico’s:
- Geen software-(beveiligings-)updates of -aanpassingen om kwetsbaarheden of gebreken in functionaliteit op te lossen
- Geen hardware of reserveonderdelen voor kapotte componenten
- Geen diensten of garanties van de leverancier om problemen of incidenten op te lossen.
De kern van het probleem is dat door het ontbreken van ondersteuning deze producten kwetsbaar zijn voor exploitatie.
In 2017 werd een groot aantal organisaties getroffen door een ransomware-aanval. Een van de grootste getroffen organisaties was het National Health Service (NHS) uit Groot-Brittannië. De aanval misbruikte een kwetsbaarheid in Windows XP, een legacy-systeem dat in de zorg (en andere sectoren) nog volop in gebruik was, terwijl Microsoft al geruime tijd geen veiligheidsupdates uitbracht voor dit product.
Categorie 2: Kennis & kunde
Veel legacy-systemen draaien al jaren uitstekend. Ze zijn ogenschijnlijk betrouwbaar en incidenten hebben zich al jaren niet voorgedaan. De keerzijde van systemen die al lange tijd onbezorgd draaien, is dat het systeem ondertussen zo oud is dat medewerkers en leveranciers niet langer de kennis hebben om dit systeem te onderhouden. Het product kan niet meer goed worden onderhouden en er kan ook niet meer goed worden gereageerd op incidenten. Dit betekent dat de beschikbaarheid van je legacy-systeem afhankelijk is van een paar medewerkers of een enkele specialistische leverancier. Als organisatie ben je dan extra kwetsbaar, bijvoorbeeld tijdens incidenten of als er grote aanpassingen gedaan moeten worden.
HollandTech Solutions BV was van 1990 tot in het eerste decennium van deze eeuw zeer vooruitstrevend en bouwde haar eigen systeem voor inkoop, verkoop, voorraad, urenregistratie en projectmanagement. IT’ers Jan en Martin schreven dit systeem destijds in Cool:Gen en Cobol en hebben dit tot hun pensioen 2 jaar geleden onderhouden. Er is geen externe leverancier te benaderen voor hulp en de opvolgers van Jan en Martin hebben nog nooit van Cool:Gen en Cobol gehoord.
Mogelijk risico's
Het ontbreken van kennis en kunde over legacy-systemen leidt bijvoorbeeld tot de volgende risico’s:
- Het bemoeilijkt het begrijpen en de inrichting/configuratie van legacy-systemen, en daarmee ook het duiden van de risico’s ervan.
- Het beperkt beheer- en ontwikkelmogelijkheden.Het ontbreken van de juiste kennis tijdens een incident en om hiervan te herstellen.
De Belastingdienst heeft al jaren moeite om IT’ers aan te trekken die verouderde programmeertalen zoals Cool:Gen en Cobol beheersen. Onverwacht zag de fiscus een groot aantal IT’ers vertrekken. Het doel voor 2023 was om 2200 tot 2400 nieuwe werknemers te vinden, maar de uitstroom was met bijna 900 fte’s hoger dan verwacht.
Categorie 3: Beveiligingseisen
Het systeem kan niet meer aansluiten op de eisen, wensen of ontwikkelingen die nodig zijn voor de digitale weerbaarheid van de organisatie en partners. Veel (legacy-)systemen zijn in de loop van de tijd gekoppeld aan andere systemen, lokale netwerken of aan het internet. Deze systemen en de beveiliging ervan zijn oorspronkelijk niet ontworpen voor deze koppelingen. Deze situatie doet zich voor in zowel IT- als OT-omgevingen.
De systemen en de beveiliging van de systemen zijn oorspronkelijk niet ontworpen voor deze koppelingen (slechtere compatibiliteit), wat de inspanningen om ze effectief te beveiligen bemoeilijkt. Praktisch betekent dit bijvoorbeeld dat de organisatie misschien genoegen moet nemen met minder veilige protocollen, zwakkere authenticatie, beperkte monitoring en logging en integratie met beveiligingstools. Hierdoor zijn legacy-systemen kwetsbaarder voor storingen of kwaadaardige activiteiten zoals sabotage of spionage.
Neem een organisatie die de mogelijkheden wil benutten van generatieve AI om in te spelen op klantwensen of de wensen van de medewerkers. Om generatieve AI veilig te implementeren, moeten organisaties hun cybersecurity-stack moderniseren. Het geheel aan beveiligingstechnologieën, tools en processen die samen de digitale omgeving van een organisatie beschermen. Legacy-systemen missen vaak de noodzakelijke eisen die nodig zijn om AI-risico’s voldoende te beheren — en vormen daardoor een kwetsbaarheid voor misbruik, datalekken en compliance-problemen.
HollandTech Solutions BV wil thuiswerken voor (bijna) alle mederwerkers faciliteren. Ze gebruiken momenteel een firewall die ondersteund wordt door een leverancier. Om iedereen veilig te kunnen laten thuiswerken besluit het hoofdkantoor haar monitoring en IAM (Identify and Access Management) te vernieuwen. De huidige firewall kan deze nieuwe eisen echter niet ondersteunen.
Mogelijke risico's
Het niet aansluiten van beveiligingsmogelijkheden van de legacy-systemen op de gestelde beveiligingseisen leidt daarom in elk geval tot het volgende risico:
- Het niet kunnen bereiken van het juiste beveiligingsniveau: onderbeveiliging.
In 2015 kwamen hackers in het U.S Office of Personnel Management systeem, waar ze gevoelige gegevens van 21 miljoen ambtenaren stalen. De legacy-systemen hadden geen moderne encryptie, geen monitoring of IDS op kritieke segmenten, en er was beperkte netwerksegmentatie. Omdat deze systemen verouderd waren konden ze niet goed beveiligd worden.
Categorie 4: Bedrijfsvoering
Naast het gebrek aan ondersteuning, kennis en kunde én het ontbreken van moderne beveiligingsfuncties, kan het ook zo zijn dat een verouderd systeem simpelweg niet meer aansluit op de bedrijfsvoering. Het gaat hier om financieel-economische in plaats van technische redenen waardoor systemen niet meer aansluiten bij de actuele behoefte en daardoor een legacy-status krijgen.
HollandTech Solutions BV gebruikt een combinatie tussen fysieke sleutels, toegangskaarten en druppels om toegang te beheren. Deze combinatie van drie verschillende tools kost echter veel geld en wordt als onhandig ervaren door medewerkers. Daarom besluit het bedrijf een nieuwe standaard te introduceren, een toegangsapp. Deze authenticator vervangt alle fysieke toegangsmiddelen door 1 nieuwe oplossing. Alle andere toegangscontrolesystemen zijn hiermee legacy-assets geworden.
Verdere uitdagingen
Schaduw & erfstukken
Een extra uitdaging komt voort uit niet-gedocumenteerde of ‘geërfde’ systemen die buiten het bereik van reguliere IT-audits vallen. Deze systemen, die vaak het resultaat zijn van fusies, overnames en schaduw-IT, creëren hiaten in de zichtbaarheid en verhogen de risico's. In OT zijn (minder belangrijke) legacy-systemen wellicht onzichtbaar geworden omdat ze stilletjes in de achtergrond draaien zonder dat ze goed gedocumenteerd zijn of op tekeningen voorkomen. Voor aanvallers zijn deze verborgen kwetsbaarheden aantrekkelijke doelen omdat ze een gemakkelijke manier zijn om netwerken binnen te dringen of toegang te krijgen tot gevoelige gegevens doordat ze geen onderdeel zijn van het veiligheidsmanagement.
Levensduur in IT en OT
Een andere uitdaging is dat de gemiddelde levensduur in het domein van OT vaak veel langer is dan binnen IT. Daardoor is de kans op bovengenoemde risico’s groter. Binnen IT-omgevingen is de gemiddelde levensduur van een hardwarecomponent vaak niet veel meer dan 5 jaar. Voor software is deze doorlooptijd vaak even lang of zelfs korter. In het OT-domein is de gemiddelde levensduur vaak veel langer. Systemen met een levensduur van 30 jaar zijn daarvoor niet buitengewoon.
Bovengenoemde risico’s worden daardoor uitvergroot: de kans dat een leverancier failliet gaat is nog groter in een tijdspanne van 30 jaar, zo ook de kans dat medewerkers met specifieke kennis vertrekken of dat de rest van de organisatie verandert, waardoor de beveiligingseisen aan het OT-systeem ook hoger zullen zijn dan wat het systeem kan bieden. Naast de langere levensduur zijn de vervangingskosten van OT-componenten vaak ook hoger, waardoor dit minder vaak wordt gedaan.