Een updatemelding komt bijna nooit gelegen. Net voor een overleg, midden in een taak of wanneer een laptop eindelijk snel genoeg lijkt te werken. Veel mensen klikken daarom op later herinneren. Dat voelt onschuldig, want het systeem werkt toch nog? Toch is het uitstellen van updates een van de meest voorkomende manieren waarop bekende kwetsbaarheden blijven bestaan.
Updates gaan namelijk niet alleen over nieuwe functies of een iets andere knop. Vaak bevatten ze beveiligingsoplossingen voor fouten die inmiddels bekend zijn. Zodra zo'n lek openbaar wordt, weten cybercriminelen ook waar zij naar kunnen zoeken. Een apparaat dat niet is bijgewerkt, wordt dan een makkelijk doelwit.
Bekende lekken zijn aantrekkelijk
Cybercriminelen hoeven niet altijd iets nieuws te verzinnen. Zij maken vaak gebruik van kwetsbaarheden die al zijn opgelost door de leverancier, maar nog niet door iedereen zijn geïnstalleerd. Dat geldt voor besturingssystemen, browsers, mobiele apps, kantoorsoftware, plug-ins en zakelijke applicaties.
Voor een aanvaller is dat efficiënt. Scannen op oude versies kan automatisch. Als een bedrijf achterloopt met updates, kan een bekende fout genoeg zijn om toegang te krijgen, malware te plaatsen of gegevens te stelen. Het probleem is dus niet alleen technisch, maar ook organisatorisch.
Een update uitstellen voelt klein. Maar een bekend lek open laten staan, kan groot uitpakken.
Waarom mensen updates uitstellen
Medewerkers stellen updates meestal niet uit omdat ze beveiliging onbelangrijk vinden. Ze doen het omdat zij bezig zijn met hun werk. Ze zijn bang dat een update lang duurt, dat programma's sluiten of dat iets daarna anders werkt. Soms hebben zij slechte ervaringen gehad met updates die op een verkeerd moment kwamen.
Daarom moeten organisaties updates niet alleen verplichten, maar ook goed organiseren. Kies duidelijke updatevensters, communiceer waarom updates nodig zijn en geef medewerkers praktische ruimte om hun werk af te ronden. Hoe voorspelbaarder het proces, hoe minder weerstand er ontstaat.
Wat medewerkers kunnen doen
Medewerkers hoeven geen technische experts te zijn om bij te dragen. Zij kunnen updates niet eindeloos wegklikken, apparaten regelmatig opnieuw opstarten en meldingen serieus nemen. Bij twijfel kunnen zij IT vragen of een melding echt is. Dat is belangrijk, omdat cybercriminelen soms nep-updatemeldingen gebruiken om malware te verspreiden.
Ook prive-apparaten verdienen aandacht, zeker bij hybride werken. Een telefoon of laptop die toegang heeft tot zakelijke mail of bestanden moet net zo goed worden bijgewerkt. Veilig werken stopt niet bij het kantooradres.
Updates als gewoonte
De beste updatecultuur is saai en voorspelbaar. Iedereen weet dat updates nodig zijn, wanneer ze plaatsvinden en wat er van hem wordt verwacht. Dan wordt updaten geen paniekactie na een nieuwsbericht, maar een normale beveiligingsgewoonte.
SecuSnack helpt om dit soort gewoontes bespreekbaar te maken in korte scenario's. Daarmee wordt Security Awareness niet alleen kennis over phishing, maar ook aandacht voor dagelijkse keuzes zoals het installeren van updates.