Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Wettelijke naleving > Einde-levenssoftware: risico’s, gevaren en wat nu te doen
Einde-levenssoftware: risico's, gevaren en wat nu te doen

Einde-levenssoftware: risico’s, gevaren en wat nu te doen

by Andreas Wuchner updated november 14, 2022 Wettelijke naleving
Reading Time: 6 minutes

Begrijpen wat je moet doen wanneer je te maken hebt met EOL-software is cruciaal voor de beveiliging van je organisatie. Wat gebeurt er dus wanneer je systeem het einde van zijn levensduur bereikt?

Wanneer software EOL bereikt, betekent dit dat het programma niet langer wordt ondersteund door de ontwikkelaar en er geen updates meer zullen komen. Zonder updates en bugfixes wordt deze software kwetsbaar voor hackers en cybercriminelen.

Niets is voor altijd. Dit geldt ook voor software en infrastructuur. Legacy-oplossingen en -applicaties zijn een realiteit voor de meeste organisaties, van kleine tot middelgrote bedrijven en zeker voor de enterprise-wereld. Voor elk bedrijf dat investeert in cloudinitiatieven wordt end of life (EOL) zelfs nog complexer.

Wat is End of Life (EOL)?

Vroeg of laat bereikt alles wat we gebruiken een kantelpunt en een technologische houdbaarheidsdatum. End of life (EOL) betekent dat de fabrikant stopt met het ontwikkelen en onderhouden van het product. Dit kan het stopzetten van technische ondersteuning, upgrades, bugfixes en – het belangrijkste – beveiligingsoplossingen omvatten.

Enkele risico’s waar je op moet letten als je bedrijf EOL-software draait zijn:

Software End of Life

Hoe weet ik of mijn software het einde van zijn levensduur nadert?

De beste manier om te bepalen of je software het einde van zijn levensduur nadert, is door rechtstreeks contact op te nemen met de softwareleverancier of ontwikkelaar. Zij kunnen je precies informeren over de einddatum van de softwareversie die je gebruikt en eventuele beschikbare opties voor overstap naar een andere versie of product. Daarnaast is deze informatie meestal ook online te vinden via de website van de leverancier.

Voorbeelden van EOL-software die nog steeds veel wordt gebruikt

Hoewel EOL-software niet meer wordt onderhouden of ondersteund door de oorspronkelijke ontwikkelaars, wordt het wereldwijd door organisaties gebruikt. Hier is een momentopname van enkele populaire softwareoplossingen die vandaag de dag nog in gebruik zijn:

  1. Microsoft Windows XP: Ondanks dat het meer dan 15 jaar geleden is uitgebracht, wordt Windows XP nog steeds veel gebruikt vanwege de eenvoud en lage hardwarevereisten. Het wordt door velen beschouwd als een van de meest betrouwbare en stabiele besturingssystemen ooit uitgebracht.
  2. Mozilla Firefox: Mozilla Firefox is een cross-platform webbrowser die in 2004 werd gelanceerd. Hoewel het officieel in 2017 is stopgezet, blijft het populair onder webgebruikers vanwege de aanpasbaarheid en functionaliteiten.
  3. Adobe Flash: Adobe Flash was een multimedia-platform voor het maken van interactieve webinhoud. Het werd in 2020 stopgezet, maar wordt nog steeds gebruikt om oudere Flash-games en video’s af te spelen.
  4. Java 6: Java 6 werd uitgebracht in 2006 en was breed inzetbaar in zakelijke applicaties. Hoewel het officieel in 2018 is stopgezet, wordt het nog steeds veel gebruikt in veel bedrijfsomgevingen.
  5. Microsoft Office 2003: Microsoft Office 2003 was de laatste versie van de populaire productiviteitssuite vóór de introductie van de ribbon-interface. Hoewel het officieel in 2013 is stopgezet, blijft het veel gebruikt vanwege de vertrouwde interface.

Compliance and Certification Table

Kiteworks pronkt met een lange lijst van behaalde compliance- en certificeringsprestaties.

Operationele risico’s kunnen bedrijfsstilstand veroorzaken

Wanneer je EOL bespreekt met zakelijke stakeholders hoor je vaak het argument dat het legacy-systeem of de applicatie superkritisch is voor het bedrijf en al jaren zonder problemen draait. Waarom zou je een betrouwbaar systeem vervangen dat nu goed functioneert?

Deze stakeholders zien uiteindelijk dat EOL-componenten na verloop van tijd steeds minder betrouwbaar worden en gevoeliger voor storingen. Ze tolereren deze situatie tot het echt misgaat.

Software die richting EOL gaat, heeft ook gevolgen voor de bruikbaarheid. We leven in een snel ontwikkelende wereld waarin nieuwe standaarden ontstaan en oude overbodig maken. Mensen komen plotseling in een situatie terecht waarin de kritieke webapplicatie nog werkt, maar webbrowsers de oude encryptie-in-transitmethodes van de webapplicatie niet meer ondersteunen. Als deze risico’s zich voordoen, kunnen ze bedrijfsstilstand veroorzaken, de kosten verhogen en leiden tot ontevreden klanten.

Beveiligingsrisico’s kunnen je reputatie schaden

Cybersecurityrisico’s zijn algemeen bekend, aangezien cyberaanvallen en datalekken dagelijks in het nieuws komen. Dat betekent echter niet dat iedereen de juiste herstelmaatregelen neemt om ze aan te pakken.

Zoals eerder genoemd, ontvangt end of life-technologie geen beveiligingsupdates, bugfixes of patches meer; het is in de ogen van de fabrikant ‘dood’. Dat betekent dat je beveiliging volledig is gecompromitteerd, niet alleen voor het systeem of de software die EOL is, maar mogelijk ook voor andere systemen die ermee verbonden zijn.

In het slechtste geval kan je EOL-systeem of -software worden gehackt en kunnen gegevens worden gestolen. Zulke cybersecurity-incidenten zijn pijnlijk en brengen je reputatie en klantvertrouwen in gevaar.

Hoe WannaCry EOL-kwetsbaarheden in Windows uitbuitte

Om dit alles in perspectief te plaatsen, een praktijkvoorbeeld: WannaCry maakte misbruik van het End of Life van Windows XP door gebruik te maken van een kwetsbaarheid in het XP-besturingssysteem. De aanvallers gebruikten een bestand genaamd EternalBlue, waarmee de malware zich zonder gebruikersinteractie van systeem naar systeem kon verspreiden. De malware versleutelde vervolgens de gegevens van de gebruiker en eiste losgeld in bitcoin om deze te ontgrendelen. De kwetsbaarheid werd gepatcht voor recentere Windows-besturingssystemen, maar omdat de ondersteuning voor Windows XP in 2014 stopte, bleef deze open voor misbruik.

Nalevingsrisico’s kunnen leiden tot forse boetes

Toezicht door toezichthouders neemt toe, waardoor naleving van regelgeving geen keuze meer is. GDPR, PCI, SOX of HIPAA zijn prominente voorbeelden, en zij vereisen dat alle gebruikte technologieën ondersteund moeten zijn.

Nalevingsrisico’s op EOL-systemen zijn vergelijkbaar met cybersecurityrisico’s. Door niet te voldoen aan compliance-vereisten met legacy-systemen of -software, kan een bedrijf forse boetes krijgen, vooral bij een datalek.

Ondersteuningsrisico’s kunnen onderhoudskosten verhogen

Hoe langer EOL-technologieën worden aangehouden na hun ondersteunde levenscyclus, hoe hoger de kosten om ze draaiende te houden. Na verloop van tijd zijn er steeds minder mensen die bekend zijn met de legacy-technologie en deze kunnen ondersteunen. Wanneer de vraag naar ondersteuning groter wordt dan het aanbod, stijgen de onderhoudskosten evenredig met de risico’s op een beveiligings- of compliance-incident.

Risico’s van end of life-technologie beperken

Organisaties kunnen het risico van end of life-technologie beperken door proactief te zijn met hun vendor risk management-programma. Het is bijvoorbeeld belangrijk om op de hoogte te blijven van technologische veranderingen en hierop vooruit te plannen voordat de technologie verouderd raakt. Dit kan inhouden dat je onderzoek doet naar nieuwe technologieën of nieuwe versies van bestaande technologie, een tijdlijn opstelt voor de overstap naar nieuwe technologie of versie, personeel opleidt in nieuwe functies en mogelijkheden, en budgetplannen maakt voor de transitie. Daarnaast is het verstandig om technologie aan te schaffen met langere levenscycli en die upgrades ondersteunt, zodat de levensduur van de technologie wordt verlengd. Tot slot is het aan te raden te investeren in back-upsystemen of redundante systemen voor het geval er problemen of vertragingen optreden tijdens de overgang naar de nieuwe technologie.

Het blijven draaien van end of life-systemen en -software lijkt misschien aantrekkelijk, maar de financiële, beveiligings- en compliance-risico’s wegen veel zwaarder dan de voordelen. Alle serieuze technologieaanbieders geven ruim van tevoren een waarschuwing voordat een verouderde technologie wordt uitgefaseerd. Bedrijven die deze aankondigingen opvolgen en tijdig overstappen op nieuwe technologie besparen niet alleen investeringskosten, maar behouden ook hun reputatie en klantloyaliteit. Blijven vertrouwen op EOL-technologie is het risico simpelweg niet waard.

Veelgestelde vragen

Naleving van regelgeving verwijst naar het voldoen aan wetten, regels, richtlijnen en specificaties die relevant zijn voor de bedrijfsprocessen van een organisatie. Compliance is essentieel om de reputatie van het bedrijf te behouden, juridische sancties te voorkomen en de veiligheid en beveiliging van de bedrijfsvoering te waarborgen.

Naleving van regelgeving heeft op diverse sectoren verschillende effecten, afhankelijk van de specifieke regelgeving die op elke sector van toepassing is. Zo moeten zorgorganisaties voldoen aan regels zoals HIPAA die patiëntgegevens beschermen, terwijl instellingen in de financiële sector zich moeten houden aan regels als de PCI DSS om financiële crises te voorkomen. Defensie-aannemers moeten voldoen aan CMMC. Niet-naleving kan leiden tot zware sancties, waaronder boetes en reputatieschade.

Veelvoorkomende uitdagingen zijn het bijhouden van veranderende regelgeving, het beheren en beveiligen van data, het trainen van medewerkers in compliance-vereisten en het toewijzen van voldoende middelen voor compliance-activiteiten. Daarnaast kunnen internationale organisaties te maken krijgen met de extra complexiteit van het voldoen aan regelgeving in meerdere rechtsbevoegdheden.

Organisaties kunnen hun naleving aantonen door verschillende middelen, zoals het bijhouden van uitgebreide documentatie van hun compliance-activiteiten, het uitvoeren van regelmatige audits en het verstrekken van opleidingsregistraties. Daarnaast kunnen sommige regels vereisen dat organisaties periodiek rapportages indienen of externe audits ondergaan om hun compliance aan te tonen.

Encryptie van data speelt een cruciale rol bij naleving van regelgeving, omdat het helpt gevoelige gegevens te beschermen tegen ongeautoriseerde toegang. Veel regels vereisen dat organisaties passende beveiligingsmaatregelen nemen, waaronder encryptie, om data te beschermen. Door gegevens te versleutelen, kunnen organisaties de vertrouwelijkheid en integriteit ervan waarborgen en zo bijdragen aan compliance.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks