De tikkende tijdbom van verouderde systemen: waarom 'End-of-Life' een concreet risico vormt

In dit artikel:

Een recent rapport van The Shadowserver Foundation toont dat in Nederland meer dan duizend end-of-life (EoL)-systemen rechtstreeks aan het internet hangen, wat een reëel en urgent risico vormt voor organisaties. De problemen zijn weinig verrassend: verouderde apparatuur en vergeten devices komen in alle sectoren voor en ontstaan vooral door gebrekkige processen — ontbrekende documentatie na fusies, wisselende beheerders en bewuste uitstel van vervanging zolang systemen ogenschijnlijk blijven werken. Barracuda’s Managed XDR-rapport wijst bovendien uit dat de meest gesignaleerde kwetsbaarheid al uit 2013 stamt, een probleem in een verouderd encryptie-algoritme dat nog steeds in legacy-servers, embedded devices en applicaties voorkomt. In OT-omgevingen wordt patchen vaak geweigerd uit angst voor verstoring van de bedrijfsvoering.

Een concrete casus uit Polen onderstreept de risico’s. De Poolse CERT analyseerde een gerichte aanval op de energiesector waarbij aanvallers geen zero-day nodig hadden, maar misbruik maakten van slecht beheer en openstaande digitale ‘achterdeurtjes’. De keten van fouten omvatte firewalls met bekende firmwarelekken, het ontbreken van multi-factor authenticatie, VPN-poorten die vanaf internet bereikbaar waren met standaardwachtwoorden en zelfs hard-coded RDP-accounts. Industriële controllers (RTU’s) waren direct benaderbaar met fabriekswachtwoorden en verouderde firmware; seriële device servers exposeerden webinterfaces die onbeveiligd via het internet bereikbaar waren. Zulke zwakke plekken kunnen dienen als springplank voor staatsgefinancierde aanvallen, botnets of grootschalige supply chain-aanvallen — vergelijkbaar met incidenten zoals de compromittering van de IT tijdens de Olympische Spelen 2021.

Tegelijk zijn er praktische, vaak kosteneffectieve maatregelen die risico’s substantieel verminderen. Aanbevolen stappen zijn onder meer:
- Continu inzicht in het aanvalsoppervlak via Attack Surface Management (ASM)-tools;
- Elimineren van onnodig internetexposure door applicaties en services achter moderne firewalls of Zero Trust-oplossingen te zetten;
- Strikte netwerksegmentatie zodat een gecompromitteerd device niet het hele IT/OT-landschap besmet;
- Basishygiëne: direct vervangen van standaardwachtwoorden, overal MFA invoeren en continu monitoren van legacy-verkeer;
- Uiteindelijk: prioriteit geven aan vervanging en modernisering van obsolete apparatuur.

De duizend gevonden EoL-systemen in Nederland vormen mogelijk slechts het topje van de ijsberg. Bovendien krijgt dit onderwerp een wettelijke dimensie: de aankomende Nederlandse Cyberbeveiligingswet (Cbw, de nationale implementatie van NIS2) verplicht organisaties om hun IT/OT-landschap in kaart te brengen, risico’s te beoordelen en maatregelen te treffen — en maakt organisaties aansprakelijk wanneer kwetsbare, continuïteitsbedreigende systemen ongewijzigd blijven draaien. Dit artikel is een ingezonden bijdrage van Barracuda.