Formålet med Aarhus Universitets politik og regler for sikkerhedsopdateringer/patch er:
Patch-politikken er vigtig for følgende grupper af medarbejdere:
Over 90% af alle succesfulde angreb på it-systemer, lykkes fordi systemerne ikke er opdaterede og dermed er sårbare over for angrebet. I dag er angreb på kendte sårbarheder automatiserede, og sandsynligheden for at blive ramt er derfor markant højere, end for bare få år siden.
Samtidig bliver AU i stigende grad mødt af kontraktuelle krav om opdateringer af vores samarbejdspartnere. I sær efter ikrafttrædelsen af databeskyttelsesforordningen d. 25. maj 2018 møder vi stadig flere krav om, at de systemer der behandler persondata skal patches indenfor 48-72 timer, hvis der er tale om en kritisk sårbarhed. Fokus på patch-management er derfor forretningskritisk, og kræver en disciplineret indsats.
Da vi lever i en hverdag, hvor alt i stigende grad er forbundet, er det også vigtigt at have fokus på netværksforbundne enheder som fx printere/kopimaskiner, overvågningskameraer, NAS bokse, Køleskabe, temperaturmålere m.v. Alle disse enheder udgør en potentiel trussel, hvis ikke vi sikrer os, at de enten er opdaterede eller utilgængelige for uvedkommende.
Alle enheder der er tilsluttet et ikke offentligt/gæste netværk (trådløst eller kablet), på Aarhus Universitet er omfattet af denne politik. Der er dog en vis grad af differentiering mellem forskellige typer af udstyr.
Det er systemejeren, systemansvarlige, medarbejdere med ansvar for forsknings-it og ejere af netværksforbundne enheder, der har ansvaret for, at det udstyr man anvender er patchet, eller isoleret på passende vis. Hvis man anvender en pc, der er der installeret af den lokale it-support, vil den normalt være tilsluttet med automatisk opdatering. Det er ikke tilladt at slå den automatisk opdatering fra, uden en dispensation fra det centrale informationssikkerhedsudvalg (CISU).
Det er også muligt at få centrale opdateringer på pc’er og servere, som man selv installerer og vedligeholder. Det kan ske gennem henvendelse til den lokale it-support.
Hvis man ikke patcher og vedligeholder sine systemer/enheder, udgør de en sikkerhedsrisiko for hele universitetet.
AU IT foretager derfor jævnlige sårbarhedsscanninger, både interne og eksterne, og hvis en enhed viser sig at være sårbar, vil informationssikkerhedsafdelingen sikre, at der tages de nødvendige skridt til udbedring. Normalt vil det betyde, at man får en henvendelse om at opdatere udstyret, men hvis der er tale om kritiske sårbarheder vil adgangen blive lukket øjeblikkeligt. Det samme gælder, hvis ikke den pågældende enhed opdateres efter den aftale, som laves ved en henvendelse.