Politik for sikkerhedsopdateringer/patch (A.12.5.1)

Her finder du den gældende politik for sikkerhedsopdateringer til vedligehold af AU systemer og enheder, så det ikke udgør en sikkerhedsrisiko for hele universitetet.


Formål

Formålet med Aarhus Universitets politik og regler for sikkerhedsopdateringer/patch er: 

  • at sikre implementering af procedurer til styring af softwareinstallation på driftssystemer

Målgruppe

Patch-politikken er vigtig for følgende grupper af medarbejdere:

  • Systemejere og andre personer, der har det formelle ejerskab af en maskine til brug i sit arbejde
  • Driftspersonale på AU IT, især systemansvarlige
  • Forskere med ansvar for forsknings-it-systemer.
  • Ejere af netværksforbundne enheder (herunder Internet of Things (IOT) enheder) på AU's netværk.

Hvorfor er det vigtigt?

Over 90% af alle succesfulde angreb på it-systemer, lykkes fordi systemerne ikke er opdaterede og dermed er sårbare over for angrebet. I dag er angreb på kendte sårbarheder automatiserede, og sandsynligheden for at blive ramt er derfor markant højere, end for bare få år siden.

Samtidig bliver AU i stigende grad mødt af kontraktuelle krav om opdateringer af vores samarbejdspartnere. I sær efter ikrafttrædelsen af databeskyttelsesforordningen d. 25. maj 2018 møder vi stadig flere krav om, at de systemer der behandler persondata skal patches indenfor 48-72 timer, hvis der er tale om en kritisk sårbarhed. Fokus på patch-management er derfor forretningskritisk, og kræver en disciplineret indsats.

Da vi lever i en hverdag, hvor alt i stigende grad er forbundet, er det også vigtigt at have fokus på netværksforbundne enheder som fx printere/kopimaskiner, overvågningskameraer, NAS bokse, Køleskabe, temperaturmålere m.v. Alle disse enheder udgør en potentiel trussel, hvis ikke vi sikrer os, at de enten er opdaterede eller utilgængelige for uvedkommende.

Hvad er omfattet?

Alle enheder der er tilsluttet et ikke offentligt/gæste netværk (trådløst eller kablet), på Aarhus Universitet er omfattet af denne politik. Der er dog en vis grad af differentiering mellem forskellige typer af udstyr.

Patch-politik for klientmaskiner, og udstyr på klientnetværkene

  1. Kritiske patches skal installeres indenfor 72 timer. (Det er systemejeren/systemforvalteren for it-arbejdspladsen, der sammen med informationssikkerhedsafdelingen afgør om en patch er kritisk).
  2. Andre patches skal installeres hurtigst muligt, og seneste indenfor 14 dage.
  3. Featureupdates, fx til Windows 10, skal installeres med en frekvens, som gør at klienterne altid er understøttede med nye sikkerhedsopdateringer m.v.
  4. Udstyr, som ikke længere er understøttet/omfattet af sikkerhedsopdateringer skal enten:
    1. skrottes.
    2. udskiftes.
    3. isoleres på et andet netværk.

Patch-politik for servere, der står i et beskyttet datacenter

  1. Kritiske patches skal testes og installeres hurtigst muligt. (Det er systemejeren/systemforvalteren, der sammen med informationssikkerhedsafdelingen afgør om et patch er kritisk).
  2. Andre patches testes og installeres hurtigst muligt, men kan ud fra risikovurdering udsættes til førstkommende servicevindue.
  3. Udstyr, som ikke længere er understøttet/omfattet af sikkerhedsopdateringer skal enten:
    1. skrottes.
    2. udskiftes/Opgraderes.
    3. isoleres.
      1. Udstyret må ikke være tilgængeligt fra internettet, og må ikke bruges til adgang til internettet.
      2. Udstyret skal isoleres på netværket, så der ikke er adgang til andet kritisk udstyr (microsegmentering).
      3. Hvis ikke udstyret skrottes eller udskiftes/opgraderes, kræver det en dispensation.

Patch-politik for udstyr på laboratorienet

  1. Kritiske patches skal testes og installeres hurtigst muligt.
  2. Andre patches testes og installeres hurtigst muligt, men kan ud fra risikovurdering udsættes i op til 6 måneder.
  3. Den eneste gyldige grund til at beholde ældre ikke-patchet udstyr er (kræver dispensation):
    1. Udstyret er påkrævet for at køre noget andet – fx en pc til styring af noget udstyr, der kræver ældre udstyr pga. fx software afhængigheder, indstikskort e.lign.
    2. Det er (uforholdsmæssigt) dyrt at opgradere udstyret til noget mere ”moderne”. (xxx)xx.xxx kr.
    3. Udstyr der ikke kan patches/opdateres/udskiftes skal isoleres mest muligt.
      1. De må ikke være på netværket, hvis det er muligt at opsamle og overføre data på anden vis.
      2. Udstyret må ikke være tilgængeligt fra internettet, og må ikke bruges til adgang til internettet.
      3. Udstyret skal isoleres på netværket, så der ikke er adgang til andet kritisk udstyr (microsegmentering).
      4. Hvis der er tale om servere/pc’er til forskningsbrug, må de kun anvendes som laboratoriemaskiner, dvs. til styring af udstyr. De må ikke anvendes som hverken primære eller ekstra arbejds/klientmaskiner.

Patch-politik for øvrigt udstyr

  1. Kritiske patches skal testes og installeres hurtigst muligt.
  2. Andre patches testes og installeres hurtigst muligt, men kan ud fra risikovurdering udsættes i op til 6 måneder.
  3. Udstyr der ikke kan patches/opdateres/udskiftes skal isoleres mest muligt.
    1. De må ikke være på netværket, hvis det er muligt at opsamle og overføre data på anden vis.
    2. Udstyret må ikke være tilgængeligt fra internettet, og må ikke bruges til adgang til internettet.
    3. Udstyret skal isoleres på netværket, enten på dedikerede net, eller via microsegmentering så der ikke er adgang til andet kritisk udstyr.
    4. Udstyr, der ikke længere er omfattet af sikkerhedsopdateringer, kan ikke være en del af fælles UNI AD og fælles management.

Ansvar

Det er systemejeren, systemansvarlige, medarbejdere med ansvar for forsknings-it og ejere af netværksforbundne enheder, der har ansvaret for, at det udstyr man anvender er patchet, eller isoleret på passende vis. Hvis man anvender en pc, der er der installeret af den lokale it-support, vil den normalt være tilsluttet med automatisk opdatering. Det er ikke tilladt at slå den automatisk opdatering fra, uden en dispensation fra det centrale informationssikkerhedsudvalg (CISU).

Det er også muligt at få centrale opdateringer på pc’er og servere, som man selv installerer og vedligeholder. Det kan ske gennem henvendelse til den lokale it-support.

Hvis enheder ikke bliver patchet

Hvis man ikke patcher og vedligeholder sine systemer/enheder, udgør de en sikkerhedsrisiko for hele universitetet.

AU IT foretager derfor jævnlige sårbarhedsscanninger, både interne og eksterne, og hvis en enhed viser sig at være sårbar, vil informationssikkerhedsafdelingen sikre, at der tages de nødvendige skridt til udbedring. Normalt vil det betyde, at man får en henvendelse om at opdatere udstyret, men hvis der er tale om kritiske sårbarheder vil adgangen blive lukket øjeblikkeligt. Det samme gælder, hvis ikke den pågældende enhed opdateres efter den aftale, som laves ved en henvendelse.