10 tips om legacy systemen te beveiligen

“Legacy” is een term die binnen IT gebruikt wordt om verouderde software of systemen aan te duiden die vaak ook niet langer ondersteund worden door de maker er van. In tijden waarin steeds nieuwe manieren worden gevonden om binnen te dringen in systemen en netwerken is dit een beveiligingsrisico: de maker zal geen aanpassingen voorzien om de software of systemen te beschermen. Uiteraard is het daarom aan te raden geen verouderde of minder beveiligde software te gebruiken om persoonsgegevens te verwerken: het gebruik van dergelijke systemen botst met het basisprincipe van vertrouwelijkheid en integriteit van persoonsgegevens zoals voorzien in de privacywetgeving, niet in het minst GDPR.

Echter, tal van mogelijke redenen maken het stopzetten van het gebruik van legacy systemen niet altijd evident: het traject voor nieuwe software loopt vertraging op, of er is geen vervanging voor de oude systemen, of het is budgettair (nog) niet mogelijk, of … Hierdoor is de realiteit dat men soms (tijdelijk) met legacy systemen zit opgezadeld.

Deze blogpost wil een aantal nuttige tips aanreiken aan DPO’s die geconfronteerd worden met legacy systemen en samen met de IT afdeling moeten kijken hoe er toch een  minimum niveau aan beveiliging kan worden geborgd.

  1. Waar mogelijk, zorg dat legacy software niet langer in contact staat met het netwerk of internet. Indien die connectie nodig is, zorg er voor dat de software draait op een computer waarbij de toegang tot het netwerk en internet sterk beperkt is: plaats het systeem in een afgescheiden deel van het netwerk, blokkeer toegang tot netwerkschijven, mail, en webbrowsers.
  2. Vermijd het gebruik van onbekende diensten zoals macro’s of browser plugins. Veel mogelijke aanvallen maken gebruik van dergelijke diensten.
  3. Vermijd het gebruik van verwijderbare media zoals USB sticks, deze kunnen namelijk onbetrouwbare inhoud bevatten.
  4. Converteer verouderde systemen naar ‘thin client’-apparaten die alleen worden gebruikt om verbinding te maken met betrouwbare systemen. Op die manier zal het verouderde systeem louter dienen als doorgeefluik naar een sterker, betrouwbaarder systeem.
  5. Verwijder onnodige diensten van verouderde servers. Louter de hoogst noodzakelijke diensten voor de continuïteit van de onderneming zouden geactiveerd mogen zijn.
  6. Verwijder de mogelijkheid tot toegang op afstand (ook wel ‘remote support’, zoals Teamviewer, VNC, e.d.m.) van verouderde systemen, servers en diensten.
  7. Overweeg om een extra ondersteuningscontract af te sluiten bij de fabrikant (zoals Microsoft dat nog een tijd voor Windows XP doet)
  8. Voorzie een uitgebreide monitoring- en antivirussoftware op het legacy systeem zodat eventuele inbreuken sneller opgemerkt worden
  9. Installeer een anti-virus toepassing om inbreuken te detecteren en hopelijk te verwijderen
  10. Stel een incident procedure op: de kans op een inbreuk met een legacy systeem is aanzienlijk groter, dus je kunt maar beter voorbereid zijn!

Mocht dit nog niet duidelijk zijn: deze tips helpen om legacy systemen op een veiligere manier actief te houden. Dit is echter per definitie tijdelijk!