Wat zijn de risico's van legacy-systemen?

Vrijwel elke organisatie heeft ermee te maken: dat ene oude systeem dat niet vervangen kan worden omdat de hele fabriek erop draait, of die specifieke software waar de leverancier al jaren geleden de stekker uit heeft getrokken. Hoewel deze systemen technisch nog functioneren, vallen ze buiten de moderne beveiligingskaders.

Wat is legacy precies?

Het NCSC definieert legacy als systemen die niet meer worden onderhouden door de leverancier. Dit betekent dat er geen beveiligingsupdates meer verschijnen voor bekende kwetsbaarheden (CVE's). Hierdoor staan de digitale achterdeuren wagenwijd open voor aanvallers, terwijl de organisatie vaak niet eens meer de onderdelen heeft om een defecte server te repareren.

De vier risicocategorieën

Het gevaar van verouderde systemen laat zich volgens het NCSC onderverdelen in vier kritieke categorieën:

1. Gebrek aan ondersteuning: Zodra een leverancier stopt met updates, worden nieuwe beveiligingslekken niet meer gedicht. Dit was de hoofdoorzaak van de beruchte WannaCry-aanvallen, waarbij verouderde Windows-versies massaal werden gegijzeld door ransomware.
2. Verdwenen kennis: Veel legacy-systemen zijn zo oud dat de medewerkers die wisten hoe het werkte, inmiddels met pensioen zijn. Als er dan een incident optreedt, is er niemand meer die de code begrijpt of het systeem kan herstellen.
3. Beveiligingseisen van nu: Oude systemen zijn nooit ontworpen om gekoppeld te worden aan het internet of aan moderne AI-tools. Wie generatieve AI wil inzetten, moet een moderne 'cybersecurity-stack' hebben; legacy-systemen missen simpelweg de fundering voor zaken als sterke authenticatie of moderne monitoring.
4. Bedrijfsvoering: Soms sluit een systeem technisch nog wel aan, maar financieel niet meer. De kosten om een verouderd systeem in de lucht te houden (door dure specialisten of schaarse reserveonderdelen) wegen dan niet meer op tegen de baten.

De onzichtbare dreiging: Schaduw-IT en OT

Een extra grote uitdaging ligt in de Operational Technology (OT) — de systemen die sluizen, fabrieken en liften aansturen. Waar een gemiddelde laptop na vijf jaar wordt vervangen, gaan OT-systemen soms wel dertig jaar mee. De kans dat een leverancier in die tijd failliet gaat of kennis verloren gaat, is bijna honderd procent.

Daarnaast waarschuwt het NCSC voor 'geërfde' systemen na fusies of overnames. Deze systemen verschijnen vaak niet op de officiële inventarislijsten (schaduw-IT), waardoor ze buiten reguliere beveiligingsaudits vallen. Voor aanvallers zijn dit de ideale toegangspunten: ze bieden een gemakkelijke weg naar het hart van het netwerk zonder dat iemand het merkt.

Grip op het verleden

Voor CISO's (Chief Information Security Officers) is de opdracht helder: breng de blinde vlekken in kaart. Het NCSC adviseert organisaties om legacy-risico's op te nemen in het integrale risicomanagement. Het gaat niet alleen om het vervangen van hardware, maar om het nemen van 'mitigerende maatregelen'. Denk aan het isoleren van oude systemen van het internet (segmentatie) of het extra monitoren van netwerkverkeer van en naar deze digitale erfstukken.

In een tijd waarin digitale weerbaarheid een voorwaarde is voor continuïteit, is 'het doet het toch nog?' niet langer een acceptabel argument. Het verleden mag de toekomst van de organisatie niet in de weg staan.

De Legacy-checklist voor de CISO:

• Inventarisatie: Welke systemen draaien zonder actieve ondersteuning?
• Kennisborging: Is er nog documentatie of een specialist beschikbaar voor dit systeem?
• Isolatie: Is dit oude systeem direct verbonden met het internet? (Zo ja: ontkoppel het).
• Vervangingsplan: Wat zijn de kosten van een incident versus de kosten van modernisering?