Beveiligingsupdate toegangssoftware verlopen: wat nu?

Een ISO 27001-audit staat gepland. Of er is een incident geweest. Of simpelweg: de melding komt binnen dat je toegangssoftware geen beveiligingsupdates meer ontvangt. Wat je daarna doet, heeft directe gevolgen voor je beveiligingspositie, je auditeerbaar­heid en de vraag of je de volgende audit doorkomt.

Verlopen security patches in een toegangssysteem zijn geen theoretisch risico. Ze zijn een aantoonbare zwakte die tegenwoordig in vrijwel elke serieuze beveiligingsaudit aan de oppervlakte komt.

Dit artikel legt uit waar de risico’s precies zitten, wat de compliancevereisten zeggen, en hoe je de situatie oplost zonder meteen een hardwarevervanging te hoeven doorvoeren.

---

Waarom een verlopen beveiligingsupdate meer is dan een IT-probleem

Toegangssoftware zonder actieve security patches staat bloot aan bekende kwetsbaarheden. Dat klinkt als een IT-vraagstuk, maar de impact is breder.

Fysieke toegangscontrole raakt direct aan wie er in welk gebouw, welke ruimte of welk datacenter kan komen. Als die software niet up-to-date is, heb je geen betrouwbare basis meer om toegangsrechten te handhaven. En als je toegangsrechten niet betrouwbaar handhaven kunt, kun je ook niet aantonen dat je dat hebt gedaan.

Dat tweede punt is voor een CISO minstens zo relevant als het eerste. Niet kunnen aantonen dat toegang correct was geregeld, is bij een audit hetzelfde als het niet correct geregeld hebben.

Drie concrete risico’s die spelen bij verlopen access control firmware of software:

1. Bekende exploits worden niet gedicht. Kwetsbaarheden die publiek gedocumenteerd zijn, blijven open. Aanvallers die gericht zoeken naar zwakke punten in fysieke beveiliging, weten dit.
2. Logging en audit trail worden onbetrouwbaar. Oudere systemen zonder actieve ondersteuning raken vaker uit synchronisatie, verliezen events of slaan data op in formaten die niet meer leesbaar zijn door moderne SIEM-systemen.
3. Integraties met identity governance worden kwetsbaar. Als je toegangssysteem niet meegroeide met je IAM-omgeving, raak je de koppeling kwijt tussen wie iemand is in je HR-systeem en welke fysieke toegang hij of zij heeft.

---

Wat ISO 27001 en NEN 7510 concreet vereisen

Beide normen zijn expliciet over toegangsbeheer, al formuleren ze het anders.

ISO 27001 vereist in controle A.9 dat toegangsrechten worden toegekend op basis van een formeel beleid, worden bijgehouden en worden ingetrokken bij vertrek of rolwijziging. Dat vereist een systeem dat actueel, auditeerbaar en aantoonbaar is.

ISO27001 (Annex A 5.18 (Access Rights) vraagt niet of je toegang geregeld hebt maar of je kunt bewijzen wie waar toegang had en dat rechten automatisch worden ingetrokken. Dat blijkt in de praktijk vaak niet aantoonbaar of incorrect bij handmatig managen.

NEN 7510, relevant voor zorginstellingen en overheidsorganisaties, stelt aanvullende eisen aan de registratie van wie toegang heeft gehad tot ruimten waar persoonsgegevens of medische informatie aanwezig is. Een audit trail die onvolledig is, verouderd of niet exporteerbaar, voldoet niet.

De AVG voegt daar een vierde laag aan toe. Onder artikel 32 zijn organisaties verplicht passende technische maatregelen te treffen om persoonsgegevens te beveiligen. Een toegangssysteem zonder patches, zonder aantoonbare logging en zonder integratie in een breder beveiligingsbeleid voldoet daar structureel niet aan.

Wat al deze kaders gemeenschappelijk hebben: ze vragen aantoonbaarheid. Niet alleen dat het goed geregeld is, maar dat je kunt bewijzen dat het goed geregeld was.

---

De vraag die elke audit stelt

Stel je voor: er is een incident. Een onbevoegde persoon heeft toegang gekregen tot een ruimte. Of een voormalige medewerker had na uitdiensttreding nog twee weken een actieve badge.

De auditeur stelt een simpele vraag: wie had toegang tot deze ruimte op deze datum, en wanneer werd die toegang ingetrokken?

Met een modern, goed geconfigureerd toegangssysteem is dat antwoord beschikbaar binnen tien seconden. Met een legacy systeem zonder actieve ondersteuning is het antwoord vaak: we weten het niet precies, we moeten handmatig zoeken, of de data is er niet meer.

Dat verschil is het verschil tussen een bevinding en een tekortkoming. En in sectoren als zorg, onderwijs en overheid bepaalt dat verschil of je certificering in stand blijft.

---

Zero trust en fysieke toegang: de verbinding die veel organisaties missen

Zero trust is als beveiligingsprincipe goed ingeburgerd in de digitale omgeving. Niets vertrouwen, alles verifiëren, rechten minimaliseren. Maar in fysieke toegangscontrole werken veel organisaties nog op een model dat het tegenovergestelde doet: breed vertrouwen, achteraf controleren.

Dat betekent in de praktijk: medewerkers die toegang hebben tot ruimten die ze voor hun functie niet nodig hebben. Badges die niet worden ingetrokken bij rolwijziging. Aannemers of tijdelijk personeel met toegang die langer geldig is dan de opdracht.

Role-based access control, RBAC, is het antwoord op dit probleem. Toegang op basis van rol, niet op basis van wie er toevallig een badge heeft aangevraagd. Maar RBAC werkt alleen als je systeem actueel is, als rollen gekoppeld zijn aan je HR-systeem en als wijzigingen in real time worden doorgevoerd.

Een toegangssysteem zonder beveiligingsupdates en zonder integratie maakt RBAC in de praktijk onmogelijk om betrouwbaar te houden.

---

Hoe je de situatie oplost zonder hardware te vervangen

De oplossing die het minst voor de hand lijkt, is vaak de meest praktische: vervang de softwarelaag, niet de hardware.

Een hardware-agnostisch platform als Rhyzi werkt samen met bestaande lezers en controllers van ASSA ABLOY, Salto en Nedap. De hardware die al aanwezig is, blijft functioneren. Wat verandert is het platform dat de toegangslogica beheert, de rechten bijhoudt en de audit trail genereert.

Dat heeft directe gevolgen voor drie van de grootste pijnpunten bij een verlopen beveiligingsupdate:

De audit trail is onveranderbaar en direct doorzoekbaar. Wie had toegang, wanneer, en op welk besluit was dat gebaseerd: beschikbaar binnen seconden, niet binnen dagen.

Toegangsrechten zijn gekoppeld aan je HR-systeem. Een medewerker die uit dienst treedt, verliest automatisch toegang. Geen handmatige stap, geen vergeten badge.

Het platform ontvangt actieve updates. Geen verlopen patches, geen openstaande kwetsbaarheden die de leverancier niet meer adresseert.

Voor organisaties die werken onder NEN 7510 of ISO 27001 is dit geen luxe. Het is wat de norm feitelijk vereist.

---

Wat een CISO moet meenemen naar de directie

Als de vraag intern is of dit nu echt urgent is, helpen de volgende argumenten om de beslissing concreet te maken.

Een verlopen beveiligingsupdate in een toegangssysteem is een aantoonbare kwetsbaarheid. Als die kwetsbaarheid wordt uitgebuit en je kunt niet laten zien dat je het risico kende en geadresseerd had, is dat een governance-probleem, geen IT-probleem.

Fysieke en digitale beveiliging convergeren. Een aanvaller die fysieke toegang krijgt tot een serverruimte, omzeilt alle digitale beveiligingsmaatregelen. Fysieke toegangscontrole is daarmee onderdeel van je aanvalsoppervlak, niet een separaat domein.

De kosten van een bevinding in een audit overtreffen vrijwel altijd de kosten van een tijdige interventie. Zeker als die interventie geen volledige hardwarevervanging vereist.

---

Conclusie

Een verlopen beveiligingsupdate in je toegangssoftware is geen onderhoudsissue dat je kunt doorschuiven. Het is een open kwetsbaarheid in je fysieke beveiligingslinie, een compliancerisico onder ISO 27001, NEN 7510 en de AVG, en een aantoonbare tekortkoming bij de eerstvolgende audit.

De meest directe oplossing is een platform dat actief wordt onderhouden, een onveranderbare audit trail biedt en werkt met de hardware die al aanwezig is.

Wil je weten of jouw huidige infrastructuur compatibel is en wat een migratie in jouw situatie vraagt? Rhyzi biedt een technische quickscan zonder verplichtingen, spreek een expert

---

Veelgestelde vragen over beveiligingsrisico’s van verlopen toegangssoftware.

Wat zijn de compliancerisico’s van een toegangssysteem zonder beveiligingsupdates? Een systeem zonder actieve patches voldoet structureel niet aan ISO 27001 (controle A.9 en A5.18), NEN 7510 en artikel 32 van de AVG. De kern van die vereisten is aantoonbaarheid: je moet kunnen bewijzen dat toegang correct was geregeld en gelogd. Dat is onmogelijk met een systeem dat niet meer wordt ondersteund.

Hoe lang mag een beveiligingsupdate uitblijven voordat het een auditrisico wordt? Er is geen vaste termijn, maar de praktische grens ligt bij het moment waarop bekende kwetsbaarheden niet meer worden gedicht. Zodra je leverancier end-of-support heeft verklaard, loopt het risico actief op bij elke gepubliceerde CVE die jouw systeem raakt.

Kan ik mijn audit trail exporteren naar een SIEM-systeem? Dat hangt af van het platform. Moderne systemen bieden standaard integraties met SIEM-tools via API of syslog. Legacy systemen ondersteunen dit vaak niet of alleen in verouderde formaten. Vraag je leverancier expliciet naar de beschikbare exportopties.

Wat is het verschil tussen RBAC en de toegangsrechten die ik nu heb? Role-based access control koppelt toegangsrechten aan een functie of rol, niet aan een individuele medewerker. Bij rolwijziging of uitdiensttreding worden rechten automatisch aangepast. Dat voorkomt de situatie waarbij iemand na vertrek nog actieve badges heeft.

Werkt Rhyzi samen met mijn bestaande toegangshardware? Rhyzi is hardware-agnostisch en werkt samen met lezers en controllers van ASSA ABLOY, Salto en Nedap. Of jouw specifieke hardware compatibel is, kun je laten controleren via een technische quickscan.