Legacy systemen

Legacy systemen zijn verouderde software, hardware of IT-infrastructuur die nog steeds operationeel is binnen een organisatie, maar niet meer actief wordt onderhouden of ondersteund door de oorspronkelijke leverancier. Deze systemen draaien vaak op achterhaalde technologie en missen actuele beveiligingsupdates. In de praktijk tref je legacy systemen aan bij overheidsinstanties, ziekenhuizen, financiele instellingen en industriele bedrijven waar ze kritieke bedrijfsprocessen ondersteunen. Het begrip end-of-life of end-of-support markeert het moment waarop een leverancier stopt met het uitbrengen van patches en updates, waardoor de organisatie zelf verantwoordelijk wordt voor de beveiliging van het systeem.

Waarom vormen legacy systemen een beveiligingsrisico?

Het grootste gevaar van legacy systemen ligt in het ontbreken van beveiligingspatches. Wanneer een leverancier stopt met ondersteuning, worden nieuw ontdekte kwetsbaarheden niet meer gerepareerd. Aanvallers weten dit en richten zich specifiek op deze zwakke plekken. Volgens het NCSC bevatten legacy systemen regelmatig bekende kwetsbaarheden die actief worden misbruikt door cybercriminelen. De combinatie van bekende kwetsbaarheden en het ontbreken van patches maakt deze systemen tot een ideaal doelwit.

Daarnaast ondersteunen veel legacy systemen alleen verouderde protocollen en zwakkere vormen van cryptografie. Dit betekent dat de communicatie tussen systemen onvoldoende beschermd kan zijn tegen afluisteren of manipulatie. Ook de authenticatiemogelijkheden zijn vaak beperkt, waardoor het lastiger is om moderne beveiligingsstandaarden zoals multifactorauthenticatie toe te passen. De monitoring- en loggingcapaciteiten van legacy systemen zijn doorgaans ook beperkt, wat het detecteren van ongeautoriseerde activiteiten bemoeilijkt.

Voorbeelden van legacy systemen in Nederland

Een bekend voorbeeld is de Belastingdienst, die nog werkt met systemen uit de jaren zeventig. Deze draaien op programmeertalen zoals COBOL, waar steeds minder specialisten voor beschikbaar zijn. Het risico is niet alleen technisch, maar ook organisatorisch: als de kennis verdwijnt samen met pensioenerende medewerkers, kan een storing of beveiligingsincident niet meer adequaat worden opgelost. De afhankelijkheid van een krimpend aantal experts creert een single point of failure op kennisgebied.

Ook in de zorgsector komen legacy systemen veelvuldig voor. Ziekenhuizen gebruiken soms medische apparatuur met ingebouwde software die niet meer wordt bijgewerkt. Deze apparaten zijn vaak verbonden met het ziekenhuisnetwerk, wat ze tot een potentieel toegangspunt maakt voor aanvallers die op zoek zijn naar een 0-day kwetsbaarheid of andere zwakke schakels. In de industriele sector draaien veel SCADA-systemen en andere operationele technologie op verouderde besturingssystemen die niet meer worden ondersteund.

Risico's voor de bedrijfsvoering

Naast beveiligingsrisico's brengen legacy systemen ook operationele gevaren met zich mee. De kans op uitval neemt toe naarmate hardware ouder wordt en onderdelen moeilijker verkrijgbaar zijn. Een onverwachte storing in een legacy systeem kan leiden tot langdurige downtime, dataverlies en hoge herstelkosten. Bovendien zijn legacy systemen vaak moeilijk te integreren met moderne applicaties en clouddiensten, wat de digitale transformatie van een organisatie kan belemmeren.

Compliance vormt een aanvullend probleem. Wetgeving zoals de AVG en de aankomende Cyberbeveiligingswet stellen eisen aan de beveiliging van persoonsgegevens en systemen. Legacy systemen voldoen vaak niet aan deze eisen, wat kan leiden tot boetes en reputatieschade. Organisaties die onder de NIS2-richtlijn vallen, moeten aantoonbaar risicobeheer toepassen op al hun systemen, inclusief verouderde componenten. Het niet kunnen aantonen van adequate beveiligingsmaatregelen kan resulteren in handhavingsacties door de toezichthouder.

Strategieen voor het omgaan met legacy systemen

Er zijn verschillende benaderingen om de risico's van legacy systemen te beperken. De meest effectieve aanpak hangt af van je specifieke situatie, de complexiteit van het systeem en de beschikbare middelen. Hieronder vind je de meest gebruikte strategieen.

Netwerksegmentatie is een veelgebruikte maatregel. Door legacy systemen in een apart netwerksegment te plaatsen en het verkeer strikt te controleren, beperk je de mogelijkheid voor aanvallers om zich lateraal door het netwerk te bewegen. In combinatie met monitoring en logging kun je verdachte activiteiten rond deze systemen sneller detecteren. Het isoleren van legacy systemen in een afgeschermd segment is vaak de eerste en meest directe stap die je kunt nemen.

Virtual patching biedt een alternatief wanneer echte patches niet beschikbaar zijn. Hierbij worden beveiligingsregels op netwerkniveau ingesteld die bekende aanvalsvectoren blokkeren voordat ze het legacy systeem bereiken. Een intrusion prevention system (IPS) of web application firewall (WAF) kan deze functie vervullen. Dit is geen permanente oplossing, maar het kan tijd kopen terwijl je werkt aan een migratieplan.

Wrapping is een techniek waarbij je een extra beveiligingslaag rond het legacy systeem plaatst. Dit kan bestaan uit een moderne API-gateway die verzoeken filtert en valideert voordat ze het oude systeem bereiken. Zo profiteer je van moderne beveiligingsfuncties zonder het onderliggende systeem aan te hoeven passen. Deze aanpak is vooral nuttig wanneer het legacy systeem via een netwerk wordt benaderd door andere applicaties.

Een migratieplan opstellen

Voor de lange termijn is migratie vaak een geschikte strategie. Begin met een grondige inventarisatie van alle legacy systemen binnen je organisatie. Breng in kaart welke systemen de hoogste risico's vormen en welke bedrijfsprocessen ze ondersteunen. Voer een vulnerability scan uit om de actuele kwetsbaarheden in beeld te krijgen en prioriteer de systemen die de meeste aandacht verdienen.

Stel vervolgens prioriteiten op basis van risico en bedrijfsimpact. Systemen die gevoelige data verwerken of direct bereikbaar zijn vanuit het internet, verdienen de hoogste prioriteit. Werk samen met IT-specialisten en security experts om een realistische tijdlijn op te stellen voor vervanging of modernisering. Houd er rekening mee dat migratie niet alleen een technisch project is. Training van medewerkers, aanpassing van werkprocessen en het borgen van continuiteit tijdens de overgang zijn minstens zo belangrijk.

Een gefaseerde aanpak voorkomt dat je hele organisatie tegelijk wordt geraakt door veranderingen. Begin met de systemen die het hoogste risico vormen en werk stapsgewijs toe naar een volledig gemoderniseerde omgeving. Documenteer elke stap zodat je het proces kunt evalueren en bijsturen waar nodig. Betrek ook eindgebruikers bij het migratietraject, zodat zij voldoende tijd hebben om te wennen aan nieuwe systemen en werkwijzen.

Veelgestelde vragen over legacy systemen

Wanneer is een systeem een legacy systeem?

Een systeem wordt als legacy beschouwd wanneer de leverancier geen updates, patches of ondersteuning meer biedt. Dit staat ook wel bekend als end-of-life of end-of-support. Vanaf dat moment loop je als organisatie een verhoogd risico op beveiligingsincidenten omdat kwetsbaarheden niet meer worden verholpen.

Kunnen legacy systemen veilig blijven draaien?

Met de juiste compenserende maatregelen zoals netwerksegmentatie, monitoring en virtual patching kun je de risico's beperken. Volledig veilig is een legacy systeem echter nooit, omdat nieuwe kwetsbaarheden ongepatcht blijven en het aanvalsoppervlak alleen maar groeit naarmate de tijd verstrijkt.

Wat kost het om legacy systemen te vervangen?

De kosten variieren sterk afhankelijk van de complexiteit van het systeem en de afhankelijkheden binnen je organisatie. Het is belangrijk om ook de kosten van niet-migreren mee te wegen, zoals het risico op datalekken, boetes en reputatieschade die kunnen oplopen tot een veelvoud van de migratiekosten.

Hoe begin je met een legacy migratie?

Start met een inventarisatie en risicoanalyse. Breng alle legacy systemen in kaart, beoordeel de kwetsbaarheden en prioriteer op basis van risico en bedrijfsimpact. Schakel indien nodig externe expertise in voor een objectieve beoordeling en een realistisch migratieplan.

Vallen legacy systemen onder de NIS2-richtlijn?

Als je organisatie onder de NIS2-richtlijn valt, moet je risicobeheer toepassen op al je systemen, inclusief legacy componenten. Het niet adequaat beveiligen van deze systemen kan leiden tot handhavingsmaatregelen door de toezichthouder en tot aanzienlijke boetes.

Professionele hulp bij legacy systemen

Het veilig beheren, migreren of uitfaseren van legacy systemen vraagt om specialistische kennis. Via infrastructure security oplossingen op het platform vind je ervaren consultants die je helpen met risicoanalyses, technische oplossingen en strategisch advies op maat voor jouw situatie.

Vind de juiste cybersecurity-specialist voor legacy systemen via IBgidsNL.