Uw firewalls werken, uw laptops zijn voorzien van encryted opslag, uw PC toestenbord heeft kaart-toegang, maar is uw document-verwerkende omgeving veilig?
Documenten zoals contracten, financiële rapportages, arbeidsovereenkomsten worden achter slot en grendel bewaard in brandvrije kasten en zijn fysiek dus beschermd. De financieel directeur houdt zijn kast echt wel op slot, maar hoe staat dat met de commerciële afdelingen? Iedereen waant zich veilig achter zijn pc met alle technische toevoegingen, althans voor het gewone dagelijkse werk.
Maar als je over een willekeurige gang loopt in een modern kantoorpand, dan zie je her en der van die netwerkprinters en multifunctionals staan in zogenaamde service-corners met een hoop papier in de uitvoerbakken of op de kast ernaast. Moet je voor de grap eens inkijken, dan schrik je wat voor documenten je daar aantreft: klanten-contracten, offertes, spreadsheet berekeningen met inkoopprijzen en marges, campagne-beschrijvingen, volledige uitdraaien van verkoopgebieden met alle contractdetail informatie, ontwikkelingsplannen, financiële overzichten enzovoorts.
En als je een paar van die documenten inkijkt of eruit haalt, heeft niemand het in de gaten. Hoezo is een firewall werkzaam tegen informatielekken? Ja, tegen een hacker van buitenaf. Maar we weten dat de meeste beveiligingsincidenten binnen de muren van een organisatie optreden. En dat eigen personeel de grootste lek is, zowel bewust als onbewust. De eerste stap die een organisatie moet nemen is het verplicht stellen van beveiligd printen, dus met een pincode van tenminste 4 cijfers. Daarmee voorkom je dat de fysieke documenten in de uitvoerbak komen te liggen op de gang. Dan kan je gelijk de banner-page uitzetten en bespaar je ook nog het milieu en kosten. Dus speel in op het groene gevoel van de gebruikers, maar maak het zo makkelijk mogelijk voor alle betrokkenen.
Een betere oplossing is om de MFP te voorzien van een pas-lezer of biometrische-lezer waarmee de gebruiker zich moet aanmelden. Dan heb je de (netwerk) authenticatie meteen geregeld en kan je bepalen welke functionaliteiten de gebruiker toegewezen krijgt. Daarmee kan je voorkomen dat documenten ongewild of onpersoonlijk naar ‘buiten' gemaild of gefaxt worden en dat de gegevens van de afzender meteen ingevoerd zijn (e-mail from-adres=gebruikersnaam). Dat moet je natuurlijk wel vermelden bij de MFP zodat er direct een preventieve werking van uit gaat.
Het ontwikkelen van een goed beleid is natuurlijk minstens zo belangrijk als de technische beveiligings-maatregelen. En in dat beleid moet dus ook het gedrag rond de verwerking van fysieke documenten, het printen, scannen en faxen opgenomen worden. Want printjes op de gang is een lust voor de social engineering hacker: niks is eenvoudiger om mee te nemen als ‘interimmer' dan ‘je eigen' printjes, gewoon onder de arm in de gang. Ze liggen er immers toch voor het oprapen?
Dit klinkt erg herkenbaar.
Mijn werkplek grenst aan de printerruimte/koffiehoek en daar is inderdaad ook zo’n tafel waar de uitgeprinte bladen neergelegd worden.
Bij wijze van proef heb ik meerdere malen uitdraaien gedaan van bedrijfskritisch informatie die tot mijn verwondering dagen lang op de tafel zie blijven liggen.
Bij mijn vorige opdracht was er een printbeveiliging op functieniveau per medewerker met een pinbeveiliging en behalve het feit dat er geen bedrijfsinformatie door de koffiecorner zweeft hoorde ik ook nooit dat er hele boekwerken van honderden pagina’s uit de bedrijfsprinters gespuwd werden.
Oftwel een afzetting van een ontzettende besparing op informatieveiligheid en printkosten tegen een geringe vermindering van gebruiksvriendelijkheid snap ik niet waarom er nog bedrijven zijn die dit niet hebben ingevoerd.
Dus een social engineering hacker heeft een toegangspas en komt langs al die vreemde mensen en paslezers om fysiek bij de printer te komen? Als dat zo makkelijk is, waarom komt die dan ook niet gewoon de serverruimte in?
En het printje waar Kees een 5 voudige biometrische 2 logische checks voor heeft moeten uitvoeren en op zijn bureau ligt om door te lezen en mee te werken, wordt weggeroepen voor een acuut probleem, wordt even weggeritst door Piet om te kopieren.
Excuses, maar het doet me allemaal te veel denken aan Terry Gilliam’s ‘Brazil’ uit 1985.
Schrijver van het artikel werkt bij een fabrikant van de in het artikel aangeprezen producten. Maar dit zie je pas wanneer je op de naam van betrokkenen klikt.
Wij van WC-Eend adviseren WC-Eend.
De ‘social engineer hacker’ is het best aan te pakken met een goed beveiligingsbewustzijn bij de medewerkers. Aanvulling met technische maatregelen kan nuttig zijn, als het past binnen de bedrijfscultuur en het in balans is met de risico’s verminderd worden.