Dataverlies is nog altijd een heet hangijzer. Men wordt geadviseerd allerlei it-investeringen te doen om het netwerk te beschermen. Helaas slaan hackers elke dag wel ergens toe of raken gegevens kwijt door verkeerde handelingen. Er is hierbij steeds meer aandacht voor zowel externe als interne bedreigingen. Maar een van de grootste middelen daarbij, de multifunctionele printer/scanner wordt nog maar al te vaak buiten beschouwing gelaten.
Er zijn voldoende voorbeelden, zoals een Canadese bank die jarenlang gevoelige klantgegevens naar het verkeerde faxnummer stuurde. Of de hr-medewerker die een e-mail bedrijfsbreed verstuurd met een loontabel, inclusief namen van de salarisontvangers. Dit betreft 'slechts' privégegevens maar wat als het gaat om concurrentiegevoelige patenten of andere bedrijfsinformatie? Misplaatste documenten zorgen in het beste geval voor een lange zoektocht, maar in ergere gevallen tot dataverlies met mogelijk grote gevolgen voor de bedrijfsvoering.
Risico onderschat
Dataverlies wordt meestel in verband gebracht met verloren laptops en usb-sticks of gegevens die via mail ongewild het pand verlaten. Een onderschat middel is de multifunctional. Deze mfp's worden steeds veelzijdiger en hebben een eigen computersysteem, inclusief harde schijf met toegang tot het netwerk om gegevens uit te wisselen. De internetverbinding biedt een uitgelezen kans om dataverlies mogelijk te maken. Securityleveranciers hebben hier nauwelijks oog voor, laat staan dat de gebruikers bewust zijn van de gevaren. De aandacht gaat naar it-apparatuur op de werkplek, niet naar het centrale punt waar belangrijke documenten kunnen worden gescand, gekopieerd en afgedrukt.
Maatregelen om dataverlies van binnenuit te voorkomen worden vaak wat argwanend bekeken. Alsof men de medewerkers niet kan vertrouwen. De praktijk wijst uit dat dit helaas niet anders kan. Het is ook niet zo zeer wantrouwen, maar meer het op waarde schatten van de huidige risico's van het internet en de apparatuur die daarop is aangesloten. Geautomatiseerde bescherming, intern en extern, is nodig om dagelijkse risico's te minimaliseren. De onopvallende mfp's zijn heel aantrekkelijk voor mensen met kwade opzet, maar kan ook onbewust verkeerd worden gebruikt. Toegangscontrole, encryptie, output-controle en documentbeveiliging zijn gemakkelijk in te voeren. Ze bieden een goede beveiliging, terwijl de eindgebruiker minimale last ervan ondervindt. En daarmee creëer je geen wantrouwen, maar gezonde bescherming voor iedereen.
Uit eigen ervaring weet ik dat multifunctionals zelden goed beschermd of of veilig geconfigureerd zijn. Zo kreeg ik vaak kinderlijk eenvoudig toegang tot images van gescande documenten met zeer vertrouwelijke inhoud. En niet elke consultant is gebonden aan een NDA (zoals ik dat meestal wel ben).
Ik denk dat er ook een reden is waarom multifunctionals zo slecht beschermd zijn. Het is apparatuur die vaak niet door IT wordt beheerd, maar onder verantwoordelijkheid van Facility Management valt. Die besteden het beheer uit en binnen het bedrijf zelf lijkt niemand zich verantwoordelijk te voelen voor de beveiliging.
Als mijn bevindingen gerapporteerd worden, is het meestal even schrikken. Maar dan worden er toch met moeite enkele aanbevelingen opgevolgd en is het iets veiliger geworden.
Tot 2 jaar later. Dan worden de multifunctionals vervangen door nieuwere modellen met een hogere kwaliteit en lagere prijs per kopie. En het circus begint van voor af aan.
In aanvulling:
Als een PC binnen een kantooromgeving afgeschreven is, wordt er doorgaans nog wel aan gedacht de harde schijf eerst goed leeg te maken, alvorens de PC af te voeren.
Multifunctionals daarentegen worden gewoon afgevoerd, terwijl op de harde schijf van dit soort apparaten vaak nog héél interessante documenten kunnen staan.
Vaak is men zich hier niet eens van bewust als eindgebruiker zijnde.
Een goed punt om te wijzen op de vele risico’s die er nog intern zijn. Grootste beveiligingsrisico is uiteindelijk toch vaak de gebruiker, die informatie laat slingeren of kwijt raakt. Vaak hoef je ook helemaal geen moeite te doen om images terug te halen omdat orgineel of kopie gewoon voor het grijpen ligt. Of je kopieert de informatie eenvoudig op een USB stick omdat computer niet vergrendeld wordt als printje opgehaald wordt.
Geïntegreerde beveiliging waarbij de smartcard gebruikt wordt voor zowel de toegangscontrole, authenticatie en encryptie zal inderdaad al veel helpen. Maar misschien nog beter om biometrie te gebruiken aangezien ook de smartcards vergeten worden en gebruikers zich vervolgens buiten sluiten.
Ter aanvulling:
Vele SAP-systemen hebben een ingebouwde smtp-functionaliteit waarmee gegevens gemakkelijk naar willekeurige internet adressen kunnen worden gemaild. Denk hierbij aan winst/verlies gegevens, klanten & leveranciersgegevens, personeelsdata, etc. etc. Het is dus zaak om de distributielijsten nauwkeurig te checken en toegang daartoe te beperken.
Het is natuurlijk prachtig te roepen hoe het dan wel zou moeten maar het jammere vind ik een beetje dat je niet leest dat je een stap daarvoor al bezig zou moeten zijn met dit onderwerp omdat het egwoon deel uit maakt van de hele keten binnen IT.
Het is zo bijzonder jammer die artikelen te lezen waarin, op commerciële leest geschoeide, meningen het hebben dat ‘Alles maar moet kunnen’ en de artikelen die het juist over de keerzijde hebben, zo in de minderheid blijken.
Beveiligen is niet alleen een zaak van de techniek maar behoort als een standaard, tussen de oren te zitten. Je ziet steeds vaker de effecten van het domweg ‘snijden’ in de IT als ‘begrotingssluitstuk’, en één van die effecten worden dan vervolgens hier gegeven.
Bijzonder jammer want beveiliging en veiligheid binnen de IT is gewoon een standaard policy. Althans, dat zou je bijna denken.