Veilig printen in de Benelux: werk aan de winkel!

De rol van printer en MFP is een bijzondere in de informatievoorziening van een organisatie. Het is de plek waar digitale informatie fysieke vorm krijgt en vice versa. Het is ook het punt waar de verantwoordelijkheid van de IT-afdeling abrupt eindigt en waar die volledig bij de werknemer komt te liggen. Hoewel die scheiding helder lijkt, blijkt dat in de praktijk niet zo eenvoudig te liggen binnen veel organisaties in de Benelux. Al was het maar omdat printers en de bijbehorende dienstverlening lang niet altijd aangeschaft worden door de IT-organisatie. De printomgeving lijkt binnen veel organisaties wat IT-beveiliging betreft op een rafelrand. Beleid ontbreekt vaak, of is beperkt en het is lang niet altijd duidelijk wie er verantwoordelijk is, los van de individuele gebruiker zelf.

Om in kaart te brengen in welke mate organisaties in de Benelux zich risico’s veroorloven en wat ze daar aan zouden kunnen doen, heeft Pb7 Research in opdracht van HP Inc een onderzoek gedaan onder IT-beslissers, IT-security professionals en andere medewerkers die verantwoordelijk zijn voor de aanschaf en het beheer van printers/MFP’s bij meer dan 200 organisaties in Nederland en België met 50 of meer medewerkers. Daarbij hebben we vooral gekeken naar het bewustzijn, de incidenten, de uitdagingen waar organisaties mee worstelen en de mogelijke oplossingen.

Printer security als ondergeschoven kindje

Als we het met de respondenten over security incidenten hebben in de printomgeving, blijkt men zich vooral bewust van het risico dat vertrouwelijke informatie door onbevoegden wordt ingezien of meegenomen. Op zich is dat niet zo vreemd, want op dat gebied lijken ook de meeste incidenten plaats te vinden. Bij zeker één op de vijf organisaties zijn er in de afgelopen 12 maanden afdrukken met gevoelige informatie verdwenen van de printer. En dan zullen we er rekening mee moeten houden dat de meeste van deze incidenten waarschijnlijk onder de radar blijven.

En dat is een steeds groter probleem. Want we hebben ook gevraagd om wat voor gevoelige informatie het dan gaat. In 44% van de gevallen bleek het om privacygevoelige informatie te gaan. Met andere woorden, incidenten die veelal gemeld zouden moeten worden via de Meldplicht Datalekken en waar wel eens grote boetes op zouden kunnen staan zodra volgend jaar de Algemene Verordening Gegevensbescherming van kracht wordt.

Om de stroom van vertrouwelijke afdrukken in goede banen te leiden, is het allereerst belangrijk dat medewerkers zich bewust zijn van de risico’s en dat ze daar naar handelen. Dat begint met het aanwijzen van een eindverantwoordelijke en het vastleggen van beleidsregels. Op beide vlakken is zeker nog niet iedereen goed voorbereid. Bij 30% van de ondervraagde organisaties is er niemand eindverantwoordelijk naast de werknemer zelf. En in 46% van de ondervraagde organisaties ontbreekt het aan een duidelijk beleid waarin wordt bepaald hoe medewerkers op een veilige wijze met afdrukapparatuur om dienen te gaan.

Kijken we naar het beleid, dan zien we dat daarin vooral wordt vastgelegd hoe medewerkers moeten omgaan met gevoelige documenten en wie er verantwoordelijk is voor de instructie. Ook hoe er zorgvuldig wordt omgegaan met afgeschreven apparatuur staat in de top-3. Toch zien we dat geen van deze beleidsmaatregelen door een meerderheid van de organisaties in de Benelux worden gebruikt.

Maar een eenduidig beleid met betrekking tot veilig printen biedt geen volledige garantie. Slechts twee procent van de respondenten die aangaf over een veilig printen beleid te beschikken, geeft aan dat medewerkers zich ook altijd aan het beleid houden. Het merendeel zegt dat medewerkers zich vaak of bijna altijd er aan houden. Daardoor is het voor iedere organisatie slechts een kwestie van tijd voordat een incident plaatsvindt.

Technische hulpmiddelen

Om medewerkers te ondersteunen in de veilige omgang met printers, hebben organisaties steeds meer technische hulpmiddelen tot hun beschikking die vaak worden meegeleverd op nieuwe afdrukapparatuur. Denk aan authenticatie aan de printer, waardoor een document pas afgedrukt kan worden als iemand een PIN-code intoetst of zich met een pasje legitimeert. Veel organisaties zeggen over dergelijke faciliteiten te beschikken, maar dat betekent nog niet dat het gebruik ook goed vastgelegd is in beleidsregels. Terwijl 71% zegt authenticatie aan de printer te gebruiken, zegt maar 44% dat het gebruik daarvan verplicht is bij documenten met gevoelige informatie. De meest eenvoudige maatregel om het verdwijnen van documenten te voorkomen, is het gebruik van afdelingsprinters op bijvoorbeeld de financiële afdeling. Hier geldt dat 87% zegt hierover te beschikken. Maar tegelijkertijd geeft 69% aan dat medewerkers die toegang hebben tot deze printers ook wel eens gevoelige informatie via andere printers afdrukken.

Netwerkincidenten

Terwijl het verdwijnen van geprinte documenten een uitdaging is voor veel organisaties waar nog wel beleid op wordt gemaakt, blijven de risico’s van technische kwetsbaarheden veelal onderbelicht. Dat terwijl 9% van alle respondenten aangeeft dat printers in de afgelopen 12 maanden zijn gehackt, dat malware is geïnstalleerd, of dat een hacker via de printomgeving het netwerk heeft weten binnen te dringen. Veel van de respondenten blijken zich er helemaal niet van bewust te zijn dat dit tot de mogelijkheden behoort. Sterker nog, 46% acht het onwaarschijnlijk dat dat mogelijk is.

Het gebrek aan bewustzijn van de cybercrime risico’s leidt ertoe dat veel organisaties de technische mogelijkheden die op printers aanwezig zijn om de veiligheid te verbeteren vaak niet gebruiken. Het zorgt er ook voor dat de firmware van printers nogal eens aan de aandacht ontsnapt. Slechts 22% van de onderzochte organisaties zegt regels met betrekking tot het softwareonderhoud van de afdrukapparatuur te hebben vastgelegd.

Uitdagingen

De grootste uitdaging voor veilig printen is het gebrek aan aandacht voor het onderwerp. Respondenten beklagen zich vooral over het gedrag van medewerkers dat moet veranderen en het gebrek aan prioriteit en beleid binnen de organisatie. Omdat organisaties vaak niet veel verder komen dan dit punt, lijkt er nog maar weinig aandacht voor de veranderingen die plaats vinden in de printomgeving. Zo wordt steeds vaker printen toegestaan door mobiele apparaten van medewerkers én gasten, waardoor nieuwe risico’s ontstaan. Aan de andere kant zijn er steeds meer technische mogelijkheden om veilig te printen, maar ontbreekt het aan de aandacht hiervoor en verdiepen veel organisaties zich hier helaas niet in.

Analyse

De rondvraag onder Belgische en Nederlandse bedrijven bevestigt het beeld dat de printomgeving vaak een ondergeschoven kindje is als we naar IT-security kijken. Er is redelijk vaak nog wel beleid over hoe medewerkers dienen om te gaan met het afdrukken van vertrouwelijke informatie, maar daarbij lijkt vaak over het hoofd te worden gezien dat er een digitale informatiestroom aan een afdruk voorafgaat. We zien dat aan de ene kant het beleid ten aanzien van het gedrag van gebruikers nog behoorlijk kan verbeteren, terwijl we aan de andere kant zien dat er onvoldoende oog is voor de technische risico’s en mogelijkheden om dat te beperken.

Organisaties zouden er goed aan doen om deze rafelrand aan te pakken. Allereerst dienen er duidelijke verantwoordelijkheden te zijn. Hou daarbij in het oog dat er een dwingend belang bij is, vanuit de privacy wet- en regelgeving. Dat betekent dat de medewerker wel verantwoordelijk is, maar niet eindverantwoordelijk. Die verantwoordelijkheid ligt uiteindelijk bij de directie. Los daarvan zal IT, of IT-security, de volledige verantwoordelijkheid moeten nemen over de beveiliging van de printomgeving, ook als de aanschaf als facilitaire verantwoordelijkheid wordt beschouwd. De printomgeving biedt nu teveel mogelijkheden voor kwaadwillenden om het netwerk te betreden. Organisaties dienen allereerst de firmware up-to-date te houden en verder bewuster om te gaan met de security-mogelijkheden die printers bieden. Dat begint met het ontwikkelen van een visie op welke mogelijkheden nodig zijn. Vooral op het vlak van rol-gebaseerde autorisatie en intrusion detection is daar nog een groot gat.

Peter Vermeulen is directeur van Pb7 Research

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *