Beveiliging en externe verbindingen

Bij de volgende vraag wordt al snel gedacht aan de internetverbinding waardoor we al die mooie flashy internetsites lekker snel kunnen bekijken. Natuurlijk valt dat onder de volgende vraag:

Zijn alle externe verbindingen inzichtelijk?

Maar bedenk dat er tegenwoordig vele externe verbindingen zijn waardoor we als organisatie risico’s lopen op ongeautoriseerde toegang tot ons netwerk, onze systemen en onze informatie.

De firewall en de verbindingen die via die firewall lopen kunnen we nog wel managen (toch?). Maar hoe zit het met al die draadloze verbindingen die via een simpel routertje met de buitenwereld verbonden zijn? Hoe zit het met de koffiezetautomaten, kopieerapparaten en toegangsbeveiligingssystemen die tegenwoordig ook al snel een externe verbinding in zich hebben? Hebben we die ook allemaal inzichtelijk en managen we die?

Je bent het inmiddels waarschijnlijk wel van me gewend, ik ga niet in op de wijze waarop je deze verbindingen technisch dicht kunt zetten of met technische maatregelen zo goed mogelijk kunt beveiligen. Nee, we gaan in op andere risico’s. Namelijk die van de informatie die via die verbindingen benaderd kan worden, zonder daarbij volledig te willen zijn.

Vele leveranciers (en afnemers misschien ook) maken gebruik van de informatie in onze systemen. Deels weten we dat omdat die leverancier nu eenmaal onderdeel is van de keten en willen we de keten goed kunnen besturen dan is dat gewoon noodzakelijk. We sluiten daarvoor allerlei SLA’s af en zorgen dat er geheimhoudingsverklaringen getekend zijn. Hoewel hier natuurlijk ook vele risico’s en vele kanten aan zitten, geloof ik wel dat we hier nog redelijk inzicht in kunnen krijgen.

Maar juist die systemen waarvan je het niet verwacht: de koffiezetapparaten en kopieerapparaten bijvoorbeeld. Onder het mom van het beter kunnen onderhouden van die systemen communiceren ze met de leverancier. Na zoveel kopjes koffie of na zoveel kopietjes moet er onderhoud gepleegd worden. Maar wie zegt me dat deze gegevens betrouwbaar zijn? Wie zegt me dat de meters geijkt zijn…dat willen we in een taxi toch ook graag, want teveel willen we zeker niet betalen.

Natuurlijk wil ik niet alle leveranciers van dergelijke apparaten over dezelfde kam scheren. Het merendeel zal trouwens betrouwbaar en integer zijn (hoewel ze nog steeds veel gegevens verzamelen waarvan we ons nog te weinig bewust zijn). Nee, het gaat juist om die leveranciers die we toch wat minder kunnen vertrouwen. Die de metertjes net wat sneller laten draaien waardoor er eerder onderhoud nodig is of die de kopietjes uitlezen en aan je concurrent doorverkopen (want, ja ze worden opgeslagen op de harde schijf in het apparaat).

Kortom, stel jezelf nog maar een keer de vraag: Zijn alle, echt alle, externe verbindingen inzichtelijk? En zo ja, weten we ook welke echte risico’s we met die verbindingen lopen?

Oh, even voor de duidelijkheid. Ik ben helemaal niet tegen dit soort verbindingen en veel leveranciers kun je gewoon vertrouwen. Nee, als het bijdraagt aan reductie van (onderhouds)kosten en we meer zekerheid hebben dat we iedere morgen een “vers” bakje koffie kunnen drinken, dan ben ik er alleen maar voor…mits we de risico’s onderkennen, natuurlijk.

Beveiligingstips voor kopieermachines

Een nog vaak onderschat risico is het risico van kopieermachines. Natuurlijk maken we ons personeel ervan bewust dat ze vertrouwelijke gegevens niet op het apparaat achter moeten laten, maar ook technisch zitten er risico’s aan.

Niet alleen bevatten meer en meer kopieerapparaten een harde schijf waarop de kopietjes digitaal worden opgeslagen. Nee ook beschikken meer apparaten over een netwerkaansluiting zodat de leverancier op afstand onderhoud kan plegen. Op zich niets mis mee natuurlijk want dat scheelt een hoop voorrijkosten. Toch kleeft juist hieraan een risico. Het apparaat hangt vaak in een onbeveiligd netwerk, niet alleen kan de leverancier erbij (die je hopelijk kunt vertrouwen), nee met een klein beetje moeite staat het apparaat open voor de hele buiten wereld.

Het is te vergelijken met het instellen van routers en modems, daarbij wordt nogal eens vergeten het inlogaccount en het standaard wachtwoord te wijzigen. Zo ook met kopieerapparaten. Natuurlijk beschikken de meer moderne machines over een beveiligde versleutelde verbinding, maar die is niets waard als het inlogaccount en het wachtwoord voor het grijpen liggen.

Volgens de Federal Trade Commission moeten systeembeheerders op dezelfde kopieermachines beheren zoals ze met computers en servers doen. Veel van deze apparaten bevatten een harde schijf waar vertrouwelijke informatie op kan achterblijven. De FTC heeft een nieuwe publicatie uitgebracht waarin tips staan voor bedrijven om zich nog beter te beveiligen tegen diefstal of verlies van data, voornamelijk op die van kopieermachines (bron).

In de vrij te verkrijgen PDF staan nog veel meer tips en risico’s beschreven.

Overigens worden meer en meer apparaten gekoppeld aan het internet, niet alleen kopieermachines. Nee ook koffiezetapparaten bijvoorbeeld. Niet dat die nu ineens vertrouwelijke informatie bevatten, maar als je de leverancier afrekent op het aantal bakken koffie die de automaat heeft uitgespuugd is het misschien ook goed om daar eens vluchtig naar te kijken. Wie weet betaal je wel teveel.

Persoonlijk vind ik het een positieve ontwikkeling dat er nagedacht wordt over innovaties, ook als het gaat om kopieerapparaten en koffiemachines. Maar het kan geen kwaad om in een verloren uurtje eens na te denken over de beveiliging daarvan. Hoewel ik natuurlijk direct op wil merken dat we ook niet door moeten schieten…het is immers maar koffie en daar kunnen we best een paar uurtjes zonder.

Beveiligingscamera’s zijn niet alleen maar slecht…

Deze week gooien we er maar weer eens wat filmpjes tegenaan, niet omdat de inspiratie ontbreekt om teksten te schrijven, maar omdat beelden zoveel meer kunnen zeggen dan 1000 woorden. Vandaag een al wat ouder filmpje, misschien heb je hem wel eens eerder gezien, maar hij blijft leuk.

Er is veel te doen over beveiligingscamera’s in combinatie met privacy (en geloof me, veel camera’s leggen meer vast dan wij weten), maar sommige mensen vragen er ook om om vereeuwigd te worden op het internet.

Privegegevens beschikbaar door lek kopieermachines

Door een gebrek aan beveiliging van de harde schijf in kopieerapparaten is persoonlijke en financiele informatie gemakkelijk beschikbaar voor derden. Ook in Nederland kan dit zorgen voor problemen als identiteitsdiefstal en creditcardmisbruik (bron).

Een bekend probleem waarvoor binnen de branche al langere tijd gewaarschuwd wordt, tevergeefs in veel gevallen. Kopieerapparaten beschikken tegenwoordig over aan interne harde schijf (en vaak een netwerkverbinding) waardoor de kopieen digitaal opgeslagen worden. De beveiliging van deze harde schijven laat te wensen over waardoor de gegevens er gemakkelijk afgehaald kunnen worden.

Nu richt dit bericht zich op de harde schijven in de kopieerapparaten, maar onderschat de netwerkverbindingen ook niet. De leverancier heeft op afstand toegang tot het apparaat zodat hij bij een storing snel in kan grijpen, maar dat hij (wellicht) via deze verbinding ook op je netwerk kan komen is bij veel bedrijven nog niet bekend.

Natuurlijk moeten we de ontwikkelingen in de techniek niet, vanwege beveiligingsobstakels, tegen willen houden. Maar het zou leveranciers niet misstaan als ze bij de ontwikkeling van dergelijke apparaten toch even naar de beveiliging ervan kijken of minimaal de gebruikers ervan op de hoogte stellen van de beveiligingsrisico’s. Een algemeen gehoord excuus is dat met beveiligingsmaatregelen de apparatuur duurder wordt dan dat van de concurrent. Dat zou kunnen kloppen, maar is goedkoop niet duurkoop in dit geval? Moet de gebruiker geen keuze vrijheid worden geboden? Of een goedkope machine zonder beveiliging of een iets duurdere maar dan wel een waarbij de beveiliging goed geregeld is?

Zolang er nog veel onbegrip is over beveiliging en risico’s zal dit de spagaat zijn waarin we blijven zitten. Te vaak wordt alleen gekeken naar de kosten en niet naar de risico’s. Na een incident krabben we ons dan achter de oren en vragen we ons af hoe dit in hemelsnaam heeft kunnen gebeuren. Het antwoord daarop is vrij simpel: het beveiligings- en risicobewustzijn bij bedrijven is onder de maat…en geloof me je loopt nog veel meer en grotere risico’s dan alleen het lekken via kopieermachines. Hoe je achter die risico’s komt? Ook dat antwoord is vrij simpel: risicomanagement invoeren.