Tag: printer

Pas op: de printer staat in de brand

  door

Studenten aan de de Universiteit van Columbia zijn er in geslaagd om de besturing van printers op afstand te beïnvloeden. Zij toonde ook aan dat het vrij eenvoudig is om via een printer in te breken in computernetwerken. Zelfs het op afstand in de brand zetten van een printer, is mogelijk. Daarvoor laat je de printerkop steeds op 1 plek printen met het doel dat deze oververhit raakt en in brand vliegt.(bron)

Natuurlijk weten wij al jaren dat het via printers, kopieerapparaten, koffiezetautomaten en allerlei andere randapparatuur mogelijk is om op het netwerk in te breken. Dat zijn niet de automaten waar we het eerst aan denken als we aan informatiebeveiliging gaan doen maar we moeten ze niet uit het oog verliezen.

Maar dat het ook mogelijk is om op afstand een printer in de brand te steken was ook voor mij wel weer even een eye opener. Op zich natuurlijk ook wel weer logisch maar dit risico stond ook nog niet op mijn “standaard lijstje”. Eigenlijk is het wel erg simpel: zorg ervoor dat de printer oververhit raakt en na verloop van tijd zal hij in de brand vliegen.

We moeten nu dus niet alleen vrezen voor een inbraak via dergelijke apparatuur waarbij onze informatie op straat raakt maar we moeten er ook voor waken dat er geen brand uitbreekt want dan zijn de gevolgen al helemaal niet meer te overzien.

Dat werpt toch weer een heel ander licht op het volgende artikel dat ik tegen kwam: De schade door grote branden bedroeg in 2011 circa 345 miljoen euro. Dit zijn branden met een geschatte schade van meer dan één miljoen euro(bron).

Hier ging het om 91 gevallen die voor een gezamenlijke schade van 345 miljoen zorgen, dat betekent dus zo’n 3,8 miljoen euro per geval. Daar kunnen we natuurlijk snel overheen stappen, maar we kunnen dit soort cijfers ook in ons achterhoofd houden bij onze risico analyses.

We klagen vaak dat er te weinig gegevens beschikbaar zijn om de kans en impact van een dreiging te kunnen berekenen. Met dit gemiddelde schadebedrag komen we misschien weer een stapje verder. En vraag je eens af: overleeft jouw organisatie een grote brand met een schade van 3,8 miljoen? En zo ja, hoe lang kunnen we dan zonder ons gebouw en welke omzet lopen we mis in die periode? Grote kans dat de organisatie een grote brand helaas niet overleefd.

We weten nu in ieder geval dat we ook goed moeten kijken naar onze printers en de brandveiligheid daarvan. Niet dat de kans nu ineens zo enorm vergroot is dat we ons acuut zorgen moeten maken, want laten we wel reëel blijven. Het is dus slechts informatie die we toe kunnen voegen aan onze standaard risico analyse. Weer wat geleerd, zullen we maar zeggen.

Beveiliging van printers en faxen

  door

Het is alweer even geleden dat we de vragen voor de volwassenheidscan van informatiebeveiliging hebben bedacht. Voor het geval je het niet wist. De afgelopen weken en de komende weken behandelen we de vragen uit deze scan afzonderlijk. Hoewel de fax toen zeker nog gemeengoed was kunnen we hem over een aantal jaar waarschijnlijk definitief uit de lijst halen…voor nu laten we hem nog even staan omdat ze toch nog gebruikt worden.

We maken even snel een printje of versturen nog snel even een fax. Tegelijkertijd worden we gebeld en vol enthousiasme gaan we het gesprek aan. Daarbij vergeten we helaas dat ons printje nog op de printer ligt. Oeps, onze vertrouwelijke informatie ligt voor het grijpen en we zijn ons er niet van bewust.

De vraag die hier natuurlijk bijhoort is:
Zijn printers, faxen en andere uitvoerapparaten zodanig opgesteld dat onbevoegden geen informatie mee kunnen nemen?

Laten we het hier vooral hebben over de printers. Voor de faxen geldt veelal hetzelfde maar ik kan me zomaar voorstellen dat hele jonge medewerkers nog nooit met een fax gewerkt hebben…wat een fax is? Nou, vraag dat maar aan je ouders…die kunnen je ook alles vertellen over LP’s en cassettebandjes.

Het is heel normaal om netwerk printers te hebben. Bijna niemand hoeft meer te beschikken over zijn of haar eigen printer. Geweldige apparaten tegenwoordig die dubbelzijdig kopiëren, er automatisch nietjes doorheen jassen en zowel kleur als zwart/wit aankunnen. Kleine wonderjes van machines, als je het mij vraagt.

Deze zijn aangesloten op het netwerk en na een x-aantal printjes gaat er automatisch een bericht naar de leverancier dat er onderhoud nodig is. Daarbij kun je je natuurlijk afvragen bij welke informatie de leverancier dan nog meer kan…want de printjes worden op een harde schijf in het apparaat bewaard. Maar dat is niet de vraag van vandaag.

Nee, de vraag gaat in op het feit of de geprinte informatie op een veilige plaats ligt. Gisteren zagen we al dat kantoren open instellingen worden. We kennen echt niet meer alle collega’s. De printer staat aan het eind van de gang dus zicht op ons printwerk hebben we niet meer.

Hoe vaak ben jij al naar de printer gelopen zonder dat je printjes er lagen? Vaak komt dat door een storing of een wachtij in de printer. Maar het kan ook zo zijn dat een ander er met jouw printjes vandoor is. Is dat een collega die per ongeluk de hele stapel heeft meegenomen dan is het risico misschien nog te overzien. Is het een toevallige passant die de informatie wel interessant vindt dan hebben we misschien een groter probleem.

Zaak is dus om er voor te zorgen dat medewerkers goed zicht houden op hun printjes en ze zo snel mogelijk van de printer verwijderen. Daarbij valt op dat printjes die mensen privé maken (ja, geef maar toe, iedereen print wel eens iets privé) sneller van de printer worden gehaald dan zakelijk printwerk. Maak je even een printje van je belastingopgave dan ren je naar de printer in de hoop dat niemand het onderschept. Print je vertrouwelijke gegevens namens je werk dan kan het zomaar een uur duren voordat je ze ophaalt…de kans dat je het in dat uur vergeet is enorm dus aan het eind van de dag liggen jouw printjes er nog.

Zorg er dus voor dat de printer op een veilige plaats staat. Heb je afdelingen die veel met vertrouwelijke gegevens werken dan kan het een aanrader zijn om voor hen een aparte printer te installeren. Deze staat dan veilig bij hen op de afdeling of je voorziet deze printer van een pincode waardoor er alleen geprint wordt als de medewerker er daadwerkelijk naast staat. Deze maatregel zie je tegenwoordig meer en meer toegepast. Er wordt alleen geprint na het ingeven van een pincode of een pasje. Leuk maar deels een schijnveiligheidsmaatregel. De medewerker gaat echt geen 15 minuten wachten tot al zijn printwerk netjes gesorteerd en geniet uit de automaat komt. Nee, hij geeft de pincode en loopt daarna weer terug naar zijn werkplek…om vervolgens te vergeten dat zijn werk nu wel op de printer ligt.

Beveiliging van printers en faxen. Het lijkt misschien zo makkelijk, maar in de praktijk toch een stuk weerbarstiger dan we denken. Vertel de medewerkers waarom je het zo belangrijk vindt en controleer eind van de dag of de printers weer allemaal leeg zijn dan zijn we alweer wat stappen verder.

Printer is goudmijn voor datadieven

  door

De beveiliging van printers en geprinte vertrouwelijke documenten bij bedrijven is slecht geregeld, zo blijkt uit onderzoek van Samsung. Zo ziet 56% van het personeel regelmatig vertrouwelijke stukken verlaten in de printer liggen en iets meer dan de helft is niet bekend met maatregelen om het printernetwerk te beveiligen. Met name mensen die in de financiele sector werken (68%) lopen vaak tegen gevoelige informatie aan die voor het oprapen ligt. In de gezondheidszorg gaat het om 34% van de werknemers die persoonlijke patientgegevens bij de printers vindt. Het zijn ook de gegevens van collega’s die hierdoor voor anderen inzichtelijk worden. Negentien procent ontdekte zo de salarisgegevens van andere werknemers, voortgangsgesprekken en C.V.’s.

De juiste combinatie van technische, procedurele, organisatorische, bouwkundige en elektronische op de organisatie toegesneden maatregelen kunnen de diefstal van vertrouwelijke stukken voorkomen. Zo kan er bijvoorbeeld voor worden gekozen vertrouwelijke stukken alleen op geselecteerde printers te laten printen (technische maatregel), procedureel kunnen medewerkers bewust gemaakt worden vertrouwelijke stukken niet op de printers achter te laten. Medewerkers kunnen persoonlijk verantwoordelijk gemaakt worden voor vertrouwelijke stukken (organisatorische maatregel) en printers voor vertrouwelijke stukken kunnen geplaatst worden in afgescheiden ruimtes met inbraakdetectie of biometrische toegangssystemen (bouwkundige en elektronische maatregelen).

Belangrijk is om de te nemen maatregelen af te stemmen op de processen en cultuur binnen de organisatie.