GDPR-compliance: waarom printers een risico vormen

lawyer-printer-1
De belangstelling voor de beveiliging van het Internet of Things (IoT) is fors toegenomen na een reeks van grootschalige distributed denial-of-service (DDoS)-aanvallen die diverse
populaire websites platlegde. Hiervoor werd gebruikgemaakt van een botnet van duizenden gehackte bewakingscamera’s, digitale videorecorders en andere verbonden apparaten. De vraag is nu: welk apparaat wordt het nieuwe wapen van cybercriminelen?

Dat zouden wel eens printers kunnen zijn. Patches en toegangscontrole vormen belangrijke beveiligingsprioriteiten van IT-organisaties, maar worden over het hoofd gezien als het om printers gaat. Maar omdat printers met het bedrijfsnetwerk zijn verbonden, kunnen ze worden ingezet voor gegevensdiefstal en gerichte aanvallen. Nu de GDPR en andere wet- en regelgeving eraan zitten te komen, is de netwerkprinter de vergeten endpoint die met spoed onze aandacht vereist.

De GDPR in een notendop

De GDPR is een welkome en lang uitgebleven herziening van de EU-wetgeving inzake databescherming. De huidige wetgeving dateert van 1995, dus nog ver voor de dotcom-hype, Twitter, Facebook en de cloud. De GDPR houdt rekening met deze en toekomstige technologieën die persoonlijke gegevens genereren en gebruiken.

De GDPR gaat op 25 mei 2018 van kracht. Dat betekent dat bedrijven minder dan een jaar tijd hebben om aan de eisen daarvan te voldoen. Niet-naleving kan resulteren in een boete die overeenkomt met vier procent van de jaaromzet of 20 miljoen euro, waarbij telkens wordt uitgegaan van het hoogste bedrag. De nieuwe wetgeving verplicht bedrijven daarnaast om datalekken te melden. Directieleden maken zich met recht zorgen over de mogelijke reputatieschade die dit met zich meebrengt.

Een van de belangrijkste uitgangspunten van toezichthouders is wat IDC de “hoe hard heb je je best gedaan”-test noemt. Het is één ding om niet van een kwetsbaarheid op de hoogte te zijn, maar het is iets heel anders als je daar weet van hebt en er niets aan doet. Dat zal al snel op een boete komen te staan.

Het belang van printerbeveiliging

Hoe kwetsbaar zijn netwerkprinters nu eigenlijk? Deze apparaten ontvangen aanzienlijke hoeveelheden data, met inbegrip van persoonlijke gegevens. Daarnaast blijven er vaak documenten in printerlades liggen. Dit kan resulteren in datalekken. Voor bedrijven die persoonlijke gegevens verwerken, kan het in het kader van de nieuwe wetgeving nodig zijn om gebruik te maken van pull print-oplossingen. Deze eisen van gebruikers dat ze hun documenten ophalen en zich bij de printer authenticeren.

Printers vormen een uiterst aantrekkelijk doelwit voor cybercriminelen. Dat komt omdat ze niet als onderdeel van de IT-omgeving worden gezien en daarom weinig aandacht van het beveiligingspersoneel krijgen. Het printerbeheer wordt vaak aan de afdeling facilitair beheer overgelaten.

Combinaties van een printer, scanner en faxapparaat worden steeds geavanceerder. Vaak worden er Windows- en Linux-systemen in deze multifunctionele printers ingebouwd. Omdat deze nauwelijks door organisaties beveiligd worden en patching een sluitpost vormt, zijn ze kwetsbaar voor cyberaanvallen. En omdat hun functionaliteit om connectiviteit vraagt, worden er voor het gemak diverse poorten overgezet.

Dit betekent dat hackers printers op diverse manieren kunnen benaderen en ze als een springplank naar de rest van het bedrijfsnetwerk gebruiken. Ook worden documenten langer in de print spool en het scanarchief opgeslagen dan je zou verwachten.

Wat te doen? Hier volgen enkele aanbevelingen:

Zorg eerst voor overzicht

De eerste stap is om een overzicht op te stellen van alle printers binnen de organisatie, inclusief het merk, het model, de functies en configuratie. Een network access controller (NAC) of asset management-oplossing die in staat is om alle apparaten binnen het netwerk te detecteren kan daarbij helpen. Dat is geen overbodige luxe, omdat er vaak zonder toestemming printers met het netwerk worden verbonden.

Optimaliseer de beveiliging van printers

Printers moeten net als elke andere verbonden endpoint worden beheerd. Schakel onnodige printerservices uit, zoals FTP-toegang. Het belangrijkste van alles is echter het wachtwoordbeheer. De grootste fout die bedrijven maken is om de standaardwachtwoorden niet te wijzigen. Volgens het ‘2016 Data Breach Investigations Report’ van Verizon was 63% van alle datalekken te wijten aan zwakke, gestolen of standaardwachtwoorden. Omdat er vaak één printer op de tien werknemers wordt gebruikt, moeten bedrijven met 10.000 werknemers duizend wachtwoorden beheren. Gemak krijgt dan al snel voorrang boven de beveiliging. De op een na meest gemaakte fout is dat de gebruikersnaam en het wachtwoord worden opgeslagen in de vorm van onversleutelde tekst en makkelijk toegankelijk zijn voor iedereen met een http://-verbinding.

Installeer de laatste patches

De meeste beveiligingsincidenten zijn het gevolg van gebrekkige beveiligingspraktijken. Volgens het rapport van Verizon lag de top 10 van vaakst misbruikte kwetsbaarheden aan de basis van maar liefst 85% van alle succesvolle cyberaanvallen. Bovendien waren de meeste kwetsbaarheden reeds lang en breed door de fabrikant openbaar gemaakt.

Het patchen van endpoints zal ervoor zorgen dat je organisatie een lastiger doelwit wordt, zodat opportunistische hackers al snel op zoek zullen gaan naar organisaties die hun systemen niet met de laatste beveiligingsupdates hebben bijgewerkt.

Zorg voor veilige printerverbindingen

Verder is het belangrijk om de beheerprotocollen die voor printers worden gebruikt te optimaliseren. De meeste moderne printers kunnen worden beheerd via http- en/of https-verbindingen, en zelfs Telnet of Secure Shell (SSH). Kies voor een beheerprotocol dat gebruikmaakt van encryptie, zoals https of SSH, en deactiveer zwakke protocollen of protocollen die reeds gekraakt zijn, zoals SSLv3.

Ten slotte moet je voorkomen dat printers de deur naar het bedrijfsnetwerk wagenwijd openzetten. Netwerksegmentatie is een best practice op beveiligingsgebied die zeker ook op printers moet worden toegepast. Je kunt certificaten gebruiken om de toegang tot netwerkbronnen logisch te segmenteren en dataverkeer te versleutelen. Hou er wel rekening mee dat deze extra beveiligingsmaatregelen de printerfunctionaliteit kunnen beperken. Dat geldt bijvoorbeeld voor de toegang tot directory services als Active Directory en beheer en bewaking vanuit de cloud. De kunst is om het juiste evenwicht te vinden tussen het beveiligen van je printers en het behouden van hun zakelijke functionaliteit.

Het is enorm belangrijk om deze maatregelen te treffen. Want zeg nou zelf: het zou jammer zijn als je er alles aan hebt gedaan om aan de eisen van de GDPR te voldoen en een printer uiteindelijk je achilleshiel blijkt te zijn.

ADVIES

Wij helpen u graag met het vinden van de juiste oplossing voor uw organisatie.
MAAK EEN AFSPRAAK