Alle investeringen in it-security ten spijt, slaan hackers elke dag wel ergens toe of raken gegevens kwijt door verkeerde, onbewuste handelingen. De economische schade is groot. Berekeningen voor cybercrime alleen al lopen op tot 388 miljard dollar per jaar wereldwijd. Een op de vijf Nederlandse bedrijven heeft volgens Ernst & Young afgelopen jaar te maken gehad met cybercrime. Meer dan de helft van de slachtoffers noemde een schadepost van tussen de 10.000 en 500.000 euro. Toch wordt er nog altijd weinig geïnvesteerd in beveiliging. Bovendien richten de investeringen zich met name op externe bedreigingen, terwijl veel van de risico’s van binnenuit komen.

Gefrustreerde of ontslagen werknemers, of een menselijke fout vormen een reële bedreiging. Incidenten vinden veelvuldig plaats, maar krijgen nauwelijks bekendheid, vaak vanwege bescherming van de betrokken partijen. Maar de voorbeelden zijn er wel degelijk, zoals een Canadese bank die jarenlang gevoelige klantgegevens naar het verkeerde faxnummer stuurde. Of de misstap die een hr-medewerker maakte door een e-mail bedrijfsbreed te versturen met een loontabel, inclusief namen van de salarisontvangers. Hoewel in deze gevallen ‘slechts’ privé-gegevens openbaar worden, hebben bijvoorbeeld machine- of elektronicafabrikanten te kampen met spionage, wat een zware terugval in concurrentievoordeel kan betekenen. Misplaatste documenten zorgen in het beste geval voor een langere zoektocht, maar in ergere gevallen dataverlies met mogelijk grote gevolgen voor de bedrijfsvoering.

Risico onderschat
Als het over dataverlies gaat, praten we meestal over verloren laptops en usb-sticks. Gegevens die via mail ongewild het pand verlaten komt op de derde plaats. Fax-apparaten worden steeds minder gebruikt, maar multifunctionals (mfp’s) steeds meer. En deze mfp‘s worden steeds veelzijdiger. Veel mfp’s beschikken tegenwoordig over een eigen computersysteem inclusief harde schijf en hebben toegang tot het netwerk om gegevens uit te wisselen. Dat is hun voordeel, maar ook gelijk hun risico. Bovendien is er vaak sprake van een internetverbinding om gescande documenten direct via mail te versturen. Een uitgelezen kans om identiteitsdiefstal te plegen en dataverlies mogelijk te maken. Securityleveranciers hebben hier nauwelijks oog voor, laat staan dat de gebruikers bewust zijn van de gevaren. De aandacht gaat naar it-apparatuur op de werkplek, niet naar het centrale punt waar belangrijke documenten kunnen worden gescand, gekopieerd en afgedrukt. Onderzoek van Kroll (Global Fraud Report 2010) wijst uit dat slechts de helft van de Europese bedrijven maatregelen neemt om misbruik van printers en kopieerapparaten te voorkomen. Daartegenover staat de groeiende functionaliteit om informatie te gebruiken. Dit is in te delen in drie gebieden:
• Datastroom: Het versturen van gegevens van mfp naar een ander systeem, stelt eisen aan de veiligheid van het netwerk, zoals encryptie en beveiligd netwerkverkeer.
• Informatie in gebruik: in veel traditionele bedrijfsprocessen worden documenten gescand en gekopieerd, aan anderen overgedragen en opgeslagen in nieuwe locaties, met of zonder tussentijdse aanpassingen. Hierbij ontstaan verschillen secuirty-vraagstukken: wie mag een bepaald document lezen of bewerken? Betreft het de juiste ontvanger? Hoe kun je ervoor zorgen dat het juiste faxnummer of e-mailadres wordt gebruikt?
• Informatie in rust: met betrekking tot opgeslagen informatie moet vast worden gelegd, waar dat is, wie er toegang heeft, wie veranderingen mag doorvoeren en wie gegevens mag exporteren.

Praktische maatregelen
Om dataverlies en spionage te voorkomen zijn een aantal praktische maatregelen te nemen. Steeds vaker worden mfp’s gezamenlijk geleverd met software die een bepaalde bescherming bieden. Een veel gezien voorbeeld is de authenticatie met behulp van een pincode, of geavanceerder zoals smart cards en vingerafdruk. Uitgebreidere toepassingen bieden modules om server-gebaseerde workflows te controleren en die te bedienen zijn via een grafische user interface. De volgende maatregelen zorgen voor een aanzienlijke verbetering van de bescherming:
• Toegangscontrole: met de grafische interface is de hele mapstructuur van het netwerk weer te geven. Net als op de computers of werkstations moet beperkte toegang tot bepaalde mappen en bestanden ook doorgevoerd worden op de mfp.
• Standaardinstellingen: intelligente systemen kunnen bij een bepaald documenttype bijpassende mappen, bestandsnamen en indexgegevens instellen, zodat de gebruiker enkel op bevestigingsknop hoeft te drukken. Dit vermindert de handmatige gegevensinvoer, en dus mogelijke fouten.
• Encryptie: om diefstal tijdens de gegevensoverdracht over het netwerk te voorkomen, kan informatie versleuteld worden verstuurd met een algoritme dat alleen het doelsysteem kan ontcijferen.
• Wachtwoordbeveiliging: naast encryptie zijn documenten zoals pdf-bestanden te beveiligen met een wachtwoord.
• Output controle: 1.Intelligente systemen kunnen in geval van send-to-fax, of sendto- email functies opgegeven nummers en adressen controleren op basis van eerder opgegeven of opgeslagen gegevens, en bij afwijkingen een foutmelding geven. Dit voorkomt het gebruik onjuiste faxnummers en e-mailadressen. 2. Daarnaast zijn filters aan te brengen op bepaalde steekwoorden in het document of opgeslagen watermerken. Op basis hiervan zijn acties of doelbestemmingen vast te leggen, zodat een gebruiker beperkt wordt tot enkel toegestane acties.
• eMonitoring: een soort logboek van alle uitgevoerde acties. Hiermee is precies te achterhalen wanneer een bepaalde actie door wie is uitgevoerd.

Conclusie
Medewerkers wantrouwen is niet aan te raden, maar het onderschatten van de huidige risico’s van het internet en de apparatuur die daarop is aangesloten, is ronduit gevaarlijk. Geautomatiseerde bescherming, ook van of misschien wel tegen medewerkers, is nodig om dagelijkse risico’s te minimaliseren. Het gevaar van mfp’s is juist dat de apparatuur zoveel mogelijkheden biedt, en dat ze zo onopvallend kunnen werken. De inspanning is klein, terwijl het effect groot kan zijn en dat is een interessant gegeven voor zij die geen goede bedoelingen hebben. Het is hierbij belangrijk om de maatregelen af te stemmen op de interne processen, ook om de acceptatie van medewerkers te verhogen. Want de noodzaak voor beveiliging in een bedrijf moet door iedereen herkend en erkend worden, en de maatregelen gedragen door de hele organisatie.

Meer informatie