Dataverlies dankzij een multifunctional

Dataverlies dankzij een multifunctional

Alle investeringen in it-security ten spijt, slaan hackers elke dag wel ergens toe of raken gegevens kwijt door verkeerde, onbewuste handelingen. De economische schade is groot. Berekeningen voor cybercrime alleen al lopen op tot 388 miljard dollar per jaar wereldwijd. Een op de vijf Nederlandse bedrijven heeft volgens Ernst & Young afgelopen jaar te maken gehad met cybercrime. Meer dan de helft van de slachtoffers noemde een schadepost van tussen de 10.000 en 500.000 euro. Toch wordt er nog altijd weinig geïnvesteerd in beveiliging. Bovendien richten de investeringen zich met name op externe bedreigingen, terwijl veel van de risico’s van binnenuit komen.

Gefrustreerde of ontslagen werknemers, of een menselijke fout vormen een reële bedreiging. Incidenten vinden veelvuldig plaats, maar krijgen nauwelijks bekendheid, vaak vanwege bescherming van de betrokken partijen. Maar de voorbeelden zijn er wel degelijk, zoals een Canadese bank die jarenlang gevoelige klantgegevens naar het verkeerde faxnummer stuurde. Of de misstap die een hr-medewerker maakte door een e-mail bedrijfsbreed te versturen met een loontabel, inclusief namen van de salarisontvangers. Hoewel in deze gevallen ‘slechts’ privé-gegevens openbaar worden, hebben bijvoorbeeld machine- of elektronicafabrikanten te kampen met spionage, wat een zware terugval in concurrentievoordeel kan betekenen. Misplaatste documenten zorgen in het beste geval voor een langere zoektocht, maar in ergere gevallen dataverlies met mogelijk grote gevolgen voor de bedrijfsvoering.

Risico onderschat
Als het over dataverlies gaat, praten we meestal over verloren laptops en usb-sticks. Gegevens die via mail ongewild het pand verlaten komt op de derde plaats. Fax-apparaten worden steeds minder gebruikt, maar multifunctionals (mfp’s) steeds meer. En deze mfp‘s worden steeds veelzijdiger. Veel mfp’s beschikken tegenwoordig over een eigen computersysteem inclusief harde schijf en hebben toegang tot het netwerk om gegevens uit te wisselen. Dat is hun voordeel, maar ook gelijk hun risico. Bovendien is er vaak sprake van een internetverbinding om gescande documenten direct via mail te versturen. Een uitgelezen kans om identiteitsdiefstal te plegen en dataverlies mogelijk te maken. Securityleveranciers hebben hier nauwelijks oog voor, laat staan dat de gebruikers bewust zijn van de gevaren. De aandacht gaat naar it-apparatuur op de werkplek, niet naar het centrale punt waar belangrijke documenten kunnen worden gescand, gekopieerd en afgedrukt. Onderzoek van Kroll (Global Fraud Report 2010) wijst uit dat slechts de helft van de Europese bedrijven maatregelen neemt om misbruik van printers en kopieerapparaten te voorkomen. Daartegenover staat de groeiende functionaliteit om informatie te gebruiken. Dit is in te delen in drie gebieden:
• Datastroom: Het versturen van gegevens van mfp naar een ander systeem, stelt eisen aan de veiligheid van het netwerk, zoals encryptie en beveiligd netwerkverkeer.
• Informatie in gebruik: in veel traditionele bedrijfsprocessen worden documenten gescand en gekopieerd, aan anderen overgedragen en opgeslagen in nieuwe locaties, met of zonder tussentijdse aanpassingen. Hierbij ontstaan verschillen secuirty-vraagstukken: wie mag een bepaald document lezen of bewerken? Betreft het de juiste ontvanger? Hoe kun je ervoor zorgen dat het juiste faxnummer of e-mailadres wordt gebruikt?
• Informatie in rust: met betrekking tot opgeslagen informatie moet vast worden gelegd, waar dat is, wie er toegang heeft, wie veranderingen mag doorvoeren en wie gegevens mag exporteren.

Praktische maatregelen
Om dataverlies en spionage te voorkomen zijn een aantal praktische maatregelen te nemen. Steeds vaker worden mfp’s gezamenlijk geleverd met software die een bepaalde bescherming bieden. Een veel gezien voorbeeld is de authenticatie met behulp van een pincode, of geavanceerder zoals smart cards en vingerafdruk. Uitgebreidere toepassingen bieden modules om server-gebaseerde workflows te controleren en die te bedienen zijn via een grafische user interface. De volgende maatregelen zorgen voor een aanzienlijke verbetering van de bescherming:
• Toegangscontrole: met de grafische interface is de hele mapstructuur van het netwerk weer te geven. Net als op de computers of werkstations moet beperkte toegang tot bepaalde mappen en bestanden ook doorgevoerd worden op de mfp.
• Standaardinstellingen: intelligente systemen kunnen bij een bepaald documenttype bijpassende mappen, bestandsnamen en indexgegevens instellen, zodat de gebruiker enkel op bevestigingsknop hoeft te drukken. Dit vermindert de handmatige gegevensinvoer, en dus mogelijke fouten.
• Encryptie: om diefstal tijdens de gegevensoverdracht over het netwerk te voorkomen, kan informatie versleuteld worden verstuurd met een algoritme dat alleen het doelsysteem kan ontcijferen.
• Wachtwoordbeveiliging: naast encryptie zijn documenten zoals pdf-bestanden te beveiligen met een wachtwoord.
• Output controle: 1.Intelligente systemen kunnen in geval van send-to-fax, of sendto- email functies opgegeven nummers en adressen controleren op basis van eerder opgegeven of opgeslagen gegevens, en bij afwijkingen een foutmelding geven. Dit voorkomt het gebruik onjuiste faxnummers en e-mailadressen. 2. Daarnaast zijn filters aan te brengen op bepaalde steekwoorden in het document of opgeslagen watermerken. Op basis hiervan zijn acties of doelbestemmingen vast te leggen, zodat een gebruiker beperkt wordt tot enkel toegestane acties.
• eMonitoring: een soort logboek van alle uitgevoerde acties. Hiermee is precies te achterhalen wanneer een bepaalde actie door wie is uitgevoerd.

Conclusie
Medewerkers wantrouwen is niet aan te raden, maar het onderschatten van de huidige risico’s van het internet en de apparatuur die daarop is aangesloten, is ronduit gevaarlijk. Geautomatiseerde bescherming, ook van of misschien wel tegen medewerkers, is nodig om dagelijkse risico’s te minimaliseren. Het gevaar van mfp’s is juist dat de apparatuur zoveel mogelijkheden biedt, en dat ze zo onopvallend kunnen werken. De inspanning is klein, terwijl het effect groot kan zijn en dat is een interessant gegeven voor zij die geen goede bedoelingen hebben. Het is hierbij belangrijk om de maatregelen af te stemmen op de interne processen, ook om de acceptatie van medewerkers te verhogen. Want de noodzaak voor beveiliging in een bedrijf moet door iedereen herkend en erkend worden, en de maatregelen gedragen door de hele organisatie.

Meer informatie
Ook interessant

De Trias Energetica op z’n kop

Verduurzamen van bestaande gebouwen vraagt onder de huidige economische omstandigheden soms om onconventionele oplossingen. Als het gaat om duurzaamheid, heiligt het doel de middelen. De ‘Tria...

Veilig werken op hoogte

Werken op hoogte vormt een van de grootste risico´s binnen de glazenwassers- en gevelreinigingsbranche. Het is uiteraard van het grootste belang dat dit op een veilige manier gebeurt. De branc...

Rijden robots straks door het magazijn?

Robotiseren of niet? Ook in zorginstellingen of in het mkb kunnen facilitair managers baat hebben bij robots die een deel van het logistieke werk afhandelen. Of robotiseren een optie is, is on...

Is uw organisatie al klaar voor de toekomst?

Een periode van economische crisis en bezuinigingen leidt historisch gezien vaak tot creativiteit en geheel nieuwe inzichten en innovaties. Veel bedrijven vragen zich dan ook af of ze als orga...

Gaan uw ambtenaren met plezier naar het werk?

Uit ‘Het grote werkplezier onderzoek van Nederland’ dat werd uitgevoerd door adviesbureau PER4MANCE blijkt dat weinig ambtenaren dagelijks met plezier naar hun werk gaan. Structurele werkstres...

Echt samenwerken moet je ook willen

Nu een computer in het dagelijks beheer niet veel ingewikkelder meer is dan een koffieautomaat, de afdeling financiële zaken meer wil en moet zijn dan administratieve rompslomp, en leverancier...

Circulaire koffie dieper dan een tijdelijke trend

Werknemers willen in deze tijd graag eerlijke producten. Daarom is circulariteit een van de belangrijkste trends in de koffiebranche. Als het over dit thema gaat dan zijn er in bedrijven en in...