Denk aan printen, denk aan veiligheid

Transcriptie

1 Denk aan printen, denk aan veiligheid De printerbeveiligingslacune dichten April 2010 De algemene acceptatie van netwerkprinters en multifunctionele apparaten (MFP's) die scannen, printen, faxen, kopiëren en e mailen heeft de productiviteit bij het creëren van allerlei zakelijke documenten sterk verbeterd. Maar naarmate de apparaten geavanceerder worden, nemen ook de beveiligingsrisico's bij het printen toe. Via het netwerk, de vaste schijf en het geheugen staan MFP's bloot aan veel van de beveiligingsrisico's die ook voor pc's en servers gelden en blijft de kans bestaan dat vertrouwelijk geprint materiaal in verkeerde handen valt. Maar de beveiliging van de printomgeving wordt vaak veronachtzaamd en er wordt weinig gedaan om de gevaren in te perken. Hoewel de meeste bedrijven weten dat het extern lekken van vertrouwelijke informatie ernstige gevolgen kan hebben, beseffen zij niet dat een onbeveiligde printomgeving hun bedrijf in gevaar brengt. Omdat printen een essentieel element is in veel bedrijfsprocessen, behoort bescherming van netwerkprinters en MFP's in elke organisatie deel uit te maken van de IT beveiligingsstrategie. Beveiliging van printprocessen is met name noodzakelijk voor drie componenten: gebruikers, documenten en apparatuur. Door de gebruikerstoegang te controleren en documenten en apparaten te beveiligen, voorzien bedrijven ook in wettelijke vereisten inzake datavertrouwelijkheid, die alleen nog maar strenger zullen worden. Louella Fernandes Quocirca Ltd Tel louella.fernandes@quocirca.com Bob Tarzey Quocirca Ltd Tel bob.tarzey@quocirca.com Een onafhankelijk rapport van Quocirca Ltd. In opdracht van HP

2 1 Inleiding vormt printen de zwakke schakel in de beveiliging? Het aantal inbreuken op databeveiliging dat het nieuws haalt neemt sterk toe, en het beschermen van data tegen interne en externe gevaren is een essentiële stap voor bedrijven die zich aan een overvloed aan regels moeten houden. Ongeautoriseerde datatoegang kan leiden tot informatielekken of tot schending van de vertrouwelijkheid van data of het nu om financiële informatie gaat of om het intellectueel eigendom van een organisatie. En als het om persoonlijke gegevens gaat, stijgt ook de kans op identiteitsdiefstal en complianceproblemen. Verloren of gestolen data kunnen grote en kleine bedrijven niet alleen op boetes en rechtsvervolging komen te staan, maar ook hun merkimago en reputatie beschadigen. Veel bedrijven investeren weliswaar in de beveiliging van hun informatie om hun IT systemen te vrijwaren tegen externe en interne bedreigingen, maar slechts weinigen hebben dezelfde strategische aandacht voor de bescherming van hun printinfrastructuur, die toch essentieel is bij het creëren, produceren en distribueren van documenten. Zonder de juiste printbeveiliging kunnen bedrijfskritische documenten binnen enkele seconden bij ongeautoriseerde personen terechtkomen. Bij de evaluatie van IT beveiliging worden printers snel over het hoofd gezien, omdat ze vaak als "domme" randapparaten worden gezien. Maar de tijd dat printers beveiligd werden door ze achter slot en grendel te plaatsen, is voorbij. In elk kantoor zijn tegenwoordig de nieuwste multifunctionele randapparaten (MFP's) en netwerkprinters te vinden. Maar hoewel gedeelde printers snelheid en gemak bieden, introduceren ze ook veiligheidsrisico's, die door veel IT afdelingen niet afdoende worden afgedekt. Met functies voor printen, kopiëren, scannen naar netwerkbestemmingen, opslaan op lokale schijven, verzenden als e mailbijlage en verwerken van inkomende en uitgaande faxen hebben MFP's dezelfde zwakke plekken en veiligheidsrisico's als servers in het netwerk. Zelfs stand alone bewaren deze "intelligente" apparaten verborgen documentimages, waardoor gevoelige informatie openbaar kan worden. Met een vaste schijf, meerdere netwerkpoorten die open staan voor alle gebruikers, krachtige processoren en geïntegreerde besturingssystemen, webservers en e mailclients is een MFP allerminst een dom apparaat. Omdat printers vaak in gemeenschappelijke ruimtes met slechts een elementaire fysieke beveiliging staan, komt geprinte informatie gemakkelijk per ongeluk of met opzet in verkeerde handen terecht. En als een MFP zonder beveiliging de mogelijkheid biedt om gescande documenten te e mailen, kunnen vertrouwelijke documenten naar personen buiten het bedrijf worden gestuurd zonder dat de afzender te achterhalen valt. Bijna alle organisaties produceren geprinte informatie die bij misbruik de organisatie in meer of minder mate kan schaden. Als u bedenkt hoeveel documenten dagelijks worden geprint, gekopieerd, g d, gefaxt of gescand persoonlijke informatie, financiële overzichten, vertrouwelijke rapporten, e mails, klantgegevens en informatie over werknemers dan kan een ontoereikende beveiliging van printapparaten ernstige gevolgen hebben. Er zijn veel gevallen bekend waarbij de vertrouwelijkheid en integriteit van informatie in gevaar werd gebracht. In 2007 werd een medewerker van de investeringstak van een grote bank in New York gearresteerd. Hij had een werkplek bij een gedeelde printer en las wat zijn collega's printten. Deze prints bevatten ook informatie over aanstaande fusies en investeringsbeslissingen. De medewerker stuurde de informatie via e mail en zijn mobiele telefoon door; zijn medeplichtigen kochten of verkochten vervolgens aandelen en verdienden zo 7 miljoen dollar. De bank kreeg een boete voor handel met voorkennis en de medewerker werd een gevangenisstraf van enkele jaren opgelegd. Bescherming tegen inbreuk op de beveiliging is natuurlijk niet het enige probleem van organisaties. Bedrijven moeten ook zorgen dat hun data voldoen aan een groeiende lijst met regels van de overheid en de bedrijfssector, inclusief Basel II, MiFID en de Europese richtlijnen voor databescherming. Een algemeen vereiste is dat organisaties de toegang tot data controleren, audits uitvoeren op het datagebruik, de distributie van data beheren en data beschermen tegen verlies of ongeautoriseerde wijzigingen. Pagina 2

3 Veel bedrijven denken nooit na over de potentiële risico's van een slecht beveiligde printomgeving, maar apparaten kunnen veilig worden gebruikt door een strategie te implementeren die netwerkprinters en MFP's beschermt. Quocirca meent dat bedrijven hun strategie voor IT beveiliging en compliance ook in hun printomgeving moeten toepassen. Bedrijven moeten de printbeveiliging gelaagd aanpakken: krachtige ingebouwde printbeveiligingsfuncties zo dicht mogelijk plaatsen bij het punt waar de informatie wordt gecreëerd, zo nodig een geavanceerde, veilige printoplossing implementeren en best practices voor printen opnemen in het informatiebeveiligingsbeleid. Maar de effectiviteit van de beveiligingsstrategie van een organisatie is slechts zo sterk als de zwakste schakel. Om de risico's te minimaliseren, moet de juiste balans worden gevonden tussen mensen, processen en technologie beveiligd printen kan de kans dat vertrouwelijke documenten niet worden opgehaald tot een minimum beperken, maar kan niet voorkomen dat gevoelige documenten door een fout van een werknemer in de prullenbak belanden. Deze whitepaper belicht de voornaamste beveiligingsproblemen van netwerkprinters en MFP's en bespreekt de technieken waarmee de risico's kunnen worden beperkt. De whitepaper is verplichte leesstof voor iedereen die verantwoordelijk is voor IT beveiliging of het beheer van printers. 2 Wat zijn de zwakke plekken? Conclusies: Met vaste schijven, geheugen en geïntegreerde software zijn netwerkprinters en MFP s kwetsbaar voor aanvallen via het netwerk en bedreigingen van de dataveiligheid Apparaten bevatten vaak geïntegreerde webservers en draaien vaak kwetsbaarder services dan genetwerkte pc s Slechts weinig bedrijven zijn zich bewust van de gevaren van het gebruik van een onveilige printomgeving Gedeelde netwerkprinters en MFP's lopen risico's ten aanzien van data én netwerkbeveiliging. Printomgevingen consolideren steeds meer op MFP's en printers worden minder exclusief als persoonlijke apparaten gebruikt. We kennen allemaal het "printen en sprinten" nadat vertrouwelijk of gevoelig materiaal naar een printer is gestuurd, maar dit verschijnsel is slechts één van de vele zwakke schakels in de beveiliging, zoals in Figuur 1 te zien is. Pagina 3

4 Figuur 1. Zwakke schakels in de beveiliging van MFP's Bedreigingen van de printbeveiliging kunnen grofweg in de volgende categorieën worden ingedeeld: Op het apparaat: Niet opgehaalde documenten: Een gebruiker die onbeperkte toegang tot de printer heeft, kan een vertrouwelijk document meenemen dat door iemand anders is geprint. Documenten waarbij dit risico bestaat, zijn bijvoorbeeld geprinte of gekopieerde documenten die per ongeluk in de uitvoerlade van de printer blijven liggen, en faxberichten die op een MFP zijn binnengekomen. Dergelijke documenten kunnen ook gemakkelijk bij het gewone afval terechtkomen. Geheugen en vaste schijf: Op de vaste schijf worden allerlei typen hardcopy informatie opgeslagen, zoals gebruikersinformatie, images van verwerkte kopieer, scan, fax of printopdrachten en logbestanden van het apparaat. Zonder beveiligings of logaanpassingen kunnen ongeautoriseerde gebruikers bestanden opslaan en ophalen. Ook kan de schijf worden verwijderd en op een pc worden aangesloten om de data te bekijken. Scannen naar e mail: Zonder authenticatie kunnen gebruikers een bron of bestemming voor e mails invoeren. Dit betekent dat vertrouwelijke informatie gemakkelijk via een scan naar e mail of via de fax naar een externe bestemming kan worden gezonden, zonder dat de identiteit van de afzender te traceren is. Firmware: Data kunnen worden onderschept en op diverse manieren aan een externe partij worden toegespeeld. De firmware op sommige printers kan door toevoeging van deze mogelijkheid of een andere speciale functie zoals een "netwerk sniffer" zijn gewijzigd. Dit kan gebeurd zijn door gewijzigde firmware te uploaden of door een chip op de printplaat van de printer te vervangen door een gewijzigde chip. In het netwerk: Denial of service attacks: Elk apparaat met een netwerkinterface is ontvankelijk voor serviceonderbrekingen. Door geknoei met de beheerdersinstellingen van het apparaat of wijziging van de netwerklocatie van de printer kan het documentproductiesysteem buiten werking worden gesteld of anderszins ontoegankelijk worden gemaakt, zodat gebruikers geen documenten kunnen printen. Open of ongebruikte poorten: Een externe hacker kan een aanval starten via ongebruikte of open poorten. Toegang tot printopdrachten in printwachtrijen: Documenten kunnen uit een wachtrij of het lokale geheugen worden gestolen. Ook kan algemene netwerkinformatie worden gekaapt door eenvoudig de netwerkconfiguratie instellingen op een onbeveiligde printer te bekijken en aanvallen op andere netwerkapparaten mogelijk te maken. Voor elk bedrijf dat nalaat om zijn data te beschermen, kan dit ernstige gevolgen hebben, zoals beschadiging van de reputatie, boetes en uiteindelijk verlies van klanten en omzet. Beveiliging van de printomgeving moet daarom een essentieel onderdeel zijn van de totale beveiligingsstrategie; alleen dan kan een bedrijf zijn waardevolle apparatuur, data, werknemers, klanten en uiteindelijk zijn reputatie goed beschermen. Gelukkig kunnen de risico's worden beperkt door ingebouwde beveiligingsfuncties van de printer te gebruiken of door nieuwe maatregelen voor documentbeveiliging te implementeren of bestaande maatregelen te wijzigen. 3 Het risico beperken Conclusies: Documentveiligheid begint op het moment dat het document aangemaakt wordt Printbeveiliging beschermt de toegang tot printers, via ingebouwde beveilingsfuncties en geavanceerde hulpmiddelen Veel printers zijn uitgerust met uiteenlopende functies die kunnen worden gebruikt voor netwerkbeveiliging, zoals SNMP v3, IPSec, HTTPS en gebruikers en netwerkauthenticatie Geavanceerde beveiligingsfuncties zijn onder andere het wissen van de vaste schijf, encryptie en hulpmiddelen om het gebruik te controleren Pagina 4

5 Ter bescherming tegen de mogelijke gevaren in een niet beveiligde printomgeving zijn diverse maatregelen mogelijk die de ingebouwde beveiligingsfuncties van printers en multifunctionele apparaten aanvullen. Deze beperken de kans op ongeautoriseerde toegang tot documenten tot een minimum, beschermen tegen hackers en andere bedreigingen via het netwerk en bewaken de gebruikersactiviteit. 3.1 Begin daar waar de documenten worden gemaakt Het gebruik van geautomatiseerde classificatietools maakt het verwerken van de informatie gemakkelijker. Documenten die bijvoorbeeld zijn gemarkeerd als "openbaar" of "open", kunnen probleemloos worden geprint. Met documenten die gemarkeerd zijn als "persoonlijk", "vertrouwelijk" of "strikt geheim" moet op verschillende manieren worden omgegaan. Vervolgens kan met op regels gebaseerde engines gezorgd worden dat verschillende typen documenten alleen naar bepaalde printers worden gestuurd, zodat "vertrouwelijke" of "strikt geheime" documenten bijvoorbeeld alleen op een beveiligde printer in een betrouwbare omgeving worden geprint. Ook DLP tools (Data Leak Prevention) kunnen ook aan de beveiliging bijdragen. Met deze tools wordt de feitelijke inhoud van een datastroom bekeken. Wanneer daarin bepaalde inhoud wordt ontdekt (ofwel als directe één op één overeenkomst van tekstblokken, of als een "voldoende identieke" overeenkomst op basis van intelligente algoritmen), kan de printopdracht automatisch worden geblokkeerd of omgeleid, of kunnen gebruikers een bericht ontvangen dat hen waarschuwt voor de risico's van verzending van een dergelijke printopdracht naar de specifieke printer. 3.2 Voorzorgsmaatregelen treffen Classificatie en DLP bieden echter niet de complete beveiliging die nodig is. Afhankelijk van hun bedrijfsbehoeften kunnen organisaties een of meer van de volgende functies implementeren. Voor een totale bescherming van de informatie die door printapparaten wordt ontvangen en geproduceerd, moeten bedrijven zorgen voor: Fysieke beveiliging van apparatuur Gebruikersauthenticatie. Het gebruik van MFP functionaliteit kan worden beperkt, zodat gebruikers zich eerst moet identificeren voordat ze kunnen kopiëren, scannen naar e mail, scannen naar fax, scannen naar het netwerk en workflowscripts of geïntegreerde applicaties kunnen gebruiken. MFP's kunnen zo worden geconfigureerd dat gebruikers worden geverifieerd op basis van het adresboek van de organisatie, bijvoorbeeld via LDAP, LDAP over SSL of Kerberos. Deze authenticatiemethoden zijn veilig en over het algemeen compatibel met Microsoft Active Directory en andere adresboekservers. Dit betekent dat als een gebruiker e mail verstuurt vanaf een MFP, het e mailadres van de gebruiker automatisch wordt ingevoegd, zodat de e mail niet anoniem is of aan iemand anders kan worden toegeschreven. Authenticatie maakt ook auditing en toepassing van printbeleid mogelijk, waarmee wordt bepaald welke functies gebruikers mogen gebruiken. Herstel na een papierstoring. Gebruik functies die voorkomen dat een printopdracht automatisch opnieuw wordt geprint na een opgeloste papierstoring. Vaak is degene die de storing verhelpt niet degene die de printopdracht heeft gegeven, en zal de persoon die de storing verhelpt niet proberen de eigenaar van de documenten die opnieuw uit de printer komen op te sporen. Deze functie is vaak beschikbaar via printbeheertools of geïnstalleerde drivers. Vaste schijf wissen. Organisaties die een hoger beschermingsniveau nodig hebben, kunnen functies voor encryptie en wissen van data gebruiken om alle tijdelijke data en opgeslagen documenten op vaste schijven te beschermen. Encryptiestandaarden zijn 256 bits AES (Advanced Encryption Standard) en 168 bits TDEA (Triple Data Encryption Algorithm). Functies voor het wissen van data kunnen op diverse manieren worden geconfigureerd: data eenmaal overschrijven met nullen, eenmaal overschrijven met willekeurige data, of voor een maximale beveiliging driemaal overschrijven met willekeurige data. Wanneer data zijn gewist, zijn ze vanaf dat moment niet meer opvraagbaar. Door de schijf te wissen, kan een beheerder de schijf leegmaken en het apparaat leegmaken als het gerecycled of verkocht wordt. Bedrijven moeten op basis van gangbare typen documenten die wordt geprint bepalen of ze encryptie nodig hebben. Beveiliging van het netwerk Pagina 5

6 Schakel niet gebruikte netwerkpoorten en protocollen uit. Ongebruikte poorten en protocollen open houden nodigt uit tot ongeautoriseerde toegang en aanvallen van hackers. Daarom adviseren wij om ongebruikte poorten en protocollen gesloten te houden. In een netwerk dat alleen TCP/IP gebruikt, kunt u bijvoorbeeld protocollen zoals Ethertalk, Internetwork Packet Exchange/Sequenced Packet Exchange (IPX/SPX) enz. sluiten. Bescherming via IPSec. IPSec wordt bij printers en MFP's gebruikt om een printopdracht die tussen een host en het printapparaat wordt verzonden te beschermen. Door IPSec op de printer en de host toe te passen, worden de tussen deze systemen uitgewisselde data met krachtige encryptie beveiligd. Dit beschermt de inhoud van printopdrachten tegen 'afluisteren' via het netwerk. Netwerkauthenticatie met autorisatie voor afzonderlijke services per gebruiker. U kunt aangepaste toegang voor afzonderlijke services zoals scannen naar e mail instellen, zodat gebruikersauthenticatie op het apparaat vereist is. De authenticatie kan een wachtwoord op het apparaat vereisen of kan via een centrale adresboekserver naadloos in een IT omgeving worden geïntegreerd. Veilige gebruikerstoegang Functies voor gebruikersauthenticatie en toegangscontrole helpen de gebruikerstoegang te beveiligen en bewaken de gebruikersactiviteit. Pull printing. Dit pakt het basisprobleem aan van geprinte pagina's die op de printer liggen, zodat iedereen ze kan meenemen. Met pull printing houdt de printer verzonden printopdrachten vast tot de beoogde ontvanger aanwezig is bij het apparaat. Door de opdracht alleen te printen na gebruikersauthenticatie via een smart card of na invoering van de juiste PIN code op het bedieningspaneel van de printer, komt de opdracht in de juiste handen terecht. Om een wachtrij van oude printopdrachten te voorkomen, kunnen niet geprinte opdrachten na een bepaalde tijd automatisch worden verwijderd. Vergrendeling van het bedieningspaneel. Configuratie instellingen voor printers en MFP's zijn via het frontpaneel van het apparaat toegankelijk door op de menuknop te drukken. Daardoor kunnen gebruikers die geen beheerdersrechten hebben toegang krijgen tot de configuratie instellingen en daar ongewenste wijzigingen in aanbrengen. Om dit risico te minimaliseren, kunnen beheerders het bedieningspaneel vergrendelen met een wachtwoord. Bewaking van het gebruik. Via auditingtools die de printhistorie en het gebruik bewaken, kunnen ITmanagers alle printactiviteit op hun apparaten bijhouden. Door de toegang tot en het gebruik van de kopieer, print, fax of scanfunctie per gebruiker of groep toe te kennen, wordt ongeautoriseerd gebruik voorkomen. 3.3 Voordelen naast beveiliging Het beveiligen van netwerkprinters en MFP's biedt tal van voordelen, die verder gaan dan veiligheid alleen. Bedrijven kunnen ook kosten besparen en de hoeveelheid afval beperken door het printergebruik zorgvuldig te beheren met centrale beheertools. Betere betrouwbaarheid en compliance. Follow me of Secure Release oplossingen voorkomen dat vertrouwelijk materiaal in verkeerde handen valt. Audit en trackingfunctionaliteit zorgt dat printopdrachten volledig traceerbaar zijn om te voldoen aan vereisten voor audits en databeschermingsstandaarden zoals ISO of PCI DSS. Lagere kosten. Het bewaken en loggen van printactiviteiten en het implementeren van aanpassingen zodat gebruikers kunnen doen wat zij moeten doen zonder apparatuur oneigenlijk te gebruiken kan veel geld besparen. Toepassing van centrale controle kan het gebruik van kantoorprinters voor privédoeleinden terugdringen, bijvoorbeeld door gebruikers printquota toe te kennen, waardoor zij beter nadenken voordat ze onnodige jobs afdrukken. Het minimaliseren van niet opgehaalde prints en het doorbelasten van printen beperkt papierverspilling, toner en energieverbruik en stimuleert gebruikers om alleen de documenten te printen die zij echt nodig hebben. Hogere gebruikersproductiviteit. Met beveiligde oplossingen kunnen gebruikers hun printjobs veilig op elk gewenst apparaat vrijgeven met een pincode of een smart card authenticatie. Dat maakt hen mobieler doordat ze een document op elke printer overal in de organisatie kunnen vrijgeven en niet hoeven te wachten als printers bezig of buiten gebruik zijn. Pagina 6

7 4 Industriestandaarden voor veilig printen De veiligheidseisen voor printen worden duidelijk door ontwikkelingen zoals de IEEE P2600 werkgroep voor hardcopy veiligheidsstandaarden, regelmatige introductie van beveiligde producten en de inspanningen van fabrikanten om veiligheidscertificeringen te verwerven voor hun uitvoerapparaten. De belangrijkste standaarden voor printen zijn: Common criteria certificering De Common Criteria (ISO 15408) is een standaard voor computerbeveiliging die ook toegepast kan worden op documentuitvoerapparaten. Sommige apparatuurfabrikanten hebben hun apparaten gecertificeerd onder het Common Criteria proces. Maar door de hoge kosten en complexiteit van het proces wordt certificering vaak beperkt tot een subset van de functionaliteit van het apparaat, bijvoorbeeld de mogelijkheid om de vaste schijf te overschrijven. IEEE P2600 De IEEE P2600 werkgroep definieert een veiligheidsstandaard voor hardcopyapparaten en aanbevelingen voor de beveiligingsfunctionaliteit van apparaten in diverse omgevingen: high security, kleine kantoren/thuiskantoren en openbare ruimten. De p2600 werkgroep heeft een brede participatie uit de industrie, met onder andere Hewlett Packard, Lexmark, Canon, Xerox, Sharp, Ricoh, IBM, Epson, Okidata, Equitrac en Océ. ICSA Labs NAPS certificering ICSA Labs, een onafhankelijke divisie van Verizon Business, introduceerde in september 2009 het NAPS certificeringsprogramma. Dit omvat intensieve tests die onderzoeken hoe verschillende aspecten van een netwerkprinter en kopieerapparaat de totale veiligheid beïnvloeden. ISCA hoopt de aandacht te trekken van enterpriseklanten die zich bezighouden met apparatuurbeveiliging met een NAPS assessmentprogramma dat bestaat uit een evaluatie en een rapport met testresultaten en configuratieaanbevelingen. Veiligheidschecklist van het National Institute of Standards and Technology (NIST) De Amerikaanse wetgever heeft het National Institute of Standards and Technologies (NIST) opdracht gegeven om checklists te ontwikkelen die een veilige configuratie mogelijk maken van apparaten die worden gebruikt door de Amerikaanse Federale overheid. NIST heeft fabrikanten van IT apparatuur gevraagd om deze veiligheidschecklists voor hun producten op te stellen. Meer informatie over het checklistprogramma is beschikbaar op: NIST zal de checklists van de fabrikanten evalueren op relevantie en juistheid en ze vervolgens publiceren op een doorzoekbare NIST website. Hoewel certificering nuttig is om de claims van de fabrikant omtrent de functionaliteit te bevestigen, is het op zich niet voldoende voor de implementatie van een veilige printinfrastructuur. Omdat er geen industriestandaard is waartegen een printerfabrikant moet certificeren, bepaalt elke fabrikant zelf welke beveiligingskenmerken hij belangrijk acht en certificeert alleen deze. Daarom moeten bedrijven de standaard en optionele beveiligingsmechanismen van apparatuur evalueren, zoals: image overschrijven, authenticatie, verwijderbare vaste schijf, wissen van de vaste schijf en elementaire verificatie van de toegang. Daarnaast kunnen zij overwegen veilige printeroplossingen van derde partijen zoals Safecom of Ringdale aan te schaffen. 5 HP casestudy Allied Irish Bank (AIB) implementeert veiligheidsmaatregelen als onderdeel van een HP managed print service (MPS) AIB Group is een toonaangevende Ierse financiële serviceprovider die een breed scala aan bankiersdiensten aan consumenten levert, zoals leningen, creditcards, hypotheken en verzekeringsproducten. De organisatie bestaat uit vier divisies: AIB Bank ROI, AIB Bank UK, AIB Capital Markets en AIB Poland. AIB Bank ROI, AIB Bank UK en AIB Poland bieden via een 70,5 procent holding in BZ WBK retail en commerciële bankdiensten in hun respectievelijke landen (Ierland, Groot Brittannië en Polen) terwijl Capital Markets zich bezighoudt met beleggingen, assetbeheer, corporate banking en wereldwijde vermogensbeheeractiviteiten. Bedrijfsuitdaging AIB wilde een MPS (Managed Print Services) oplossing in haar hoofdkantoor om de servicekwaliteit te verbeteren, kosten te besparen en de operationele risico's te beperken. Het printer, copier en faxpark in het Pagina 7

8 hoofdkantoor in Dublin was uitgegroeid tot de omvang van één apparaat per vier werknemers. De printomgeving omvatte apparaten van diverse fabrikanten en meerdere contracten, terwijl de verantwoordelijkheid voor printen verdeeld was over tal van verschillende functies. Met deze heterogene omgeving kon AIB de kosten niet bewaken en het printbudget niet onder controle houden. Gekozen oplossing AIB koos een complete HP MPS oplossing die de bestaande apparatuur standaardiseerde en consolideerde tot een ratio van één apparaat per twaalf werknemers. De MPS oplossing omvatte SafeCom software om het beheer van de printomgeving te verbeteren, een betere beveiliging mogelijk te maken en het operationele risico te beperken. Printjobs worden vrijgegeven door het gebruik van de ID kaart van werknemers en kaartlezers op elk apparaat. Geplande maar niet afgedrukte printjobs worden automatisch 's nachts verwijderd. Voordelen De geoptimaliseerde printinfrastructuur is nu veel gemakkelijker te beheren en productiever, dankzij verbeterde workflows zoals de implementatie van pull printing. De printomgeving is uiterst betrouwbaar en veilig, de kosten zijn onder controle en de servicekwaliteit is sterk verbeterd. AIB ziet duidelijk verschil in de manier waarop werknemers overal in het bedrijf de documentworkflows beheren. Het gebruik van de scanfunctie leidde tot efficiëntere printpraktijken en een afname van papierverspilling. Globaal heeft het gebruik van MPS voor consolidatie van de hardware geleid tot geschatte kostenbesparingen van 20 tot 30 procent en een prognose voor een vermindering van AIB's carbon footprint in de printomgeving van het hoofdkantoor met 50 procent. Dit ondersteunt van het milieubeleid van de bank. Bron: HP MPS casestudy, geautoriseerd door AIB 6 Aanbevelingen Wat kunnen bedrijven doen om lacunes in de printerbeveiliging kleiner te maken of te dichten? Quocirca adviseert het volgende: Stel een strategie voor veilig printen op en neem de printomgeving op in de totale beveiligingsstrategie van uw organisatie. Baseer de strategie voor veilig printen op beleid, standaarden en procedures, naast technologie, resourcevereisten en training. Verschillende organisaties hebben verschillende veiligheidseisen, dus is een gelaagde aanpak noodzakelijk, die begint met basisbeveiliging en als de bedrijfsbehoeften veranderen kan worden uitgebreid met geavanceerde kenmerken. Integreer met bredere IT beveiliging. Tools voor dataclassificatie, dataverliespreventie (DLP) en end point beveiliging worden gebruikt om te controleren wat gebruikers met data mogen doen, bijvoorbeeld kopiëren, per e mail verzenden. Zorg dat in het overkoepelende beleid gedefinieerd is wie wat mag printen. DLP kan verhinderen dat een bestand naar de printer wordt gestuurd op basis van die inhoud, waarbij veel tools zelfs op zinsniveau kunnen controleren, bijvoorbeeld: dit document mag onder geen enkele voorwaarde worden geprint of dit document mag alleen op een beveiligde printer worden geprint". Gebruik betrouwbare adviseurs voor noodzakelijke expertise. Betrouwbare adviseurs zoals IT consultants of resellers met veiligheid als specialisme kunnen bedrijven helpen om geschikte oplossingen te vinden voor hun printbeveiligingsbehoefte. Dit is met name belangrijk in omgevingen met personeelsgebrek. Zorg dat u controle heeft over het printerpark. Bedrijven moeten bedenken welke beveiligingsfuncties nodig zijn en apparaten zoeken met ingebouwde functionaliteit, of waarborgen dat de bestaande apparatuur de vereiste beveiligingsfuncties ondersteunt. Firmware moet continu bewaakt worden en updates die bestaande beveiligingsproblemen oplossen en nieuwe functies toevoegen moeten worden geïnstalleerd. Apparatuurconsolidatie helpt om het gebruik van verouderde printtechnologie te beperken en zorgt voor een optimale infrastructuur die centraal beheerd en bewaakt kan worden. Gebruik meerdere beveiligingsniveaus. Gebruik het juiste beveiligingsniveau voor het bedrijf en de bedrijfstak. Hoewel alle bedrijven data van medewerkers en klanten moeten beschermen, varieert het niveau van regelgeving per sector. Juridische en medische instellingen en personeelsafdelingen vereisen bijvoorbeeld hogere niveaus van beveiliging en vertrouwelijkheid voor documenten. Overweeg een gelaagde implementatie die pull printing, wissen of encryptie van de vaste schijf en audittools omvat. Pagina 8

9 Implementeer een compleet audit /trackingmechanisme voor afgedrukte jobs, met name voor organisaties waar servicegebruikers (klanten, studenten en andere derden) kunnen printen via het netwerk. Vergeet het uitfaseren van printers niet. Netwerkprinters moeten veilig verwijderd worden, omdat gevoelige of vertrouwelijke data zich nog op de vaste schijf of in het geheugen kunnen bevinden. Gebruik software om alle vaste schijven en het flashgeheugen te wissen, zodat data niet teruggehaald kunnen worden. Fabrikanten en derde partijen leveren tools voor het wissen van schijven die voldoen aan industriestandaarden en regelgeving van de overheid, zoals de Britse Waste Electrical and Electronic Equipment (WEEE) richtlijn. Voor nog rigoureuzere dataverwijdering kunt u degaussing (demagnetisering) en zelfs fysieke vernietiging van vaste schijven en geheugen overwegen. Eindgebruikerstraining. Stimuleer de bewustwording inzake goede printpraktijken en maak duidelijk hoe een gecontroleerde printomgeving de veiligheid van het bedrijf en de productiviteit van gebruikers verbetert en de kosten verlaagt. Bewaak en test de printinfrastructuur regelmatig. Door het gebruik en de toegang tot printapparatuur te bewaken en te controleren op afwijkend gedrag, kunnen onregelmatigheden worden opgespoord en potentiële inbreuken op de beveiliging worden voorkomen. Zonder logbestanden met gebruikersactiviteiten is het onmogelijk om de oorzaak van een inbreuk op de printerbeveiliging te achterhalen. 7 Conclusie Printerbeveiliging is een complex probleem met vele aspecten. Als er geen maatregelen worden genomen om bedrijfsinformatie te beschermen kan dit ernstige risico's opleveren en het bedrijf blootstellen aan aansprakelijkheidsclaims, inkomstenverlies en juridische procedures. Of het nu gaat om persoonlijke of financiële informatie, medische dossiers, vertrouwelijke overheidsinformatie of gevoelige bedrijfsdata, het is absoluut noodzakelijk om beveiliging te implementeren die het risico van gerichte of incidentele, interne of externe gevaren minimaliseert. Het waarborgen van een veilige printomgeving is essentieel voor elke organisatie, ongeacht de grootte en de maturiteit. Daarom moeten IT managers zichzelf en hun organisaties voorbereiden om printen proactief te beheren en beleid en procedures te implementeren die een complete, veilige printstrategie ondersteunen. Dit probleem is niet met alleen technologie op te lossen, omdat de effectiviteit van elke beveiligingsstrategie berust op gebruikerseducatie en verbeterde processen. Om de veiligheid en compliance te waarborgen moeten bedrijven bepalen wie printapparatuur gebruikt, controleren hoe deze wordt gebruikt en accurate gebruiksgegevens verzamelen voor rapportage aan de regelgevende instanties. In de huidige digitale wereld heeft het minimaliseren van beveiligingsrisico's en het beschermen van vertrouwelijke informatie de hoogste prioriteit en is het beveiligen van netwerkprinters een essentieel onderdeel van informatiebescherming. Pagina 9

10 8 HP in het kort HP, het grootste technologiebedrijf ter wereld, vereenvoudigt de technologie ervaring voor consumenten en bedrijven met een portfolio bestaande uit printers, personal computers, software, services en ITinfrastructuur. Meer informatie over HP (NYSE: HPQ) is beschikbaar op: Pagina 10

11 OVER HET RAPPORT: Dit is een onafhankelijk rapport door Quocirca Ltd dat een overzicht biedt van de uitdagingen waarmee organisaties worden geconfronteerd die de beveiliging van hun printinfrastructuur willen maximaliseren. Het rapport is gebaseerd op Quocirca s uitgebreide kennis van technologie en het bedrijfsleven en geeft advies over de manier waarop organisaties te werk moeten gaan om een efficiëntere en beter beveiligde printomgeving te creëren voor toekomstige groei. Quocirca is veel dank verschuldigd aan HP voor haar sponsorschap voor dit rapport en aan de klanten van HP die tijd hebben geïnvesteerd in de voorbereiding van de casestudies. 9 Informatie over Quocirca Quocirca is een bedrijf voor primair onderzoek en analyse dat zich specialiseert in de invloed van informatietechnologie en telecommunicatie (ITC) op bedrijven. Quocirca werkt wereldwijd in tal van talen en verschaft diepgaand inzicht in de zienswijzen van inkopers en opiniemakers in grote, middelgrote en kleine organisaties. Het analistenteam bestaat uit praktijkmensen die zelf veel ervaring hebben met de levering van ITC en die de industrie en het gebruik in de praktijk voortdurend onderzoeken en volgen. Door percepties te onderzoeken, legt Quocirca de werkelijke belemmeringen bij een overstap op nieuwe technologie bloot de persoonlijke en politieke aspecten van de omgeving van een organisatie en de druk van het feit dat elke implementatie aantoonbare bedrijfswaarde moet opleveren. Deze expertise in het blootleggen en rapporteren van de percepties van eindgebruikers in de markt stelt Quocirca in staat om adviezen te geven die niet zijn gebaseerd op de beloften, maar op de reële mogelijkheden die de overstap naar nieuwe technologie biedt. Onderzoek van Quocirca is altijd pragmatisch en bedrijfsgericht en wordt uitgevoerd in de context van het grotere geheel. ITC bezit het vermogen om bedrijven en de processen waarop deze bedrijven zijn gebaseerd te transformeren, maar slaagt daar in de praktijk vaak niet in. Quocirca heeft zich als missie gesteld om organisaties te helpen het succespercentage bij procesimplementaties te verbeteren door een beter inzicht en door op het juiste moment overstappen op de juiste technologieën. Quocirca heeft een proactief programma van primair onderzoek, waarbij gebruikers, inkopers en resellers van ITC producten en services regelmatig worden geënquêteerd over nieuwe, verder ontwikkelde en geheel uitontwikkelde technologieën. In de loop der jaren heeft Quocirca een overzicht van investeringstrends op de lange termijn samengesteld dat van onschatbare waarde is voor de gehele ITCgemeenschap. Quocirca werkt samen met wereldwijde en lokale leveranciers van ITCproducten en services en helpt hen de belofte van ITC voor het bedrijfsleven waar te maken. Tot de klanten van Quocirca behoren Oracle, Microsoft, IBM, O2, T Mobile, HP, Xerox,EMC, Symantec en Cisco, evenals andere grote en middelgrote leveranciers, serviceproviders en gespecialiseerde bedrijven. Ga voor meer informatie over het werk en de services van Quocirca naar: Pagina 11