Waarom je multifunctional een bron van gevaar kan zijn

Publicatiedatum: 28 mei 2022 15:11:14

Waarom je multifunctional een bron van gevaar kan zijn

Veiligheid is in onze digitale wereld een hot item. Ieder bedrijf heeft ermee te maken en neemt maatregelen. Maar wat hierbij vaak vergeten wordt, is het veiligheidsrisico van de multifunctional (printer, scanner en copier in één). Met welke gevaren moet je rekening houden? Wij zetten de belangrijkste 5 op een rij.

Bij digitale veiligheid denk je hoogstwaarschijnlijk meteen aan bedreigingen van buitenaf. Begrippen als datalekken en hacken worden vrijwel zonder uitzondering gekoppeld aan zaken als phising email en andere vormen van malware. En vrijwel ieder bedrijf heeft zich hiertegen gewapend. Firewalls, antivirus software en andere beschermende maatregelen zorgen ervoor dat de digitale toegang voor onbevoegden is afgeschermd. Het zijn vooral eigen netwerken, servers, computers, laptops, tablets en smartphones die worden beveiligd.

MAAR… wat veel organisaties vergeten, is dat zogenaamde ‘multifunctionals’ (apparaten die scannen, kopiëren en printen) óók een mogelijk veiligheidsrisico vormen.

Met welke gevaren moet je rekening houden?
Wij zetten de vijf belangrijkste risico’s voor je op een rij, inclusief de oplossingen:

1. Bedreigingen van binnenuit: slordige gebruikers

Veel datalekken zijn níet het gevolg van cybercrime. Ze ontstaan simpelweg door slordig gedrag van de gebruikers, onder meer van multifunctionals.

Een vergeten origineel onder de klep van het apparaat of een printopdracht die pas een half uur later wordt opgehaald: het kunnen serieuze bedreigingen zijn voor de informatieveiligheid van jouw organisatie.

Want wat als dat vergeten origineel een ontslagbrief is. Of een voorstel voor een nieuwe bezuinigingsronde. En wat als die printopdracht gegevens bevat over de cashflow van jouw bedrijf?

Dat zijn gegevens die niet voor ieders ogen bestemd zijn. En zeker niet voor bezoekers van je bedrijf, die vaak direct toegang hebben tot de locatie van de multifunctional.

De oplossing

Het inbouwen van een veiligheidsfunctie. Dat betekent dat de verantwoordelijke medewerker voor iedere print- of kopieeropdracht bij het apparaat een authenticatie uitvoert.

Dit kan een pincode zijn, een pasje of een ander bewijs dat de persoon in kwestie niet alleen bevoegd is om te printen of te kopiëren, maar zelf ook fysiek aanwezig is om de opdracht ter plekke uit te voeren.

2. Vanuit het werkgeheugen de wijde wereld in

In een wereld waarin data elektronisch worden gedeeld, is de beveiliging van digitale documenten essentieel. Wat is het potentiële gevaar van de multifunctional hierbij?

Zowel bij scan- als bij printopdrachten wordt het betreffende document opgeslagen in het werkgeheugen. En van hieruit kan het in theorie over de hele wereld worden verspreid.

De oplossing

Zorg voor een goed beveiligd netwerk, bijvoorbeeld volgens het SSL- of TSL-protocol. In dat geval vindt er een vorm van encryptie of versleuteling plaats, die de communicatie tussen computers ontoegankelijk maakt voor derden. Zaken als online aankopen, financiële transacties en het versturen van persoonsgegevens vinden op die manier altijd vertrouwelijk plaats.

3. Print job sniffer

Vergeet niet om, naast het treffen van generieke veiligheidsmaatregelen, je multifunctional zelf ook optimaal te beveiligen, bijvoorbeeld tegen een print job sniffer, die bezoekers kunnen inzetten om vitale bedrijfsgegevens te achterhalen. Onderschat de gevaren van zo’n actie niet, ze komen vaker voor dan je denkt. Klop bij de leverancier van je multifunctional aan om dergelijke ongewenste activiteiten te voorkomen.

Verder is het zaak dat je de harde schijf van je multifunctional beveiligt via encryptie. Eén van de meest betrouwbare varianten is de AES 256, de beveiligingsstandaard van het Amerikaanse National Institute of Standards and Technology (NIST). Een multifunctional die op deze manier is beveiligd, voldoet aan de hoogste eisen.

4. Een harde schijf vol geheimen

Een Amerikaanse zorgverzekeraar moest een paar geleden schaamtevol toegeven dat de persoonlijke gegevens van meer dan 400.000 klanten en werknemers op straat waren beland. Een multifunctional van de verzekeraar was na afschrijving teruggestuurd naar het leasebedrijf, maar ze waren vergeten om van tevoren de harde schijf te wissen. Die stond nog vol met onder meer medische gegevens, social security nummers en geboortedata.

Dit bleek geen op zichzelf staand incident, zo bewees CBS News. Het televisieprogramma ging op onderzoek en toonde aan dat op veel tweedehands kopieermachines nog vertrouwelijke gegevens staan. Tijdens een steekproef bij de apparaten van diverse overheidsinstanties ontdekten de verslaggevers van CBS News zelfs een lijst van gezochte zedendelinquenten en een overzicht van gezochte drugsdealers.

Wat is de moraal van dit verhaal? Bij de kans op datalekken is speciale aandacht vereist aan het einde van de levensduur van de multifunctional. Met regelmaat komt het voor dat de informatie op de apparaten ‘per ongeluk’ de buitenwereld bereikt.

De oplossing

Een data security kit. Met deze veiligheidsvoorziening ben je ervan verzekerd dat alle informatie op de harde schijf wordt gewist zodra deze niet meer nodig is voor een scan- of printopdracht.

En aan het einde van de levensduur van de multifunctional kan het apparaat met de data sanitization procedure worden teruggezet naar de fabrieksinstellingen. Dan kan niemand er meer informatie op terugvinden.

Een effectieve data security kit moet voldoen aan de juiste kwalificaties, zoals vastgelegd in de ISO-normeringen 15408 en 18045. Alleen dan kun je er zeker van zijn dat er volgens de hoogste internationale standaarden aan alle eisen inzake beschikbaarheid, integriteit en vertrouwelijkheid van gegevens is voldaan.

5. Over datum…

Een ander punt van belang is het bewaren van gegevens. Voor diverse typen documenten gelden wettelijk vastgelegde bewaartijden.

De persoonlijke gegevens van een sollicitant mogelijk bijvoorbeeld niet langer dan vier werken worden bewaard, tenzij de sollicitant hier toestemming voor geeft. In dat geval geldt een bewaartermijn van maximaal één jaar.

Een psychologisch onderzoek van een medewerker of verklaring omtrent gedrag mag je ook hoogstens één jaar lang bewaren na afloop van het dienstverband van de betreffende werknemer.

Een arbeidsovereenkomst, correspondentie met het UWV en afspraken over werkzaamheden in de ondernemingsraad mogen langer worden bewaard; tot maximaal twee jaar.

En zo zijn er nog veel meer regels over hoe lang persoonsgegevens mogen of moeten worden bewaard.

Bottom line: bepaalde documenten mogen maar voor een bepaalde periode worden opgeslagen. Daarom is het van belang dat je een waterdicht systeem hebt, waarbij documenten op tijd worden vernietigd. Dit om juridische problemen te voorkomen.

De oplossing

Een document management systeem met de juiste structuur. Zorg ervoor dat documenten op een vaste locatie worden opgeslagen en bewerkt en niet worden verspreid onder medewerkers en andere betrokkenen. Anders is het bijzonder lastig, zo niet onmogelijk, om te controleren wat er met de documenten gebeurt na de wettelijke bewaartijd.

Alleen als een document slechts ter inzage en bewerking beschikbaar is binnen een goed opgezet document management systeem, is het mogelijk overzicht te houden en zelfs alle wijzigingen in het document terug te vinden, zodat een audit trail kan worden vastgesteld.

Geavanceerde document management systemen garanderen dat bepaalde typen documenten zichzelf vernietigen na afloop van de vastgestelde bewaarperiode. Grote voordeel: je hebt er zelf geen omkijken meer naar en de kans op juridische problemen is nihil.

Meer weten?

Heb je vragen over het thema veiligheid & multifunctionals?
Heb je behoefte aan advies?
Bel gerust een van onze account managers of stuur ze een e-mail:

Stephan Schreitl (vestiging Hoensbroek): +31 - (0)45 - 52 29 311 / E-mail: stephan@kantoorartikelen.nl
Olaf Udo (vestiging 's-Hertogenbosch): +31 - (0)73 - 511 85 86 / E-mail: olaf@kantoorartikelen.nl

Als Kyocera-partner adviseren wij organisaties hoe zij professioneel en risicoloos de stap kunnen maken naar efficiënte digitale bedrijfsprocessen waarbij mobiliteit, beschikbaarheid, veiligheid en compliance voorop staan.