Multifunctionele printers, een onbekend veiligheidslek.

Sharp MX-2600N

Steeds vaker staat de multifunctionele printer, zogenaamde MFP's, in instellingen en bedrijven. Een handige alles in één oplossing: je kunt ermee kopiëren, er via een netwerkaansluiting op printen, scannen, faxen en in sommige gevallen zit er zelfs een documentbeheerssysteem in. Meestal valt de multifunctionele printer buiten de informatiebeveiliging.

De MFP slaat echter ook informatie op. Gescande, gekopieerde, gefaxte en geprinte pagina's worden opgeslagen op een ingebouwde harde schijf

Wellicht denkt u dat u bij het maken van een kopie alle informatie in handen heeft als u én het origineel én de kopie meeneemt. Dit is helaas niet het geval. Van iedere handeling blijft namelijk ook altijd een digitaal exemplaar achter in de MFP.

De grootte van de harde schijf in een MFP varieert en kan oplopen tot maar liefst 80Gb. Tienduizenden documenten blijven zo in uw MFP bewaard. Kopieën van bestuursstukken, personeelsdossiers, bankgegevens, patiëntendossiers enzovoort. Gelukkig is het niet mogelijk de gegevens er eenvoudig af te halen, maar feit blijft dat deze gegevens op de harde schijf staan. 

 

Hierdoor loopt u een groot risico in twee scenario's:

 

  1. In principe kan iedereen bij de harde schijf van de machine komen, of via het netwerk of fysiek bij de machine.
  2. Op een dag wordt de MFP vervangen door een nieuw exemplaar. De oude MFP wordt weggehaald, met al uw data nog op de harde schijf, waar u vervolgens geen controle meer over hebt. Wellicht wordt de machine nog als tweedehands aangeboden aan een ander.

Indien iemand de harde schijf benadert met eenvoudige hulpmiddelen als een PC, een kabel om de harde schijf te koppelen aan de PC en software om de harde schijf uit te lezen (welke gratis valt te downloaden), zal zeer hij verrast zijn over wat hij te weten komt over uw organisatie en uw patiënten.

 

Het overgrote deel van alle MFP's wordt tegenwoordig geleased. Doorgaans staat in de overeenkomst vermeld dat u de MFP in ongeschonden staat terug dient te geven aan de leverancier/leasemaatschappij. Dat betekent dat u de harde schijf er ook niet zo maar uit mag halen voordat het apparaat wordt afgevoerd.

 

Toch is het verstandig om actie te ondernemen: u levert immers allerlei vertrouwelijke informatie uit aan een andere partij. Volgens de wet mag u daar niet eens aan meewerken!

Er zijn een aantal oplossingen

  • Neem oplossingen voor informatiebeveiliging voor uw MFP op in de onderhandelingen met uw leverancier/leasemaatschappij. Van te voren afspraken goed vastleggen scheelt gedoe aan het eind van de contract periode. 
  • Sommige leveranciers bieden aan uw harde schijf te wissen voordat de MFP wordt afgevoerd. Eigenlijk is dat geen service, maar is dit iets dat u moet eisen voordat het contract wordt afgesloten. Volgens de gangbare beveiligingsnormen moet de afvoerder aan u een registratie van de vernietiging van de gegevens overleggen. 
  • Sommige leveranciers bieden de mogelijkheid software te installeren om de harde schijf te versleutelen (encryptie), zodat iemand die de harde schijf probeert uit te lezen, er niets mee kan. Soms moet u bijbetalen, bij andere leveranciers is dit gratis.

 

Er zitten ook nog enkele andere, informatieveiligheidstechnische, gevaren aan een MFP: 

  • De MFP is toegankelijk via het netwerk. De beheerssoftware moet zorgvuldig afgeschermd zijn. 
  • Vaak zit er een USB poort op de MFP om printopdracht rechtstreeks aan de printer aan te bieden. Ook dit printwerk wordt op de harde schijf gezet. Op sommige MFP-modellen kun je zelfs opdrachten, zoals scans, weer op de USB stick zetten en wordt de op deze manier opgeslagen informatie weer mobiel.

Deze notitie van ons, wordt ondersteund door Sharp Electronics Benelux bv.

 

 

 

 

publicatiedatum
01-04-2011