Een bedrijf moet vandaag alles beveiligen waar een netwerkpoort op aanwezig is. Laptops krijgen straffe endpoint security mee, firewalls doen hun werk en servers worden gescand. Maar hoe zit het eigenlijk met de printer waar je waarschijnlijk nooit aan zou denken?
Als je aan een IT-beheerder vraagt welke toestellen hij zeker moet beveiligen op de werkvloer, is de kans groot dat printers niet direct aan bod komen of zelfs volledig worden vergeten. De behoefte is er niet om printers in het vizier te nemen, wat geen goed nieuws is. Een hacker gaat op zoek naar de zwakste schakel in je bedrijf om binnen te breken. Dikwijls genoeg is dat de printer waar niemand naar omkijkt eens de installatie achter de rug is.
Open printerpoorten
Endpoint devices worden steeds meer in het vizier genomen door hackers. Printers worden meestal één keer geïnstalleerd en hopelijk ook geconfigureerd, en daarmee is de kous af. De kans is groot dat diezelfde printer twee jaar later met heel wat veiligheidslekken een gevaar is voor je bedrijf. “Er is nog heel wat awareness nodig om printers te beveiligen op dezelfde manier als laptops en andere netwerkapparaten”, zegt Hans Van Barel, Category Manager Printing bij HP.
Printerpoorten staan vandaag wagenwijd open. Er bestaan zelfs tools om te kijken hoeveel printerpoorten er open staan.
Printerpoorten staan vandaag wagenwijd open. Er zijn tools om te kijken hoeveel printerpoorten er open staan. In België gaat het volgens Van Barel over ongeveer 29.000 poorten die onmiddellijk aanspreekbaar zijn. “In België staan we op nummer 10 wereldwijd wat dat betreft. Wij worden er veel meer aan blootgesteld.”
Wat kan je met zo’n achterdeur? Hackers kunnen racistisch materiaal of andere provocerende gedachten of tekeningen beginnen afdrukken. Niet direct een grote bedreiging voor je bedrijf, maar prettig is anders wanneer er plots honderden hakenkruizen uit je printers worden gespuwd.
BIOS-herstelling
Met open printerpoorten kunnen hackers een volledig botnet maken. “Ze verzamelen allerlei endpoint-toestellen om zogenaamde ‘zombies’ te creëren”, legt Van Barel uit. “Die kunnen dan weer worden ingezet om bijvoorbeeld cryptomunten te minen of websites aan te vallen met DDOS-attacks.” Botnets worden overigens niet enkel gevormd via open printerpoorten. Elk apparaat dat verbonden is met het internet en een achterpoort heeft openstaan, kan een zombie worden.
Elke kwaadaardige code die heel stiekem in het BIOS wordt geïnjecteerd door malware, wordt hersteld.
Bij HP hebben ze al vier jaar ervaring met specifieke securitychips in laptops die elk jaar steeds meer nieuwe functies meekrijgen. Die expertise integreren ze voortaan ook in printers, omdat die net zo goed veilig moeten zijn in een bedrijfsomgeving. De printers krijgen nog niet direct alle functies aan boord, maar hebben met Sure Start wel de belangrijkste troef aan boord.
De aparte chip controleert steeds wanneer er veranderingen in het BIOS zijn gebeurd. Van zodra die geen officiële HP-sleutel dragen, herstart de printer en installeert die de standaard BIOS op de securitychip. Na een korte wachttijd start het apparaat opnieuw op, en is er geen vuiltje aan de lucht. Elke kwaadaardige code die heel stiekem in het BIOS werd geïnjecteerd door malware, wordt hersteld.
Encryptie en NFC
Naast de printer zelf is het belangrijk om een rijke tool te hebben waarmee IT-beheerders de printers kunnen beheren. Van Barel: “In de pc-wereld is dat common practice, maar in de printindustrie moeten er nog flinke stappen worden gezet. Wij hebben de HP Security Manager waarmee je eenvoudig security policies opstelt, uitrolt en nieuwe printers eenvoudig en veilig kan deployen. Dat maakt het allemaal eenvoudiger voor de IT-admin.”
Alle data van printers wordt verder ook beschermd door middel van encryptie. Alle data van en naar het toestel is zo veilig. Heel wat printerfabrikanten doen dat vandaag al, maar Van Barel hamert erop dat HP dat standaard inschakelt bij elke printer die uit de doos komt. “Ze moeten het expliciet uitschakelen in de instellingen, wat de printer direct veiliger maakt. Daarnaast hebben we pincodes en NFC-tags, zodat werknemers veilig gevoelige documenten kunnen afdrukken.”
“Ze moeten bij ons expliciet encryptie uitschakelen in de instellingen, wat de printer direct veiliger maakt uit de doos.”
“We staan onze klanten ook bij wanneer ze dat wensen. HP organiseert audits om uit te leggen waar de risico’s zitten en hoe alles werkt. Een eenvoudige printer in een inkomhal kan al een gevaar zijn. Wie dat wil, kan zelfs het hele printernetwerk aan ons outsourcen zodat wij ervoor zorgen dat alles veilig is geïnstalleerd en geconfigureerd.”
Ethische hackers
Tot slot schakelt HP ook specialisten in om de printers grondig te testen. Ethische hackers proberen elk apparaat aan te vallen om te zien of er geen belangrijke veiligheidslekken zijn. Samen met security consultants worden dan beslissingen genomen om apparaten nog veiliger te maken.
Printers verdienen evenveel aandacht als laptops of desktops, ook al krijgen ze dat vandaag heel zelden. Er is meer bewustwording nodig om printers fatsoenlijk te configureren én om ze daarna ook up-to-date te houden met nieuwe veiligheidspatches. Dikwijls moet er eerst iets serieus gebeuren binnen een bedrijf om bewustwording te creëren. Dan toch beter voorkomen dan genezen.