Als mensen aan cybersecurity denken, denken ze zelden aan de printer, zo stelt Pelle Aardewerk, security-expert bij HP. ‘Terwijl je alle onderwerpen die je normaal met remote werken, laptopbeveiliging, netwerken en cloud associeert, ook gewoon terugziet in een printer.’
Dat de printer buiten beeld is geraakt, heeft volgens Aardewerk ook een organisatorische oorzaak. ‘De printer werd vroeger beheerd door facilities, tegenwoordig door IT. Maar de manier waarop we ernaar kijken, is niet altijd meegegroeid. Eerst was het een standalone apparaat met een eigen stekkertje. Toen kwamen de netwerkprinters. En het kabeltje daarnaartoe blijkt in veel kantoren de zwakste schakel. Bovendien printen we remote van meerdere endpoints op zowel bedrijfs- als thuisprinters.’
Vergeten kindje
67 procent van de organisaties heeft weleens datalekken meegemaakt door onveilige printers. Bij middelgrote bedrijven loopt dat zelfs op tot 74 procent. Dat sluit aan bij een breder patroon in endpointbeveiliging. Uit research van HP en onderzoeksbureau Forrester, uitgevoerd onder 607 securityprofessionals, gaf 64 procent aan IoT-apparaten zoals netwerkprinters te beveiligen, beduidend minder dan bij laptops en telefoons.
Ruim een derde van de respondenten had het afgelopen jaar te maken met een compromittering van bedrijfsdata via laterale beweging door het netwerk, vaak beginnend bij een device dat over het hoofd werd gezien. Aardewerks advies: ga uit van Zero Trust, waarbij geen enkel apparaat, dus ook de printer niet, standaard wordt vertrouwd. ‘En behandel dreigingsdata van alle endpoints in samenhang.’
Ook een printer moet gepatcht worden
Firmware-updates blijven daarnaast een ondergeschoven kindje. Uit onderzoek van HP blijkt dat slechts 36 procent van de IT-teams firmware-updates tijdig toepast, terwijl teams gemiddeld 3,5 uur per printer per maand kwijt zijn aan het managen van hardware- en firmwarekwesties.
‘Een printer heeft, net als elk ander apparaat, patches nodig. Dat moet je zelf inregelen en de ene update is kritischer dan de andere. Ik zie wel verbetering: waar bedrijven vroeger gemiddeld 45 dagen deden over het patchen van kwetsbaarheden, is dat inmiddels teruggebracht naar zo’n 20 dagen. De vraag is alleen of dagen, met AI en de snelheid waarmee kwetsbaarheden nu opduiken, nog snel genoeg is. Of dat we naar uren toe moeten.’
Drie D’s
Om grip te krijgen op printerbeveiliging, hanteren Aardewerk en HP een simpel ezelsbruggetje: de drie D’s. ‘1: Data moet veilig blijven tijdens print opdrachten versturen en in-memory, 2: het Device zelf mag niet toegankelijk zijn voor onbevoegden en hardware/firmware/malware aanvallen, en 3: het document mag nooit in verkeerde handen vallen. Elke fase kent namelijk een eigen kwetsbaarheid.’
Het begint bij data die onderweg is naar de printer, of dat nu vanaf kantoor gebeurt of op afstand. ‘Mensen sturen ook weleens een printopdracht vanuit de auto, vanuit de trein, of printen thuis. Dan mis je meteen een aantal beveiligingslagen, want een thuisprinter is vrijwel nooit zo goed beveiligd als een kantoorapparaat. Die verbinding moet daarom end-to-end versleuteld zijn, met goed ingeregelde cryptografie en VPN’s. Oók wanneer een medewerker via cloudopslag zoals OneDrive naar een gedeelde schijf print.’
Van functionaliteit naar CEO-fraude
Voor wie zich afvraagt hoe concreet een aanval via de printer kan zijn, heeft Aardewerk een anekdote uit zijn tijd als auditor. ‘Vroeger kon je vanuit de printer zelf het ‘van’ en ‘aan’-veld van een e-mail aanpassen. Ik stuurde toen als grap een mailtje vanuit iemand anders naar mezelf over een gratis cappuccino, met de vraag hoe laat we zouden afspreken. Die persoon zei doodleuk: dat heb ik nooit gestuurd. Maar het kwam wel degelijk uit zijn mailbox, via de printer.’
Diezelfde kwetsbaarheid werd volgens hem ook gebruikt om mails te versturen die leken te komen van een CEO. ‘Dat is tegenwoordig in configuratiemanagers aangepast, dat kan niet meer zomaar. Maar het laat zien hoe een apparaat dat niemand als risico ziet, wel degelijk als ingang kan dienen.’
Wat een printer volgens Aardewerk technisch aantrekkelijk maakt voor aanvallers, is precies die dubbele verbinding. ‘Waar een kabel ingaat, zitten twee kanten: je kunt vanuit het netwerk naar de printer printen, maar er kan ook vanuit de printer weer het netwerk op gecommuniceerd worden. Beide kanten moet je dus dichtzetten, met combinatie van netwerksegmentatie, toegangscontrole, encryptie en preventie/monitoring van afwijkend verkeer.’
Onder de motorkap
Op hardwareniveau bouwt HP daarom verdediging in nog vóór het apparaat opstart. ‘Elke HP-printer heeft, net als een laptop, een eigen enterprise security chip’, aldus Aardewerk. ‘Die controleert vóórdat de firmware en het besturingssysteem opstarten of daar iets aan is veranderd. Zit er een afwijking in? Dan wordt alles gereboot naar een schone kopie van de BIOS.’
Fysieke manipulatie wordt tegengegaan met een tamper lock die het apparaat vergrendelt zodra iemand het van buitenaf probeert te openen en een onbekende USB-stick wordt met isolatietechnologie buitengesloten. ‘HP werkt bovendien al aan cryptografie die bestand moet zijn tegen quantumcomputers. Dat gedeelte hebben we nu al met hele sterke, quantum-proof crypto gemaakt om ook straks een veilige printer voor onze klanten te garanderen.’
Het zwakste onderdeel blijft de mens
Toch is de grootste onderschatte dreiging volgens Aardewerk niet technisch, maar menselijk. “Je kunt hele goede policies hebben en mensen trainen, maar mensen gedragen zich niet altijd even goed. Waarom zou ik me druk maken over een printje?”
Documenten die op de printer blijven liggen, zijn daarvan het bekendste voorbeeld en meteen een van de makkelijkst te verhelpen risico’s. ‘Zorg dat je secure print gebruikt: het document komt pas uit de printer op het moment dat jij jezelf daar identificeert. Met een pasje, een extra wachtwoord of biometrie.’
Ook bij de instellingen van de printer zelf gaat het vaak mis, ziet Aardewerk in de audits die HP uitvoert bij klanten. ‘Security is net een elastiek. Wil je alles functioneel, dan regel je bijna geen beveiliging in. Wil je alles dichtzetten, dan kan er weinig meer. Niemand richt het op dezelfde manier in, terwijl whitelisting, configuraties en firewalls instellen wél tijd en aandacht vergt en niet standaard plug-and-play werkt.’
MFA op élke laag
Zichtbaarheid helpt daarbij, zegt Aardewerk, en verwijst naar tools als HP’s Workforce Experience Platform en andere soortgelijke tooling waarmee printers naast laptops en netwerkapparatuur gemonitord kunnen worden. ‘Je krijgt alerts over de securityhygiëne van je printer: als er iets niet goed is ingeregeld, of als er een patch ontbreekt.’
Zijn advies aan IT-managers die vandaag nog willen beginnen? Schaf een secure by design printer aan als belangrijke vereiste naast functionaliteit en prijs. Vraag je supplier support bij veilige configuraties en zorg voor Multi Factor-authenticatie (MFA). ‘Wachtwoorden alleen zijn niet sterk genoeg meer. Zet die authenticatie op élke laag: toegang tot het apparaat, tot de BIOS en tot het document zelf..’



