Beveiliging van uw printerpark

In vergelijking met de stand alone kopieermachines die ooit in uw kantoor stonden is er veel veranderd.

Tegenwoordig zijn printers en multifunctionals (MFP’s) intelligente, via een netwerk verbonden, machines, die net zoals een pc een scherm, toetsenbord, harde schijf (die mogelijk gevoelige informatie kan opslaan) en besturingssysteem (OS) bevatten.

Toenemende cybercriminaliteit die direct gericht is op netwerkapparatuur, waaronder printers, is aangemerkt als een zwakke link in de verdediging tegen bedrijfsdiefstal en een kwaadaardige aanval.

Veel organisaties zien de beveiliging van een printer echter over het hoofd. Hierdoor kunnen printers worden besmet en uiteindelijk het gehele netwerk in gevaar brengen met mogelijk diefstal van gegevens tot resultaat.

Meer weten over AVG?

Wijziging AVG-wetgeving

Om de zaak te compliceren bevat de wijzigingen in de AVG-wetgeving potentiële grote financiële en juridische maatregelen bij het niet naleven van deze wetgeving.

Artikel 34 – Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene. Artikel 3 en 3a vermelden melden dat:

De in lid 1 bedoelde mededeling aan de betrokkene is niet vereist wanneer een van de volgende voorwaarden is vervuld:

a) de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;

Dit is definitief en betekent dat organisaties onmiddellijk actie moeten ondernemen en het printerpark in hun algemene gegevensbescherming- en beveiligingsstrategie opnemen.

Wij hebben kwetsbaarheden ten aanzien van de beveiliging van een MFP voor u geëvalueerd; welke kunnen worden verminderd of voorkomen door de beveiligingsmaatregelen (inclusief encryptie van MFP-harde schijven) die hieronder zijn beschreven te implementeren.

1. Afvangen

Bij het kopiëren kunnen de volgende functies ongeautoriseerde kopieën voorkomen en de document beveiliging verbeteren. KYOCERA MFP’s hebben de volgende kopieermogelijkheden / restrictieve maatregelen:

Tekststempel / Bates-stempel
Gebruikers kunnen afhankelijk van het type document dat zij afdrukken documentstempels selecteren zoals ‘vertrouwelijk’, ‘niet dupliceren’ en ‘privacy’. Deze worden op het geprinte document over de tekst geprint. Gebruikers kunnen indien nodig de tekst voor de stempel naar wens aanpassen. De Bates-stempelfunctie ‘serienummer’ print het serienummer van de machine die wordt gebruikt voor de opdracht en een nummerfunctie die paginanummers in volgorde op de gedrukte documenten print. Bovendien zijn ook de functie ‘datum’ en ‘gebruikersnaam’ beschikbaar.

Veiligheid watermerk
Het gedrukte document kan worden voorzien van een onzichtbaar beveiligingswatermerkpatroon of tekst. Wanneer geprinte documenten die van dit patroon zijn voorzien worden gekopieerd, wordt het beveiligingswatermerkpatroon zichtbaar. Dit geeft duidelijk aan dat er een onbevoegde kopie is gemaakt.

Document Guard Kit

De Document Guard Kit biedt een optionele functie die een beveiligingspatroon in een document inbrengt. Wanneer gebruikers het document met een speciaal beveiligingspatroon kopiëren, scannen of faxen, stopt de machine met werken en ongeautoriseerd kopiëren verhinderd. Dit voorkomt het lekken van waardevolle informatie. Als de Document Guard Kit niet op het apparaat is geïnstalleerd, verschijnt het beveiligingswatermerkpatroon, waarbij gebruikers worden gewaarschuwd dat het een onbevoegde kopie is.

Bevestig en verander e-mail / scan- / verzendbeperkingen
Een ander gebied dat kan helpen bij het afvangen van documenten en het beheersen van waar deze worden afgeleverd zodra ze worden gescand is. Bijvoorbeeld; e-mail bestemmingen kunnen worden beperkt door gebruik te maken van de e-mail verzendbeperkingsfunctie. Toegestane bestemmingsadressen worden vooraf geregistreerd, zodat e-mails alleen naar de toegestane geregistreerde bestemmingsadressen kunnen worden verzonden. verboden bestemmingsadressen kunnen ook vooraf worden vastgelegd, zodat e-mails naar die bestemming worden geweigerd.

KYOCERA MFPs / printers hebben de mogelijkheid om email attachments af te drukken. E-mail ontvangst kan worden beperkt door de ‘e-mail afzender beperking functie. Toegestane afzenderadressen worden vooraf geregistreerd, zodat alleen e-mails van de toegestane afzender kunnen worden ontvangen. Verboden afzenderadressen kunnen ook vooraf worden geregistreerd.

5) PDF met wachtwoord en encryptie: De gecodeerde PDF-functie stelt gebruikers in staat om PDF-bestand of hoge gecomprimeerde PDF als bestandsformaat te kiezen maar ook om beveiliging aan het document toe te voegen door middel van coderen en wachtwoord in te stellen. Een beperking kan worden toegepast bij het openen, afdrukken of wijzigen van het PDF-bestand door het juiste wachtwoord in te voeren.

2. Uitvoerlade

Er zijn veel verschillende soorten printcontrolesystemen beschikbaar, die kostenbesparing en beheer bieden. Deze bieden de mogelijkheid om beveiliging te regelen voor informatie die over het netwerk gaat.

Het basisprincipe van print control oplossingen is dat de gebruiker een opdracht print naar een gedeelde ‘virtuele’ wachtrij die op een centrale printserver wordt gehost. De opdracht wordt op die server vastgehouden totdat de gebruiker zich bij een machine authenticeert en de opdracht(en) selecteert die hij wil afdrukken. De afdruktaak wordt dan de betreffende machine gestuurd en geprint. Auditinformatie wordt vervolgens geregistreerd op de server voor rapportagedoeleinden.

Deze methode biedt een aantal voordelen, namelijk:

  • Opdrachten worden geprint terwijl de gebruiker aanwezig is bij de machine;
  • Er wordt geen informatie bewaard op de machine;
  • Beperkingen op gebruikersrechten kunnen worden ingeregeld;
  • Afdrukkosten worden verminderd;
  • Het zorgt voor verbeterde beveiliging van het apparaat.

3. Machinebesturingssysteem

Om bescherming te bieden tegen mogelijke cyber- en hack dreigingen, wordt door alle KYOCERA-printers bij het opstarten een zelfhelende / zelfbeschermende controle uitgevoerd. Als een configuratie of belangrijke parameters zijn gewijzigd zonder autorisatie zal de machine een passende foutmelding geven.

4. Poorten en protocollen

KYOCERA kan protocollen uitschakelen die niet nodig zijn / specifieke communicatiepoorten vergrendelen op:

  • Netwerkbeveiligingsniveau: KYOCERA MFP’s / printers kunnen communicatie op het netwerk beperken om alleen via een bepaald bereik van IP-adressen en poortnummers te verzenden en ontvangen
  • IP-adresfilterniveau: hiermee wordt de toegang vanaf het netwerk tot de MFP’s / printers beperkt tot een bepaal bereik van IP-adressen of type protocol.

Gebruik veilige communicatieprotocollen
Beveiligde communicatieprotocollen zorgen voor een bescherming van het netwerkcommunicatiekanaal. Afhankelijk van het doeleinden of versleutelschema, zijn er verschillende protocollen beschikbaar, waardoor gegevens effectief beschermd worden tegen veranderingen of lekken via het netwerk.

Het gebruik van een netwerkverificatieprotocol is een effectieve methode om authenticatie te verkrijgen voor beveiligde communicatie. KYOCERA MFP’s / printers ondersteunen IEEE802.1x-netwerkverificatie, SMTP-verificatie en POP voor SMTP-verificatieprotocol, bijvoorbeeld bij het gebruik van ‘send to email’.

Schakel de USB-poortfuncties en optionele interfaces uit
Als een USB-geheugen op de machine wordt aangesloten, bestaat er een risico op verlies van gegevens of onbevoegde toegang tot gegevens die op het apparaat zijn vastgelegd. De beheerder kan de USB Storage Class uitschakelen waardoor het gebruik van USB opslagmedia wordt uitschakelt, maar de verbinding van andere USB-apparaten zoals kaartlezers, toetsenborden enz. mogelijk blijft. De beheerder kan ook de optionele interfaces (sloten 1 en 2) uitschakelen om te voorkomen dat ongeautoriseerde interfaces worden aangesloten.

5. Beheer

Verander het standaard beheerderswachtwoord
Machines worden vanuit de fabriek geleverd met een standaard wachtwoord. Het wordt sterk aangeraden om dit te veranderen. Kies een passend sterk wachtwoord dat voldoet aan het lokale beleid en gebruik geen bestaande gebruikersnaam / wachtwoord van een computer account.

Opmerking: Bewaar het wachtwoord goed. Als een MFP-wachtwoord wordt vergeten kan dit alleen worden verholpen  door de machine terug te zetten naar de fabrieksinstellingen. Dit moet worden  wordt uitgevoerd door een PuntNL Groep-technicus.

ID-kaart / RFID-toegang
Als proximity ID media wordt gebruikt als toegangscontrole tot het gebouw of voor tijdregistratie, kan hetzelfde ID-medium worden gebruikt voor gecontroleerde toegang tot de printers en MFP’s te geven. Dit is zowel gebruiksvriendelijke en efficiënt. Door dit te combineren met de opslagfunctionaliteit van de  MFP, kunnen opdrachten worden geprint op basis van toegangsauthorisatie.

6. Netwerk

Network Data Monitoring
Doordat moderne multifunctionals intelligentie bevatten in de vorm van een besturingssysteem, maakt dit ze een potentieel doelwit voor cyberbedreiging en voor diefstal van zowel gegevens als gebruikers- en netwerkinformatie.

Met behulp van enterprise grade beveiliging binnen het netwerk kan al het binnenkomende en uitgaande verkeer naar de MFP-vloot worden gemonitord op mogelijke bedreigingen.

Malware overschaduwt inmiddels de traditionele virussen als de meest voorkomende bedreiging op het internet. Nieuwe generaties van geavanceerde malware worden vaak aangeduid als Advanced Persistent Threats (APTs).

7. Cloud Connectiviteit

Gecentraliseerde printservers / Private Cloud Printing
In de afgelopen tijd hebben sommige printcontrolesystemen zich verder ontwikkeld om problemen met betrekking tot bandbreedte en documentbeveiliging aan te pakken als via cloud-gebaseerde servers wordt geprint.

Een proces als ‘Local Print Spooling’ kan worden ingezet door een pc of MFP in het lokale netwerk aan te wijzen om de afdruktaak vast te houden, waarbij alleen de rapportage informatie en afdrukbeleid informatie naar de server wordt verzonden. Zodra een gebruiker zich op een MFP aanmeld, wordt de printopdracht verzonden naar het geselecteerde apparaat en geprint.

Deze methode vermindert het gebruik van de bandbreedte aanzienlijk en houdt documenten binnen de lokale netwerkgrens. De toevoeging van een aparte server kan ook worden gebruikt zo kunnen lokaal machines, gebruikers en gebruiksinformatie worden beheert welke weer kunnen worden gesynchroniseerd met een centrale master server.

Met bovenstaande toepassingen kan ook de toegang tot scannen, bestemmingsbeperkingen en andere functionaliteiten worden beperkt op basis van globale, groeps- of individuele behoeften.

KYOCERA kan u helpen bij het selecteren van de oplossing die het beste aansluit aan de vereisten van een organisatie.

Cloud Connectiviteit
Een Virtual Private Network (VPN) is een zeer veilige methode om een ​​kantoor netwerk te verbinden via een openbaar netwerk. KYOCERA maakt voor het beveiligen van afdrukinformatie in over het netwerk gebruik van VPN’s. Alle gegevens die over deze verbindingen worden getransporteerd, worden in hoge mate gecodeerd. VPN’s vereisen gespecialiseerde apparatuur en om de VPN ‘tunnel’ te maken, inrichting door een goed gekwalificeerde technicus.

Er zijn twee typen VPN in gebruik:

  1. Een site-to-site verbinding – die meestal gebruikt wordt om kantoren of gebouwen te verbinden
  2. Een client-based connection – Deze worden gebruikt om locaties op een ‘ad-hoc’ manier met elkaar te verbinden; Bijvoorbeeld wanneer een mobiele 4G-router wordt aangesloten op een cloud-based server.

8. Data opslag

HDD / SSD gegevensbeveiliging
Gevoelige of vertrouwelijke informatie kan op de HDD of SSD van de machine worden opgeslagen waarvoor extra beveiliging kan worden geïmplementeerd. Deze voldoet aan de Common Criteria Certification (ISO 15408) en kan gebruikt worden om ofwel A) de HDD / SSD te versleutelen of B) de gegevens overschrijven:

  • A) HDD / SSD-versleuteling

HDD / SSD-versleutelingsfunctie is een beveiligingsfunctie die documenten, gebruikersinstellingen en machine informatie op de harde schijf of SSD versleutelt. Encryptie wordt toegepast op de data met behulp van de 128-bits en 256-bits AES (Advanced Encryption Standard: FIPS PUB 197) algoritme. Als de HDD of SSD uit de MFP wordt verwijderd, is gevoelige of vertrouwelijke informatie die is opgeslagen op de HDD of SSD niet toegankelijk.

  • B) HDD Overschrijven-Wissen

HDD Overschrijven-Wissen is een beveiligingsfunctie die het onmogelijk maakt dat een onbevoegde toegang krijgt tot informatie als gebruikersinstellingen, machine informatie en beeldgegevens die op de HDD zijn opgeslagen.

Bij het afdrukken of kopiëren wordt gescande data tijdelijk opgeslagen op de HDD en vervolgens geprint. Gebruikers maken ook diverse instellingen en voegen informatie toe zoals scanbestemmingen en e-mailadressen die op het apparaat zijn opgeslagen. Deze informatie blijft op de vaste schijf totdat de gegevens zijn overschreven met andere gegevens, zelfs na het uitvoeren of verwijderen van de informatie door gebruikers. Er bestaat een kans dat de gegevens op de vaste schijf kunnen worden hersteld met behulp van hiervoor ontwikkelde gereedschappen en hulpprogramma’s met datalekken als gevolg.

De functie HDD overschrijven-wissen is er op gericht om de op de harde schijf opgeslagen informatie te overschrijven met willekeurige betekenisloze data, zodat de werkelijke gegevens niet kunnen worden hersteld. Het proces van overschrijven wordt automatisch uitgevoerd, zodat de gebruiker of beheerder hier geen omkijken naar heeft. De HDD-gegevens worden direct overschreven, ook als de betreffende opdrachten tijdens het uitvoeren of op direct na het voltooien worden geannuleerd.

Er zijn drie overschrijven-wissen methoden beschikbaar.

Dit zijn:

  1. Eenmalig overschrijven-wissen – Onnodige informatie wordt één keer overschreven met null-gegevens, waardoor de gegevens moeilijk kunnen worden hersteld.
  2. Drie-keer overschrijven-wissen – Onnodige informatie wordt tweemaal overschreven met willekeurige data en vervolgens eenmaal met null data. De drie-keer overschrijven-functie voorkomt de mogelijkheid om de data te herstellen volledig, zelfs als u gebruik maakt van hoogwaardige restauratietechnieken. De drie-keer overschrijven-methode is strenger dan de eenmalige overschrijding methode. Bij overschrijving van bulkgegevens kan de methode met drie keer overschrijven, langer duren.
  3. Het Amerikaanse ministerie van defensie DoD 5220.22-M (drie pass) – De DoD 5220.22-M drie-pass is de beveiligingsmodus van het hoogste niveau, in vergelijking met ‘eenmalig overschrijven-wissen’ en ‘drie keer overschrijven-wissen’. Het vermindert het risico op informatielekkage aanzienlijk.

Taakopslag
Op de MFP kunnen gebruikersboxen, job boxen en / of faxboxen worden aangemaakt waarin ontvangen en geprinte gegevens opgeslagen kunnen worden. Toegang tot de opgeslagen gegevens in deze boxen kan op de volgende manieren worden beperkt:

Gebruikersbox
Gebruikers kunnen gebruikersboxen aanmaken om gegevens op de MFP op te slaan. Instellingen / beperkingen voor het gebruik, data bewaartermijn en wachtwoorden kunnen allemaal worden ingegeven voor deze boxen. Een gebruikersbox kan alleen worden geopend door een gebruiker die geregistreerd is als eigenaar voor deze box en kan dus niet door een onbevoegde gebruiker worden geopend. Een gedeelde box kan worden aangemaakt zodat gebruikers die niet geregistreerd zijn als eigenaar toegang hebben.

Na een termijn die door de beheerder is ingesteld, worden de opgeslagen documentgegevens automatisch gewist, zodat effectief HDD zelfbeheer en gegevensbeveiliging mogelijk is.

Job box
Gegevens voor privéafdrukken, snel kopiëren, proefafdrukken en opgeslagen opdrachten kunnen opgeslagen worden in een job box, die niet door gebruikers zelf kan worden gemaakt of verwijderd. De job box kan met PIN-code beveiligd zijn om de toegang tot de gegevens te controleren.  De opgeslagen documentgegevens kunnen na een bepaalde tijd automatisch worden gewist, waardoor effectieve HDD-zelfbeheer en gegevensbeveiliging mogelijk zijn.

Faxbox
Deze box ontvangt faxopdrachten. De per fax ontvangen gegevens kunnen worden weergegeven op het paneel van de MFP, zodat gewenste faxen direct kunnen worden afgedrukt, terwijl ongewenste faxen kunnen worden verwijderd.

9. De menselijke factor

Gebruikersopleiding is de sleutel!

Als een verantwoordelijke partner probeert KYOCERA te voorkomen dat er geprint wordt waar printen niet nodig is. We willen mensen niet verhinderen te printen. We denken gewoon dat gebruikers soms, en niet allemaal, eraan herinnerd moeten worden dat papier, inkt en toner verspillen niet bijdraagt aan een economisch of milieuvriendelijk beleid.

Veel IT-managers waarmee KYOCERA contact heeft zijn het er over eens dat een goede informatievoorziening en bewustwording betreffende kostenbesparing de ideale manier is om een printbeleid te laten slagen. Toch zie je dat er een sterke verschuiving is naar beleid afdwingen en automatisering. Goede print management software maakt het namelijk mogelijk om direct met de kostenbesparing ook een printbeveiligingsbeleid in te voeren en de efficiëntie voor de organisatie te verbeteren.

10. Bedieningspaneel

Bedieningspaneel vergrendeling

De gedeeltelijke vergrendelingsfunctie maakt het mogelijk bepaalde functies uit te schakelen en beschikt over drie niveaus: gebruik van het bedieningspaneel, taakbeheer / uitvoering en papierinstellingen. De bedieningspaneel vergrendeling biedt de mogelijkheid om de toegang tot de systeeminstellingen en de annuleringsinstellingen te blokkeren

Gebruik een verificatiemethode
KYOCERA-machines ondersteunen een aantal verschillende manieren om gebruikers zich te laten aanmelden. Toegang is mogelijk op drie niveaus – gebruiker, beheerder en machinebeheerder. De beveiligingsniveaus kunnen alleen door de machinebeheerder worden aangepast. Gebruikers die niet inloggen op de machine kunnen de beperkte functies van de machine gebruiken.

Lokale authenticatie
Authentiseert gebruikers op basis van de gebruikersgegevens die zijn geregistreerd in de lokale gebruikerslijst in de MFP / printer. Alleen geregistreerde gebruikers krijgen toegang tot de machine.

Netwerkauthenticatie
Authenticatie via een domeincontroller. NTLM- en Kerberosmethoden worden ondersteund. Een wachtwoordbeleid kan worden ingevoerd om wachtwoordcomplexiteit en wachtwoordleeftijd te handhaven, samen met de registratie van mislukte pogingen.

Gastfunctie
Wanneer de gebruiker login is ingeschakeld, kan een gastmodus worden toegevoegd zodat alleen bepaalde functies van de machine kunnen worden geopend zonder dat authenticatie vereist is. Dit kan ook gebruikt worden om de bedrijfskosten te verminderen, bijvoorbeeld door het kopiëren in kleur alleen beschikbaar te stellen voor gebruikers die inloggen. Dit beveiligingsniveau kan de organisatie tegen informatie lekken beschermen, terwijl de gebruiksvriendelijkheid behouden blijft.

Veilige afdrukken
Secure Print is een functionaliteit voor MFP’s / printers en kan gebruikt worden voor het afdrukken van bedrijfsvertrouwelijke of persoonlijke documenten zonder dat er geprinte documenten onbeheerd op de machine achterblijven.

Privé-afdrukken
Met privéafdruk wordt een printopdracht vastgehouden op de MFP / printer totdat door de gebruiker het juiste wachtwoord is ingevoerd via het bedieningspaneel van de machine. Deze functie vereist dat de gebruiker een toegangscode instelt in de driver welke dan ook weer gebruikt wordt om de opdracht vrij te geven. Nadat het afdrukken is voltooid, worden de gegevens gewist. Als de machine wordt uitgezet voordat het document is geprint worden de gegevens eveneens gewist.

Is uw outputomgeving veilig?

Printers en multifunctionele apparaten (MFP’s) zijn intelligente netwerk geconnecteerde machines die net zoals een pc, een scherm, een toetsenbord, een harde schijf (die mogelijk gevoelige informatie kunnen opslaan) en een besturingssysteem bevatten. Dit maakt ze een even belangrijk onderdeel van uw AVG-beleid.

Bereid u voor op AVG

Er zijn enkele basis- en kernaanbevelingen die KYOCERA doet om een boete te vermijden en ervoor te zorgen dat uw organisatie AVG klaar is.

AVG 10 belangrijkste feiten

Ontdek de 10 belangrijkste AVG kenmerken en wijzigingen in de Europese Gegevensbeschermingsrichtlijn en welke invloed ze op u kunnen hebben.

Meer weten?

Neem gratis en vrijblijvend contact met ons op.

Voor algemene vragen, offertes maar ook specifieke vraagstukken met betrekking tot Kyocera printers of andere producten of diensten.

Bij PuntNL Groep bieden wij kantoorapparatuur, zoals draadloze printers en kopieermachines, ICT- en documentoplossingen. Maar eerst hebben we het over uw bedrijf. Hoe worden uw mensen ingezet, hoe verlopen de bedrijfsprocessen, hoe verwerkt u documenten? Voor de beste oplossing gaan wij graag met u in gesprek.

Contact

PuntNL Groep
Postbus 5038
9700 GA Groningen

Bezoekadres:
De Kiel 8
9206 BG Drachten

T: 050 - 577 57 19
F: 050 - 577 51 88
E: info@puntnlgroep.nl

x

Wij gebruiken cookies om u de beste online ervaring te bieden. Door akkoord te gaan, accepteert u het gebruik van cookies in overeenstemming met ons cookiebeleid.