Laat die beveiliging maar zitten
Gepubliceerd: Vrijdag 23 oktober 2009
Auteur: J.F. Rice
Weet je waar ik als veiligheidsmanager ontzettend moe van word? Dat iemand je vertelt dat er een beslissing is genomen, dat het te laat is om er nog wat aan te veranderen, dat niemand het nodig vond de veiligheidsmanager erin te betrekken, en dat er geen budget is om de maatregelen die hij op de valreep nog voorstelt door te voeren. En dat is precies wat me zojuist is overkomen. Alweer.
Ditmaal ging het over MFD's: Multi Function Devices die eruit zien als uit de kluiten gewassen fotokopieermachines. Ik kwam er achter dat we een contract hebben gesloten om al onze printers te vervangen door MFD's toen er al werklui kwamen binnenlopen die onze laserprinters meenamen en vervolgens met die monsters kwamen binnenrollen.
Netwerkapparaten
Ik vond zelf dat onze oude printers het nog prima deden, maar kennelijk kunnen we een hoop geld besparen door deze nieuwe 'slimme' apparaten te gebruiken, omdat ze zelf om hulp roepen als ze zonder papier zitten, toner nodig hebben of zijn vastgelopen. Ze zijn allemaal verbonden met ons netwerk en kunnen printen, scannen, kopiëren, faxen, mailen, kloppen en zuigen. Klinkt geweldig toch?
Het probleem is dat het niet echt printers zijn. Het zijn netwerkapparaten die via het netwerk een hele serie functies kunnen uitvoeren. Ik heb met de leverancier gesproken en kwam er zo achter dat deze MFD's Windows draaien - en dan nog een hele oude versie ook. Dat betekent dat we plotseling een hele reeks nieuwe Windows-machines aan ons netwerk hebben hangen. Het afgelopen jaar ben ik bezig geweest om bij ons het Windows patch-beleid onder controle te krijgen, en nu kan ik dus weer opnieuw beginnen.
Grote gaten
Ik heb ook nog even met de projectmanager gesproken om te achterhalen hoe dit nou allemaal heeft kunnen gebeuren, en om te bepalen hoe we alsnog enige vorm van beveiliging in dit project kunnen vlechten. Ze was niet zo blij met mij. "Het zijn gewoon printers," zei ze. "Hoezo moeten we ons druk maken over beveiliging?"
Dat moet je vooral aan mij vragen. Voor mijn antwoord heb ik mijn lerarenbril opgezet. Ik legde haar uit hoe het 'brein' van dit soort apparaten eigenlijk een Windows-computer is, en dat we er daarom voor moeten zorgen dat ze voldoen aan ons beveiligingsbeleid, en dat we een manier moeten vinden om hun software iedere maand te updaten, en bovendien ervoor moeten zorgen dat ze fatsoenlijk van de buitenwereld zijn afgesloten. Dat inzicht werd niet met gejuich begroet. "Daar hebben we geen budget voor, en ook geen tijd trouwens," zei ze bits.
