Weet je wat ontzettend vermoeiend is voor een veiligheidsmanager? Dat iemand je vertelt dat er een beslissing is genomen, dat het te laat is om er nog wat aan te veranderen, dat niemand het nodig vond de veiligheidsmanager erin te betrekken, en dat er geen budget is om de maatregelen die hij te elfder ure voorstelt nog door te voeren. En dat is precies wat me zojuist is overkomen. Alweer.

Ditmaal ging het over MFD’s: Multi Function Devices die eruit zien als uit de kluiten gewassen fotokopieermachines. Ik kwam er achter dat we een contract hebben gesloten om al onze printers te vervangen door MFD’s toen er allemaal werklui kwamen binnenlopen die al onze laserprinters meenamen en vervolgens met die monsters kwamen binnenrollen.

Ik vond zelf dat onze oude printers het nog prima deden, maar kennelijk kunnen we een hoop geld besparen door deze nieuwe ‘slimme’ apparaten te gebruiken, omdat ze zelf om hulp roepen als ze zonder papier zitten, toner nodig hebben of zijn vastgelopen. Ze zijn allemaal verbonden met ons netwerk en kunnen printen, scannen, kopiëren, faxen, mailen, kloppen en zuigen. Klinkt geweldig toch?

Het probleem is dat het niet echt printers zijn. Het zijn netwerkapparaten die via het netwerk een hele serie functies kunnen uitvoeren. Ik heb met de leverancier gesproken en kwam er zo achter dat deze MFD’s Windows draaien – en dan nog een hele oude versie ook. Dat betekent dat we plotseling een hele reeks nieuwe Windows-machines aan ons netwerk hebben hangen. Het afgelopen jaar ben ik bezig geweest om bij ons het Windows patch-beleid onder controle te krijgen, en nu kan ik dus weer opnieuw beginnen.

Ik heb ook nog even met de projectmanager gesproken om te achterhalen hoe dit nou allemaal heeft kunnen gebeuren, en om te bepalen hoe we alsnog enige vorm van beveiliging in dit project kunnen vlechten. Ze was niet zo blij met mij. “Het zijn gewoon printers,” zei ze. “Hoezo moeten we ons druk maken over beveiliging?”

Dat moet je vooral aan mij vragen. Voor mijn antwoord heb ik mijn lerarenbril opgezet. Ik legde haar uit hoe het ‘brein’ van dit soort apparaten eigenlijk een Windows-computer is, en dat we er daarom voor moeten zorgen dat ze voldoen aan ons beveiligingsbeleid, en dat we een manier moeten vinden om hun software iedere maand te updaten, en bovendien ervoor moeten zorgen dat ze fatsoenlijk van de buitenwereld zijn afgesloten. Dat inzicht werd niet met gejuich begroet. “Daar hebben we geen budget voor, en ook geen tijd trouwens,” zei ze bits.

De MFD’s werden in twee dagen tijd geïnstalleerd, en nu zijn het grote beveiligingsgaten in ons netwerk, die staan te wachten tot er een worm of een virus langskomt. Maar er zijn ook andere zorgen. Deze zit me persoonlijk het hoogst: elk document dat wordt gescand, geprint of gemaild op een MFD wordt ‘tijdelijk’ opgeslagen op de interne harde schijf van het apparaat. Ik zet dat ‘tijdelijk’ even tussen aanhalingstekens omdat die bestanden blijven staan totdat het systeem ze overschrijft met nieuwe informatie. Erger nog: als het systeem uitvalt, komt onze leverancier langs om het ding mee te nemen en te vervangen – en wat er dan met die ‘tijdelijke’ bestanden gebeurt weet niemand. Oh, en de vervangende MFD moet dan opnieuw worden beveiligd, ervan uitgaande dat dat überhaupt gaat lukken met de apparaten die net zijn geïnstalleerd.

Ik moet nog uitzoeken hoe deze apparaten zijn dicht te timmeren, en hoe ik ervoor zorg dat ze regelmatig worden bijgewerkt. Als ik was ingelicht voordat het contract was ondertekend, had ik nog een poging kunnen wagen om op zijn minst te tekenen voor regelmatige updates op cd. Dat had wat meer gekost inderdaad, maar contracten teken je niet om geld te besparen – vooral niet als niemand ooit een poging heeft gedaan alle kosten in kaart te brengen.

De ironie wil dat mijn bedrijf heel aardige processen heeft bedacht om de veiligheid van nieuwe technologieën te controleren. Maar dat proces werkt alleen als mensen zich realiseren dat bepaalde apparaten die we aanschaffen inderdaad nieuwe technologieën zijn. Als ze ze simpelweg als machines beschouwen verdwijnt het hele beveiligingselement in de gootsteen.

J.F. Rijst is een werkelijk bestaande veiligheidsmanager die liever niet met zijn werkelijke naam op onze website wil verschijnen.

Reageer