Strategie

De printer die je omzet opvreet

Wat doe je als je belangrijkste apparaat ineens een veiligheidslek blijkt?

#strategie

a stack of money sitting on top of a table Photo by Igor Omilaev on Unsplash

Bij veilig werken denken de meeste mensen aan verandering. En kosten. En gedoe. Dat is lang niet altijd. Want zoals ik in mijn vorige blog schreef, kies je de maatregelen die bij je passen. Maar soms, als er een directe noodzaak is, kan het zijn dat er iets snel veranderd moet worden. Zo’n scenario wil ik vandaag eens schetsen.

Stel je voor: je bent eigenaar van “repro-en-zo”, een drukker met een vijftal verschillende drukwerkapparaten. 50% van je omzet haal je uit een enkele printer die al wat jaartjes oud is maar het nog prima doet. De rest van de omzet komt uit de andere apparaten of uit andere activiteiten zoals verkoop van papiersoorten en wat licht grafisch ontwerp. Klanten sturen het digitale drukwerk op via de mail, of sommige brengen het langs op een USB-stick. Vervolgens wordt het drukwerk in een online-cloudomgeving geupload. Die omgeving kan geheel automatisch 75% van het werk doen dat normaal handmatig gedaan wordt. Door een slimme koppeling van de IT-leverancier van Repro-en-Zo wordt de printer aan de cloudomgeving gekoppeld, en kan zelfs rechtstreeks uit de omgeving geprint worden.

Alles prima in orde zou je zeggen… tot je een mailtje van je IT-leverancier krijgt:

Hoi! Had jij niet zo’n grote dure HP 380Z printer staan? Daar zit een ernstige kwetsbaarheid in, en je kunt hem niet meer patchen (hij bedoelt daarmee: een update doen zodat hij niet meer te hacken is) omdat de printer niet meer ondersteund wordt door HP. Ik zou hem maar gaan vervangen als ik jouw was.

Fijn dat je IT-leverancier zo meedenkt, maar wat moet je daar nu mee? Fabrikant geeft geen updates meer. IT-leverancier trekt z’n handen er vanaf. En blijkbaar is er iets mis met je printer waar 50% van je omzet uitkomt.

IT-leveranciers onderhouden alleen wat je met ze afspreekt, en dan vaak ook alleen soft- en hardware die je bij ze afneemt. Voor zelf gekochte apparatuur waar niets over in het onderhoudscontract staat, worden niet onderhouden. Vaak willen ze nog wel even een koppeling leggen zodat het apparaat wel te gebruiken is. Dat houdt ook in dat als je daar geen ander onderhoudscontract hebt, dat deze geen beveiligingsupdates krijgen en je dus zelf ook moet bijhouden wanneer de fabrikant het apparaat niet meer van nieuwe updates gaat voorzien. Een kort lijstje van de ‘usual suspects’:

  • printers en scanners;
  • Vaste telefoons en telefoniecentrales;
  • switches en (wifi)-routers gekocht bij bijvoorbeeld de Media Markt of Coolblue;
  • Camerasystemen of losse camera’s.

Overigens gaat dat in de toekomst beter worden. Het Europese parlement heeft de ‘Cyber Resillience Act’ aangenomen. Die gaat vanaf 2027 fabrikanten verplichten software automatisch bij te werken. Daar duik ik later in een andere blogpost dieper op in.

Nu eens even kijken wat deze organisatie op dit moment aan opties heeft:

  1. Gewoon doorgaan alsof er niets aan de hand is.
  2. Hals-overkop een nieuwe bestellen.
  3. Het apparaat van internet afkoppelen en daarmee extra werk voor jou en je medewerkers.

Allemaal geen heel aantrekkelijke opties. Optie 1 is struisvogel gedrag. Dat loopt zelfs voor een echte struisvogel niet goed af. Een struisvogel die z’n kop in het zand stopt, wordt gewoon verslonden door de lokale leeuw.

Het lijkt aantrekkelijk om dan maar direct een nieuwe te bestellen, op voorwaarde dat je het geld daarvoor hebt liggen natuurlijk. Maar ook dat zou niet mijn voorkeur hebben. Als je hals overkop de opvolger koopt van de printer die je zes jaar geleden aanschafte, loop je het risico dat deze niet goed aansluit bij je huidige of toekomstige strategie. Misschien wil je nog meer automatiseren en kun je dat doen door een model van een andere fabrikant te kopen die met AI nog eens 10% van je kosten kan afschaven. Die kans mis je als je nu op basis van angst een verkeerde investerings-beslissing neemt.

Mijn strategie zou hier zijn om optie twee en drie te combineren, en alleen als dat nodig is. Eerst kijken of het nodig is je printer van internet te halen, en als het nodig blijkt dan terugvallen op de ‘oude’ manier van werken. En in de tussentijd je opties bekijken voor een nieuwe printer.Want de crux in dit verhaal zit hem er in dat je moet beoordelen hoe ernstig de kwetsbaarheid in jouw printer nu eigenlijk is voor jouw organisatie.

En dat hangt sterk af van hoe de printer is gekoppeld aan de cloudomgeving, en de aard van de kwetsbaarheid. Vragen die hier bij komen kijken zijn:

  • Is het mogelijk voor een hacker vanaf het internet op de printer in te breken?
  • Is de kwetsbaarheid zo ernstig dat een hacker de printer permanent stuk kan maken?
  • Kan een hacker als hij ingebroken heeft op de printer, toegang krijgen tot het interne (wifi) netwerk en zo ook schade aanrichten aan andere systemen?

Zonder antwoorden te vinden op deze vragen, is het lastig het risico te bepalen. Zonder dat risico helder te hebben kan ook lastig ingeschat worden hoe snel actie moet worden ondernomen. En dus wordt het ook lastig om te bepalen hoeveel haast je moet maken om een nieuwe printer uit te zoeken.

Tot slot, nog even analyseren hoe je er nu voor kunt zorgen dat je niet in deze situatie terechtkomt:

  1. Heel flauw, maar helemaal voorkomen kan niet. Zelfs grote organisaties die continu veel aandacht besteden aan informatieveiligheid worden met verrassingen geconfronteerd. Zij zijn echter voorbereid op het onverwachte, en kunnen daarom sneller ingrijpen en problemen tackelen. En dat is iets waar je ook als kleine organisatie aan kunt werken.
  2. Hierop aanhakend: als je vooraf bepaalt wat acceptabel is voor jou als ondernemer, kun je vooraf ook maatregelen nemen om de kans dat er iets gebeurt kleiner te maken. Je kunt je afvragen of je als ondernemer het OK vindt dat 50% van je omzet afhankelijk is van 1 printer en 1 cloudoplossing (De zogenaamde Risk appetite). Voor sommige ondernemers wel. Maar als je een dienst voert die betalende klanten belooft om drukwerk binnen 24 uur te verzenden waarschijnlijk niet. Dan wil je meer zekerheid hebben over de beschikbaarheid van je printer.
  3. En daarop voortbordurend: als je een dergelijke dienst voert, wil je zeker een goed onderhoudscontract hebben specifiek voor die printer. Ten eerste omdat je printer dan goed onderhoud krijgt. Met als bijkomend voordeel dat als de printer niet meer ondersteund wordt, je daar waarschijnlijk een melding van krijgt. Want als je de printer toch wilt blijven gebruiken, gaan de onderhoudskosten enorm omhoog. Dat komt doordat de partij die onderhoud doet oude reserve onderdelen in voorraad moet gaan houden om jouw printer te kunnen repareren als hij stuk gaat. Een mooi signaal om na te denken over vervanging.

Het loont dus om zelf goed na te denken over de kritieke onderdelen in jouw organisatie. Hoe lang ben je bereid om niet te kunnen produceren of leveren? Wat kun je vooraf regelen om de kans op verstoringen te verkleinen? En stel dat een verstoring toch plaatsvindt, heb je dan een backup plan?

Genoeg stof tot nadenken voor vaandaag! Met wat denkwerk heb je je eigen organisatie zo weer ietsje veiliger gemaakt!

Klaar met lezen?

CISO Essentials helpt je je gedachten te vertalen naar een concrete aanpak — zonder dure tools of een fulltime CISO.

Intake aanvragen
Alle artikelen