op het netwerk aangesloten printers

De risico's van op het netwerk aangesloten printers `

Gesponsord door HP Onafhankelijk onderzoek door Ponemon Institute LLC Publicatiedatum: Oktober 2015

Onderzoeksrapport van Ponemon Institute©

De risico's van op het netwerk aangesloten printers Deel 1: Inleiding

Ponemon Institute, oktober 2015

In De risico's van op het netwerk aangesloten printers, gesponsord door HP, wordt onderzocht welke risico's printers en randapparaten zonder beveiliging veroorzaken. De nadruk ligt op strategieën en best practices voor een betere beveiliging van endpointdevices en papieren documenten. Wij ondervroegen meer dan 2000 IT-beveiligingsdeskundigen in Noord-Amerika, EMEA, Azië, Oceanië en Latijns-Amerika. De geconsolideerde uitslagen van onze enquête worden in dit rapport gepresenteerd. Om te waarborgen dat de antwoorden relevant zijn, hebben wij gecontroleerd of alle ondervraagden bekend zijn met het databeveiligingsbeleid van hun onderneming en verantwoordelijkheid dragen voor het beschermen van gevoelige of vertrouwelijke informatie. 67 procent van de ondervraagden zegt dat vooral digitale informatie wordt beschermd en 22 procent dat zowel papieren als digitale documenten worden beveiligd. Slechts 13 procent meldt vooral geprinte informatie te beveiligen. Printerbeveiliging worden vaak vergeten. Zoals te zien is in afb.1 zegt 64 procent van de ondervraagden dat hun bedrijf meent dat gegevens op desktop- of laptopcomputers meer risico lopen dan die op printers. Daarom zijn de meeste (62%) ondervraagden pessimistisch over de mogelijkheid verlies van data in printermassaopslag en/of geprinte documenten te voorkomen. Deze printers zijn kwetsbaar voor ongeautoriseerde toegang via open poorten en protocollen. Slechts 38 procent van de ondervraagden meldt dat de informatie op de printerschijf volledig wordt gewist bij afstoting of revisie van een printer.

Afb. 1. De beveiligingsrisico's van printers worden genegeerd

Higher data risk is Desktop-pc's en laptops assigned to desktop worden als een groteror laptop than risicocomputers beschouwd dan printers printers

64%

Unable to prevent the loss Verlies van in of data contained indata printer printeropslag en/of geprinte mass storage and/or documenten kan niet printed hardcopy worden voorkomen documents Information contained in Informatie op deis printer mass storage printerschijf wordt volledig thoroughly wiped clean gewistduring bij afstoting of revisieor the disposal van eenprocess printer refurbishment

62%

38%

0% 15% 30% 45% 60% 75%

Executive management, de verkoopafdeling en human resources genereren en printen het vaakst materiaal met een hoog risico. Bedrijven weten niet welke printers risico lopen, maar ITbeveiliging kan wel bepalen voor welke afdelingen of functies de strengste printbeveiligingsmaatregelen zouden moeten gelden. De noodzaak om een eind te maken aan de ongeautoriseerde toegang tot netwerkprinters wordt vaak niet onderkend. Slechts 34 procent van de ondervraagden antwoordt dat hun onderneming een procedure heeft om de toegang tot risicoprinters en de documenten daarop te beperken. Daardoor is gemiddeld 44 procent van de netwerkprinters in hun organisatie onveilig waar het ongeautoriseerde toegang tot in de printer opgeslagen gegevens betreft. Gemiddeld 55 procent is onveilig wat betreft ongeautoriseerde toegang tot geprinte documenten. In de in dit onderzoek besproken organisaties heeft waarschijnlijk een datainbreuk via een in het netwerk aangesloten printer plaatsgevonden. Bedrijven negeren het risico, maar 60 procent van de ondervraagden geeft toe dat zo'n datainbreuk zeker (10%), zeer waarschijnlijk (24%) of waarschijnlijk (26%) heeft plaatsgevonden. De meeste ondervraagden voorzien dat in de komende 12 maanden een dataschending via onveilige netwerkprinters zal plaatsvinden. 57 procent verwacht een inbreuk via printers en 51 procent voorspelt een inbraak via onvoldoende beveiligde desktop- of laptopcomputers.


Pagina 1

Volgens 88 procent van de ondervraagden is het vermogen om problemen op een willekeurig apparaat in het printerpark te detecteren de belangrijkste factor in de beveiliging van netwerkprinters. Andere belangrijke kenmerken zijn: de mogelijkheid om policy's voor het hele printerpark in te stellen en te controleren (73%), de mogelijkheid om printers te configureren volgens specifieke beveiligingspolicy's van het bedrijf (71%), de mogelijkheid om versleutelde communicatie tussen printers te gebruiken (68%), de mogelijkheid om printers die worden toegevoegd aan of verwijderd uit het netwerk te detecteren (65%) en de mogelijkheid om voor het hele printerpark digitale certificaten te installeren en te beheren (59%).


Pagina 2

Deel 2: Voornaamste bevindingen Hier volgen de meest opmerkelijke resultaten van het onderzoek, gegroepeerd onder drie thema's:   

Menselijke fouten en onbeveiligde printers Problemen met processen en gebrek aan controle Technologieproblemen

Menselijke fouten en onbeveiligde printers Executive management, de verkoopafdeling en human resources genereren het vaakst gevoelige en vertrouwelijke informatie op devices en op papier. Gevoelige en vertrouwelijke informatie loopt een groot risico, want 56 procent van de ondervraagden meent dat werknemers in hun bedrijf printers en documenten niet als veiligheidsrisico beschouwen. Bedrijven weten niet welke printers risico lopen, maar de ondervraagden kunnen wel zeggen op welke afdelingen of functies de strengste printbeveiligingsmaatregelen zouden moeten gelden. Afb. 2 illustreert dat de ondervraagden het management (65%), de verkoopafdeling (63%) en human resources (57%) als de meest risicovolle delen van het bedrijf beschouwen, op basis van het type data dat wordt gegenereerd en/of geprint. Verkoop (93%) en human resources (76%) zijn ook kwetsbaar voor mogelijke dataschendingen, omdat op die afdelingen de printers doorgaans slecht beveiligd zijn en er geen strenge toegangscontrole is. Afb. 2. Afdelingen of functies die het hoogste risico vormen Drie antwoorden toegestaan

65%

Executive management Executive management

14% 63%

Sales Verkoopafdeling

93% 57%

Human resources Human resources

76% 31%

Financeen&accounting accounting Finance

6% 26%

Marketing Marketing

38% 23%

Informatietechnologie Information technology

3% 11% 14%

Communicatieand en public Communications publicrelations relations 0%

10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Highest risk based on the type of data generated and/or printed Highest risk in terms of poor printer-related security practices, lax access controls


Pagina 3

Problemen met processen en gebrek aan controle Bestaande beveiligingsmaatregelen voor printers en documenten zijn niet effectief. Het toepassen van policy's, trainen van werknemers en het gebruik van papierversnipperaars zijn de voornaamste maatregelen voor het beveiligen van printers en documenten (respectievelijk 49%, 46% en 39% van de ondervraagden), zoals te zien is in afb. 3. Waarom zijn deze maatregelen niet effectief? Ten eerste zegt de meerderheid (55%) van de ondervraagden dat de beveiligingspolicy's in hun bedrijf niet gelden voor netwerkprinters of dat zij dit niet zeker weten. De beveiliging kan worden verbeterd door gebruik te maken van digitale certificaten, encryptie en antivirus/antimalwareoplossingen. Afb. 3. Maatregelen die bedrijven nemen om printers te beveiligen Meerdere antwoorden mogelijk

Beveiligingsbeleid Enforcinginstellen a policy

49%

Werknemers trainen Training of employees

46%

Documenten alle afdelingen versnipperen Shredding op documents in each office area

39%

Collecting documents from each office area for Documenten van alle afdelingen verzamelen voor centralized shredding centrale vernietiging

28%

Digitale certificaten installeren and en encryptie instellen Deploying digital certificates encryption when op alle network netwerkprinters printing across devices

25%

Collecting paper documents from outside Papieren documenten door een extern bedrijf contractors forlaten safeafvoeren disposal veilig

20%

Antivirus/antimalwareoplossing installeren Implementing ant-virus/anti-malware solution

18%

Implementing access control protocols to printers Protocollen voor toegangscontrole across the network tot netwerkprinters implementeren

13%

Printen naar specifieke apparaten automatisch beperken Automated print restriction on specific devices

10%

print restrictions on specific files Printen vanAutomated specifieke bestanden automatisch beperken

7%

Anders Other

1% 0%


10%

20%

30%

40%

50%

Pagina 4

60%

Bij de meeste bedrijven staan printers verspreid door de vestiging, maar weten slechts weinigen welke printers kwetsbaar zijn voor een datainbreuk. Zoals te zien is in afb. 4 zegt slechts 30 procent van de ondervraagden dat hun bedrijf een procedure heeft voor het identificeren van risicoprinters en slechts 34 procent dat er regels zijn om de toegang tot die printers te beperken. Bovendien zegt slechts 44 procent dat de beveiligingspolicy's in hun onderneming zich uitstrekken tot op het netwerk aangesloten printers. Afb. 4. Heeft u een procedure voor het identificeren en beperken van de toegang tot risicoprinters en geprinte risicodocumenten? 80% 70%

66%

70% 60% 50% 40%

34%

30% 30% 20% 10%

0% Identifying printers Identificatie high-risk van risicoprinters

Restricting to high-risk printers including Beperkenaccess van de toegang tot risicoprinters en de printeddocumenten hardcopy daarop documents Ja Yes


Nee No

Pagina 5

Zoals te zien is in afb. 5 geven bedrijven toe dat de volgende taken niet of niet voldoende zijn geïmplementeerd: integratie van printertoegang en -gebruik met netwerkintelligentie en/of SIEMoplossing (77%), instellen van printerbeveiligingspolicy's die consistent in de hele onderneming worden toegepast (66%), versleutelen van data die zijn opgeslagen in printergeheugens en/of op printerschijven (63%), versleutelen van data die worden verstuurd naar de printers in het bedrijf (62%) en instellen van toegangsrechten voor printers op basis van de gevoeligheid van geprinte documenten (56%). Afb. 5. Hoe goed handhaaft uw bedrijf het gebruik en de beveiliging van printers? Antwoord: "Geen handhaving"

Integreren printertoegang en -gebruik Integrate printervan access and use with network intelligence en/of and/or SIEM solution met netwerkintelligentie SIEM-oplossing

77%

Establish and enforce printer security policies Instellen van printerbeveiligingspolicy's die consistent that are consistently applied across the in de hele onderneming worden toegepast enterprise

66%

Versleutelen van data diewithin zijn opgeslagen in Encrypt data at rest stored printer mass printergeheugens en/of printerschijven storage and/or hard drives

63%

Versleutelen van data die worden verstuurd Encrypt data in motion across the organization’s naar de printers in het bedrijf fleet of printers

62%

Instellen van toegangsrechten printers op on basis Assign access rights to voor printers based the van de gevoeligheid van geprinte documenten sensitivity of documents printed

56%

Maintain logs showing access to data Bijhouden van logboeken over de toegang tot data die zijn stored/contained within printer mass storage opgeslagen in printergeheugens en/of printerschijven and/or hard drives

55%

Establish printer ownership and accountability Printereigendom en verantwoordelijkheid bepalenby or rol role op basis vanfunction functie en

54%

Controleprocedures instellen opto het gebruik en Establish monitoring track the use dephysical fysieke locatie vanofprinters and location printers voorlichten gebruik EducateGebruikers users about the safeover and veilig secure use of van printers andere randapparaten printers anden other peripheral devices

52%

40% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90%


Pagina 6

De noodzaak om een eind te maken aan de ongeautoriseerde toegang tot netwerkprinters wordt vaak niet onderkend. Gemiddeld 55 procent van de apparaten is onveilig omdat ongeautoriseerde toegang tot data op geprinte documenten mogelijk is en gemiddeld 44 procent van de apparaten is onveilig omdat ongeautoriseerde toegang tot data die in printers zijn opgeslagen mogelijk is. Slechts 34 procent van de ondervraagden zegt dat hun onderneming een procedure heeft om toegang tot risicoprinters en de documenten daarop te beperken. Technologieproblemen In de in dit onderzoek besproken organisaties heeft waarschijnlijk een datainbreuk via een in het netwerk aangesloten printer plaatsgevonden. Zoals te zien is in afb. 6 kennen bedrijven het risico niet of negeren zij het. Toch geeft 60 procent van de ondervraagden toe dat zo'n datainbreuk zeker (10%), zeer waarschijnlijk (24%) of waarschijnlijk (26%) heeft plaatsgevonden. Slechts 24 procent zegt dat er geen datainbreuk is geweest via een met het netwerk verbonden printer. 67 procent van de ondervraagden zegt dat een inbreuk via een desktop-pc of laptop zich zeker (35%), zeer waarschijnlijk (23%) of waarschijnlijk (9%) heeft voorgedaan. Afb. 6. Datainbreuken waarbij een netwerkprinter en een op het netwerk aangesloten desktop-pc of laptop betrokken waren 100% 90%

10%

16%

80% 70%

23% 24% 9%

60% 50%

23%

26%

40%

30% 20%

24%

35%

10% 0%

10% Netwerkprinter printer Network-connected Ja – zeer Yes - known with certainty Yes - Very likely Ja – met zekerheid vastgesteld waarschijnlijk


Desktop-oroflaptop laptopcomputer Desktop computer Yes No Unable totedetermine Niet zeker Nee Ja – - Likely waarschijnlijk

zeggen

Pagina 7

De meeste ondervraagden voorzien dat in de komende 12 maanden een dataschending via onveilige netwerkprinters zal plaatsvinden. Zoals te zien is in afb. 7 verwacht 57 procent van de ondervraagden dat een dergelijke datainbreuk zal optreden en voorspelt 51 procent een inbraak via onveilige desktop- of laptopcomputers. Het risico op beide typen incidenten stijgt door het toenemend gebruik van mobiele technologie (65%), stijging van het aantal malwarebesmettingen (61%), het aantal mobiele werknemers (60%) en het aantal met het netwerk verbonden apparaten (53%). Afb. 7. Verwacht u een toename van het risico van datainbreuken in de komende 12 maanden? 100%

8%

8%

90% 80% 70%

34%

42%

60% 50% 40% 30%

57%

51%

20% 10% 0%

IncreasedHoger risk from network-connected Increased risk from desktop or laptop risicoinsecure door onveilige op het Hoger risico doorinsecure onveilige desktop-pc's netwerk aangesloten of laptops printers printers computers Yes Ja

No Nee

Niet zeker zeggen Unable totedetermine

Technologieën die risicoprinters (bijvoorbeeld met malware) detecteren zijn onontbeerlijk (70%). 60 procent van de ondervraagden zegt dat printers evenveel kans lopen als desktop- of laptopcomputers om met malware te worden besmet (50%) of meer kans lopen dan desktop- of laptopcomputers (10%), zoals afb. 8 illustreert. Afb. 8. Hoe vaak vindt malwarebesmetting van endpoints plaats? 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%

10%

50%

22% 19%

Printersare worden dan desktop-pc's of laptops Printers morevaker likelybesmet to be infected than desktop or laptop computers Printersare worden even vaaktobesmet als desktop pc's of laptops Printers equally likely be infected than desktop or laptop computers Printersare worden minder besmet dan of laptops Printers less likely tovaak be infected thandesktop-pc's desktop or laptop computers Niet zeker te zeggen Unable to determine


Pagina 8

Andere belangrijke succesfactoren zijn bewaking van apparaten en gebruikers (64%), technologie die gevoelige of vertrouwelijke documenten in printers versleutelt (55%), technologie die de toegang tot documenten in printeropslag beperkt (52%) en strikte handhaving van compliance (50%). Afb. 9. Kritische succesfactoren bij de implementatie van printercontrole Meerdere antwoorden mogelijk

Technologies that help pinpoint die highrisicoprinters risk printers Technologie (such as those malware) (b.v. door de aanwezigheid van containing malware) detecteert

70%

Monitoring of devices and users Bewaking van apparaten en gebruikers

64%

Technologies that encrypt sensitive or Technologie die gevoelige of vertrouwelijke confidentialdocumenten documentsincontained in printers printers versleutelt

55%

Technologies thatdie restrict access documents Technologie de toegang tottodocumenten contained in inprinteropslag printer massbeperkt storage

52%

Employee awareness and training on printer Bewustmaking van gebruikers en training in veilig gebruik van handling printers

50%

Strict enforcement of non-compliance Strikte handhaving van compliance

50%

Access rights assigned using role or functionToekennen van toegangsrechten op based basis van rol ofmethods functie

49%

Ample budget Ruim budget

45%

Clear, concise and consistent security Duidelijke, beknopte printer en consistente policies. printerbeveiligingspolicy's

34%

support OndersteuningExecutive-level op managementniveau

30%

Anders Other

2%

0%


10% 20% 30% 40% 50% 60% 70% 80%

Pagina 9

Volgens 88 procent van de ondervraagden is het vermogen om problemen op een willekeurig apparaat in het printerpark te detecteren de belangrijkste factor in de beveiliging van netwerkprinters. Zeven kenmerken van technologie voor printerbeveiliging werden door de meeste ondervraagden als zeer belangrijk beschouwd. In afb. 10 is te zien dat de mogelijkheid om problemen te detecteren wordt gevolgd door de mogelijkheid om beveiligingsprotocollen voor het hele printerpark vanaf een centrale console te beheren (84%), de mogelijkheid om policy's voor het hele printerpark in te stellen en te controleren (73%), de mogelijkheid om printers te configureren volgens specifieke beveiligingspolicy's van het bedrijf (71%), de mogelijkheid om versleutelde communicatie tussen printers te activeren (68%), de mogelijkheid om printers die worden toegevoegd aan of verwijderd uit het netwerk te detecteren (65%) en de mogelijkheid om digitale certificaten in het hele printerpark te installeren en te beheren (59%). Afb. 10. De belangrijkste technologiekenmerken voor het beheren en beveiligen van printers 1 = niet belangrijk tot 10 = heel belangrijk, 7+ antwoord gerapporteerd Ability to spot in any given Mogelijkheid om(pinpoint) problemenanomalies op een willekeurig appa device within the fleet of printers raat in het printerpark te detecteren

88%

to manage securityvoor protocols the entire MogelijkheidAbility om beveiligingsprotocollen het helefor printerpark fleet of printers from one centralized console vanaf een centrale console te beheren

84%

Ability toom setpolicy's and monitor for the entire Mogelijkheid voor hetpolicies hele printerpark in te of printers stellen enfleet te controleren

73%

Abilityom toprinters configure printers to volgens be compliant with Mogelijkheid te configureren specifieke specific corporate security polices beveiligingspolicy's van het bedrijf

71%

Ability to enable Mogelijkheid omencrypted versleuteldecommunication communicatie among devices across the fleetteof printers tussen printers activeren

68%

Ability to om determine printers that are added Mogelijkheid printers die worden toegevoegd aantoofor removed fromtethe network verwijderd uit het netwerk detecteren

65%

Ability digitale to install and manage certificate Mogelijkheid certificaten in hetdigital hele printerpark across the fleet printers te installeren en teofbeheren

59% 0%


20%

40%

60%

80%

100%

Pagina 10

Deel 3: Conclusie Printers zijn overal in de werkomgeving aanwezig. Uit dit onderzoek blijkt echter dat veel bedrijven de beveiligingsrisico's van printers en andere randapparaten niet onderkennen. Een ander onderzoek van Ponemon Institute liet al zien dat 53 procent van de IT-managers zich realiseert dat printers kwetsbaar zijn voor cybercrime.1 Volgens het 2015 Global Report on the Cost of Cyber Crime kost het afhandelen van een cyberaanval gemiddeld $7,7 miljoen per jaar. 2 De volgende adviezen kunnen helpen om de risico's te beperken: 

Het beveiligingsbeleid moeten maatregelen omvatten om het verlies van vertrouwelijke en gevoelige gegevens te voorkomen.



Bedrijven moeten trainings- en bewustwordingsprogramma's opzetten over de juiste omgang met gevoelige en vertrouwelijke informatie bij het werken met op het netwerk aangesloten printers en randapparaten.



Zij moeten een evaluatie uitvoeren om te bepalen welke afdelingen en functies het grootste risico vormen vanwege het soort informatie dat zij genereren en/of printen. Op die plekken moeten strengere beveiligingsmaatregelen en toegangscontrole voor printers worden toegepast.



De fysieke toegang tot printers kan worden gecontroleerd, maar pull-printing is een betere, veiligere manier om gevoelige documenten te beschermen.

1

Ibid Ponemon Institute "2015 Global Report on the Cost of Cyber Crime", gesponsord door Hewlett Packard Enterprise, september 2015 2


Pagina 11

Deel 4: Methoden Wij hebben een willekeurige selectie van 60.119 IT-beveiligingsdeskundigen in Noord-Amerika, EMEA, Pacific-Azië en Latijns-Amerika gekozen als deelnemers aan dit onderzoek. Zoals blijkt uit tabel 1, stuurden 2281 ondervraagden de ingevulde enquête terug. Na screening van de inzendingen werden er 240 verwijderd. De uiteindelijke steekproef omvat 2041 enquêtes (of een responspercentage van 3,4%). Tabel 1. Steekproefrespons Totale omvang van de steekproef Totaal aantal geretourneerde vragenlijsten Afgekeurde of niet opgenomen inzendingen Uiteindelijke steekproef

Freq. 60.119 2281 240 2041

% 100,0 % 3,8 % 0,4 % 3,4 %

Cirkeldiagram 1 toont de huidige functie van de ondervraagden. Meer dan de helft (58%) heeft een controlerende of hogere functie. Cirkeldiagram 1. Huidige functie van de ondervraagde 7%

2% 3% 16% Executive/VP Executive/VP Director Directeur Manager Manager Supervisor Supervisor

34% 21%

Technicus Technician Personeel Staff Onderaannemer Contractor

18%

Cirkeldiagram 2 toont de sector waarin de ondervraagde werkzaam is. 19% van de ondervraagden is werkzaam in financiële dienstverlening en 11% in de gezondheidszorg of de farmaceutische industrie. Nog eens 10 procent is werkzaam in industrie en productie of in de publieke sector. Cirkeldiagram 2. Verdeling van respondenten volgens primaire sector 2% 2% 3% 3%

3% 16%

5% 5% 12% 5%

7% 10% 9% 9%

9%


Financiëleservices dienstverlening Financial Publieke dienstverlening Public services Gezondheidszorg, farmaceutische industrie Health & pharmaceutical Services Services Industrieel Industrial Retail Retail Technologie&ensoftware software Technology Consumentenproducten Consumer products Vrijetijdssector Hospitality Energienutsbedrijven Energy & en utilities Onderwijs en onderzoek Education & research Transport Transportation Amusement en&media Entertainment media Communicatie Communications Anders Other

Pagina 12

51 procent van de ondervraagden is afkomstig uit organisaties die wereldwijd meer dan 1000 werknemers hebben, zoals cirkeldiagram 3 toont. Cirkeldiagram 3. Wereldwijd personeelsbestand 5%

11%

8% 100 < <100 14%

12%

100totot 500 100 500 501totot 1000 501 1,000 1001to tot5,000 5000 1,001 5001to tot25,000 25.000 5,001 25.001totot 75.000 25,001 75,000 75.000 > >75,000

26%

24%

Deel 5: Voorbehoud Onderzoek via vragenlijsten heeft inherente beperkingen die in aanmerking moeten worden genomen wanneer conclusies worden getrokken uit de bevindingen. De volgende specifieke beperkingen zijn van toepassing op de meeste webgebaseerde enquêtes. Vertekening door personen die niet reageerden: De huidige bevindingen zijn gebaseerd op de ingevulde en geretourneerde enquêtes. Wij hebben vragenlijsten verzonden naar een representatieve steekproef van individuele personen, wat heeft geleid tot een groot aantal nietbruikbare antwoorden. Ondanks voorafgaande tests is het altijd mogelijk dat de inzichten en meningen van de personen die niet reageerden aanzienlijk verschillen van die van de personen die dat wel deden. Vertekening door de omvang van de steekproef: De nauwkeurigheid is gebaseerd op contactinformatie en de mate waarin de lijst representatief is voor personen die in IT-beveiliging werkzaam zijn. Wij beseffen dat het resultaat beïnvloed kan zijn door externe zaken zoals mediaaandacht. Wij beseffen ook dat de resultaten vertekend kunnen zijn doordat de ondervraagden die de enquête binnen de vastgestelde periode terugstuurden, werden beloond. Zelf gerapporteerde resultaten: De kwaliteit van elke enquête is afhankelijk van de integriteit van vertrouwelijke antwoorden die de ondervraagden geven. Ook als bepaalde controles in de onderzoekprocedure worden ingebouwd, is het altijd mogelijk dat een ondervraagde geen eerlijk antwoord geeft.


Pagina 13

Bijlage: Gedetailleerde onderzoekscijfers De volgende tabellen bevatten de frequentie of percentagefrequentie van alle antwoorden op alle vragen van het hierin beschreven onderzoek. Alle antwoorden op het onderzoek zijn in september 2015 gegeven. Respons op het onderzoek Omvang van de steekproef Totaal aantal geretourneerde vragenlijsten Afgekeurde of niet opgenomen inzendingen Uiteindelijke steekproef Responspercentage Gewicht van de steekproef

Globaal 60.119 2281 240 2041 3,4 % 100,0%

Controlevragen (screening van respondenten) C1. Hoe goed bent u bekend met de aanpak van databeveiliging in uw organisatie? Heel bekend Bekend Enigszins bekend Geen kennis (Stop) Totaal

Globaal 39 % 42 % 19 % 0% 100 %

C2a. Bent u verantwoordelijk voor de beveiliging van gevoelige of vertrouwelijke informatie? Ja, volledig verantwoordelijk Ja, enigszins verantwoordelijk Ja, minimaal verantwoordelijk Niet verantwoordelijk (Stop) Totaal

Globaal 25 % 61 % 14 % 0% 100 %

C2b. Zo ja, wat voor type informatie beschermt u? Vooral op papier (prints) Vooral digitaal Combinatie Totaal

Globaal 13 % 65 % 22 % 100 %

Deel 1: Meningen. Antwoord: zeer mee eens en mee eens. Vr.1. In mijn bedrijf worden desktop-pc's of laptops als een groter risico beschouwd dan printers. Vr.2. De meeste werknemers in mijn bedrijf beschouwen printers en documenten niet als risicofactor voor de veiligheid van data. Vr.3. Mijn bedrijf: kan verlies van data in printeropslag en/of geprinte documenten niet voorkomen. Vr.4. Informatie op de printerschijf wordt volledig gewist bij afstoting of revisie van de printapparatuur.

Globaal

Deel 2: Achtergrond Vr.5. Geldt het beveiligingsbeleid in uw organisatie expliciet voor de beveiliging van op het netwerk aangesloten printers? Ja Nee Weet niet Totaal


64 % 56 % 62 % 38 %

Globaal 44 % 47 % 8% 100 %

Pagina 14

Vr.6a. Heeft in uw bedrijf een datainbreuk plaatsgevonden waarbij een op het netwerk aangesloten printer betrokken was? Ja – zeker vastgesteld Ja – zeer waarschijnlijk Ja – waarschijnlijk Nee Niet zeker te zeggen Totaal

Globaal 10 % 24 % 26 % 24 % 17 % 100 %

Vr.6b. Heeft in uw bedrijf een datainbreuk plaatsgevonden waarbij een desktop-pc of laptop betrokken was? Ja – zeker vastgesteld Ja – zeer waarschijnlijk Ja – waarschijnlijk Nee Niet zeker te zeggen Totaal

Globaal 35 % 23 % 9% 23 % 10 % 100 %

Vr.7a. Verwacht u in de komende 12 maanden een toename van het risico van datainbreuken via slecht beveiligde netwerkprinters? Ja Nee Niet zeker te zeggen Totaal

Globaal 57 % 34 % 8% 100 %

Vr.7b. Verwacht u in de komende 12 maanden een toename van het risico van datainbreuken via slecht beveiligde desktop- or laptopcomputers? Ja Nee Niet zeker te zeggen Totaal

Globaal 51 % 42 % 8% 100 %

Vr.7c. Als u Ja hebt geantwoord [Vr.7a en/of Vr.7b], waarom stijgt het risico dan? Selecteer de drie antwoorden die het meest van toepassing zijn. Meer op het netwerk aangesloten apparaten Toenemend gebruik van mobiele technologie Stijging van het aantal mobiele werknemers Grotere datastoragecapaciteit Meer malwarebesmettingen Malware wordt geavanceerder Nieuwe regelgeving voor databescherming Steeds meer gebruikers krijgen toegang Anders (specificeer) Totaal

Globaal 53 % 65 % 60 % 13 % 61 % 17 % 9% 20 % 2% 300 %


Pagina 15

Vr.8. Welk percentage van de netwerkprinters in uw bedrijf is onveilig doordat ongeautoriseerde toegang mogelijk is tot data die op de printer zijn opgeslagen? Geen Minder dan 5% 5 tot 10 % 11 tot 25 % 26 tot 50 % 51 tot 75 % 76 tot 99 % Alle Totaal Geëxtrapoleerde waarde Vr.9. Welk percentage van de netwerkprinters in uw bedrijf is onveilig doordat de geprinte documenten voor onbevoegden toegankelijk zijn?

Globaal 6% 7% 8% 13 % 23 % 25 % 13 % 6% 100 % 44 %

Geen Minder dan 5% 5 tot 10 % 11 tot 25 % 26 tot 50 % 51 tot 75 % 76 tot 99 % Alle Totaal Geëxtrapoleerde waarde

Globaal 3% 3% 9% 11 % 15 % 24 % 26 % 10 % 100 % 55 %

Vr.10. Welke waarde benadert de frequentie van malwarebesmettingen op endpoints in uw organisatie het best? Printers worden minder vaak met malware besmet dan desktop-pc's of laptops Printers worden even vaak met malware besmet als desktop-pc's of laptops Printers worden vaker met malware besmet dan desktop-pc's of laptops Niet zeker te zeggen Totaal

Globaal 22 % 50 % 10 % 19 % 100 %

Vr.11. Welke afdelingen of functies in uw onderneming vormen volgens u het grootste risico gezien het type data dat zij genereren en/of printen? Selecteer drie antwoorden. Verkoopafdeling Human resources Executive management Finance en accounting Communicatie en public relations Legal en compliance Logistiek/distributie Marketing Inkoop Informatietechnologie Onderzoek en ontwikkeling Productie Totaal


Globaal 63 % 57 % 65 % 31 % 11 % 4% 5% 26 % 8% 23 % 2% 6% 300 %

Pagina 16

Vr.12. Welke afdelingen of functies in uw onderneming vormen volgens u het grootste risico in termen van slechte beveiliging van printproces en printers en onvoldoende toegangscontrole? Selecteer drie antwoorden. Verkoopafdeling Human resources Executive management Finance en accounting Communicatie en public relations Legal en compliance Logistiek/distributie Marketing Inkoop Informatietechnologie Onderzoek en ontwikkeling Productie Totaal

Globaal 93 % 76 % 14 % 6% 14 % 3% 6% 38 % 32 % 3% 1% 15 % 300 %

Vr.13. Heeft uw bedrijf een procedure voor het identificeren van risicoprinters (die waarop gevoelige op vertrouwelijke documenten worden geprint)? Ja Nee Totaal

Globaal 30 % 70 % 100 %

Vr.14. Heeft uw bedrijf een procedure voor het beperken van de toegang tot risicoprinters en de documenten daarop? Ja Nee Totaal

Globaal 34 % 66 % 100 %

Vr.15. Welke maatregelen neemt uw organisaties om printers en de documenten daarop te beveiligen? Werknemers trainen Beveiligingsbeleid instellen Documenten op alle afdelingen versnipperen Antivirus/antimalwareoplossing installeren Protocollen voor toegangscontrole tot netwerkprinters implementeren Documenten van alle afdelingen verzamelen voor centrale vernietiging Papieren documenten door een extern bedrijf veilig laten afvoeren Digitale certificaten installeren en encryptie instellen op alle netwerkprinters Printen naar specifieke apparaten automatisch beperken Printen van specifieke bestanden automatisch beperken Anders (specificeer) Totaal

Globaal 46 % 49 % 39 % 18 % 13 % 28 % 20 % 25 % 10 % 7% 1% 255 %


Pagina 17

Vr.16-1. Hoe goed handhaaft uw bedrijf het gebruik en de beveiliging van printers? Beoordeel elke taak aan de hand van de volgende schaal: 1 = uitstekend, 2 = goed, 3 = redelijk, 4 = slecht, 5 = geen handhaving. Antwoorden Uitstekend en Goed zijn gecombineerd. Instellen van toegangsrechten voor printers op basis van de gevoeligheid van geprinte documenten Printereigendom en verantwoordelijkheid bepalen op basis van functie en rol Instellen van printerbeveiligingspolicy's die consistent in de hele onderneming worden toegepast Versleutelen van data die zijn opgeslagen in printergeheugens en/of op printerschijven Versleutelen van data die worden verstuurd naar de printers in het bedrijf Bijhouden van logboeken over de toegang tot data die zijn opgeslagen in printergeheugens en/of op printerschijven Gebruikers voorlichten over veilig gebruik van printers en andere randapparaten Controle instellen op het gebruik en de fysieke locatie van printers Integreren van printertoegang en -gebruik met netwerkintelligentie en/of SIEM-oplossing Totaal Vr.16-2. Hoe goed handhaaft uw bedrijf het gebruik en de beveiliging van printers? Beoordeel elke taak aan de hand van de volgende schaal: 1 = uitstekend, 2 = goed, 3 = redelijk, 4 = slecht, 5 = geen handhaving. Antwoord: "Geen handhaving". Instellen van toegangsrechten voor printers op basis van de gevoeligheid van geprinte documenten Printereigendom en verantwoordelijkheid bepalen op basis van functie en rol Instellen van printerbeveiligingspolicy's die consistent in de hele onderneming worden toegepast Versleutelen van data die zijn opgeslagen in printergeheugens en/of op printerschijven Versleutelen van data die worden verstuurd naar de printers in het bedrijf Bijhouden van logboeken over de toegang tot data die zijn opgeslagen in printergeheugens en/of op printerschijven Gebruikers voorlichten over veilig gebruik van printers en andere randapparaten Controle instellen op het gebruik en de fysieke locatie van printers Integreren van printertoegang en -gebruik met netwerkintelligentie en/of SIEM-oplossing Totaal Vr.17. Wat zijn de kritische succesfactoren voor implementatie van printercontrole op het netwerk van uw onderneming? Selecteer de vijf antwoorden die het meest van toepassing zijn. Ondersteuning op managementniveau Ruim budget Technologie die gevoelige of vertrouwelijke documenten in printers versleutelt Technologie die de toegang tot documenten in printeropslag beperkt Technologie die risicoprinters (b.v. door de aanwezigheid van malware) detecteert Duidelijke, beknopte en consistente printerbeveiligingspolicy's Bewustmaking van gebruikers en training in veilig gebruik van printers Toekennen van toegangsrechten op basis van rol of functie Strikte handhaving van compliance Bewaking van apparaten en gebruikers Anders (specificeer) Totaal


Globaal 29 % 28 % 18 % 22 % 21 % 27 % 42 % 32 % 12 % 232 %

Globaal 56 % 54 % 66 % 63 % 62 % 55 % 40 % 52 % 77 % 525 %

Globaal 30 % 45 % 55 % 52 % 70 % 34 % 50 % 49 % 50 % 64 % 2% 500 %

Pagina 18

Vr.18. Hierna volgen zeven specifieke kenmerken van technologieën waarmee bedrijven hun printers en geprinte documenten kunnen beheren en beveiligen. Geef het belang van elk kenmerk aan op de schaal van 10 die eronder staat. 1 = niet belangrijk tot 10 = zeer belangrijk. Vr.18a. Mogelijkheid om policy's voor het hele printerpark in te stellen en te controleren 1 of 2 3 of 4 5 of 6 7 of 8 9 of 10 Totaal Geëxtrapoleerde waarde

Globaal 1% 4% 21 % 42 % 31 % 100 % 7,46

Vr.18b. Mogelijkheid om printers die worden toegevoegd aan of verwijderd uit het netwerk te detecteren 1 of 2 3 of 4 5 of 6 7 of 8 9 of 10 Totaal Geëxtrapoleerde waarde

Globaal 1% 4% 30 % 39 % 26 % 100 % 7,22

Vr.18c. Mogelijkheid om printers te configureren volgens specifieke beveiligingspolicy's van het bedrijf 1 of 2 3 of 4 5 of 6 7 of 8 9 of 10 Totaal Geëxtrapoleerde waarde

Globaal 0% 2% 27 % 41 % 30 % 100 % 7,47

Vr.18d. Mogelijkheid digitale certificaten in het hele printerpark te installeren en te beheren 1 of 2 3 of 4 5 of 6 7 of 8 9 of 10 Totaal Geëxtrapoleerde waarde

Globaal 3% 7% 32 % 36 % 23 % 100 % 6,88

Vr.18e. Mogelijkheid om versleutelde communicatie tussen printers te activeren 1 of 2 3 of 4 5 of 6 7 of 8 9 of 10 Totaal Geëxtrapoleerde waarde


Globaal 1% 4% 27 % 39 % 29 % 100 % 7,33

Pagina 19

Vr.18f. Mogelijkheid om beveiligingsprotocollen voor het hele printerpark vanaf een centrale console te beheren 1 of 2 3 of 4 5 of 6 7 of 8 9 of 10 Totaal Geëxtrapoleerde waarde

Globaal 0% 1% 16 % 37 % 47 % 100 % 8,10

Vr.18g. Mogelijkheid om problemen op een willekeurig apparaat in het printerpark te detecteren 1 of 2 3 of 4 5 of 6 7 of 8 9 of 10 Totaal Geëxtrapoleerde waarde

Globaal 0% 0% 11 % 39 % 49 % 100 % 8,23

Deel 3: uw rol en uw bedrijf D1. Wat is de beste beschrijving van het niveau van uw huidige positie? Executive/VP Directeur Manager Supervisor Technicus Medewerker Onderaannemer Anders Totaal

Globaal 3% 16 % 21 % 18 % 34 % 7% 2% 0% 100 %

D2. Tot welke sector behoort uw bedrijf of organisatie? Landbouw en levensmiddelen Communicatie Consumentenproducten Defensie en luchtvaart Onderwijs en onderzoek Energie- en nutsbedrijven Amusement en media Financiële dienstverlening Gezondheidszorg, farmaceutische industrie Vrijetijdssector Industrieel Publieke dienstverlening Retail Services Technologie en software Transport Anders Totaal

Globaal 1% 2% 5% 1% 3% 5% 2% 16 % 10 % 5% 9% 12 % 9% 9% 7% 3% 1% 100 %


Pagina 20

D3. Hoeveel werknemers telt uw onderneming wereldwijd? < 100 100 tot 500 501 tot 1000 1001 tot 5000 5001 tot 25.000 25.001 tot 75.000 > 75.000 Totaal Geëxtrapoleerde waarde

Globaal 11 % 14 % 24 % 26 % 12 % 8% 5% 100 % 10.933

Ponemon Institute

Bevorderen van verantwoord informatiebeheer Ponemon Institute houdt zich bezig met onafhankelijk onderzoek en scholing ter bevordering van verantwoorde informatie- en privacypraktijken in bedrijven en bij de overheid. Het is onze missie om hoogwaardig empirisch onderzoek te verrichten naar kritische problemen rond het beheer en de beveiliging van gevoelige informatie over mensen en bedrijven. Als lid van de Council of American Survey Research Organizations (CASRO) hanteren wij strenge standaarden voor de vertrouwelijkheid van data, privacy en ethisch onderzoek. Wij verzamelen geen gegevens die tot personen te herleiden zijn (of informatie waardoor bedrijven identificeerbaar zijn in onze bedrijfsonderzoeken). Bovendien hanteren wij strikte kwaliteitstandaarden om te waarborgen dat de ondervraagden geen vreemde, niet ter zake doende of ongepaste vragen voorgelegd krijgen.


Pagina 21

op het netwerk aangesloten printers

Recommend Documents