Toch blijft printsecurity in veel organisaties een blinde vlek. “Printers lijken nog steeds op de randapparatuur van vroeger, terwijl ze allang verbonden en slim zijn. Daarom besteden wij erg veel aandacht aan het beveiligen van printers”, zegt Pelle Aardewerk, Cyber Security Consultancy Lead EMEA bij HP.

Die kwetsbaarheid wordt vergroot door de manier waarop organisaties hun printomgeving structureren. Waar laptops regelmatig worden geüpdatet en beveiligingsprocessen onderdeel zijn van het beheer, worden printers vaak slechts functioneel beheerd. Het resultaat is een apparaat dat belangrijke documenten verwerkt, waardevolle bestanden opslaat en verbinding maakt met het bedrijfsnetwerk – maar waar firmware-updates, toegangscontrole of integriteitschecks lang niet altijd zijn geborgd. Uit onderzoek van HP blijkt dat slechts 36% van de printerfirmware op tijd wordt geüpdate, terwijl IT-teams gemiddeld 3,5 uur per printer per maand kwijt zijn aan beveiligingsissues.

Een endpoint die wordt onderschat

Aardewerk ziet in de praktijk terug dat printers steeds meer op een pc lijken: ze hebben een OS, een werkgeheugen en netwerktoegang. “Maar ze worden niet als zodanig behandeld”, legt hij uit. “Inkoop kijkt vooral naar functionaliteit en kosten, IT richt zich op beschikbaarheid. Securityteams worden pas laat betrokken – of helemaal niet.” Uit onderzoek blijkt dat in ruim 60% van de organisaties security en inkoop niet samen beveiligingseisen definiëren voor printers. Daardoor ontbreken basiscontroles zoals secure-by-design configuraties, verificatie van firmware en hardware, supplychain-checks of toetsing van beveiligingsclaims.

Het gevolg is dat veel organisaties bij levering van een nieuwe printer bijvoorbeeld niet kunnen vaststellen of een apparaat tijdens transport is gemanipuleerd voor spionage- en sabotagedoeleinden. Dat supplychain-risico wordt groter nu regelgeving zoals NIS2, CRA en DORA de nadruk legt op integriteit van hardware en componenten in de supplychain en de levenscyclus van technologieën. HP introduceerde daarom een methode waarbij printers bij het verlaten van de fabriek cryptografisch worden gesigneerd. Bij ontvangst kan een organisatie controleren of er onderweg iets is gewijzigd. “Dat is een ontwikkeling die snel belangrijker wordt om technologieën te vertrouwen”, zegt Aardewerk. “Je wilt zeker weten dat wat binnenkomt ook echt is wat de fabriek heeft verlaten.”

De drie lagen van printbeveiliging

Volgens Aardewerk begint printsecurity bij het beschermen van drie elementen: het device, de data en het document. Dat begint bij toegangsbeveiliging. Afdrukken die onbeheerd op printers blijven liggen, vormen nog altijd een van de meest voorkomende risico’s. Secure printing – waarbij een document pas vrijkomt nadat een gebruiker zich bij de printer fysiek en logisch identificeert – beperkt dat risico, maar zorgt voor een nieuw aandachtspunt: het document blijft tot dat moment in het geheugen van de printer staan.

Daarom moet ook dat geheugen versleuteld zijn. En moet de data-in-transit end-to-end worden beveiligd. “Een printopdracht die niet is versleuteld, kan onderweg, zeker bij remote printing, worden onderschept”, zegt Aardewerk. “Het risico lijkt misschien klein, maar het gaat vaak om vertrouwelijke documenten.” Ook aan de outputkant zijn maatregelen nodig: printers mogen niet langer vrij documenten naar externe adressen of systemen kunnen versturen. Moderne HP-printers blokkeren deze functionaliteit standaard, tenzij een beheerder dit expliciet mogelijk maakt.

Veiligheid begint onder de motorkap

Bij printers speelt firmware een cruciale rol. Omdat veel organisaties updates overslaan of zich niet bewust zijn van de beschikbaarheid van updates, zijn firmware-aanvallen nog weleens succesvol en bovendien relatief eenvoudig uit te voeren. HP bouwt daarom al twaalf jaar een eigen securitychip in in al zijn pc’s én printers. Die chip voert bij elke start een integriteitscontrole uit: als er afwijkingen in de firmware worden gevonden, herstelt het apparaat zichzelf automatisch met een schone firmwarekopie. Deze self-healing-functionaliteit voorkomt preventief dat een malware-aanval zich kan nestelen in een apparaat en daar onopgemerkt actief blijft.

Daarnaast wordt toegang tot de firmware alleen toegestaan via multifactor-authenticatie. Geen generiek fabriekswachtwoord meer, maar een dynamische toegangscode op basis van cryptografische verificatie. “Dat is pure Zero Trust”, zegt Aardewerk. “Zelfs wie fysiek bij de printer staat, krijgt alleen toegang als het systeem het toestaat.”

Nieuwe dreigingen vragen om isolatie

Met de opkomst van generatieve AI neemt ook de snelheid waarmee cybercriminelen nieuwe malware produceren drastisch toe. Firmware-aanvallen en ultrarealistische zero-day phishingbestanden komen steeds vaker voor, blijkt uit recente delen van het HP Wolf Security Threat Insights Report. Daarbij wordt schadelijke code verstopt in afbeeldingsbestanden. In andere gevallen worden legitieme Windows-tools misbruikt om detectie te omzeilen. “We zien dagelijks hoe creatief aanvallers, mede met behulp van AI, worden”, zegt Aardewerk. “Daarom is isolatietechnologie nodig naast detectie: elke klik, ieder bestand of elke USB-stick wordt in een HP-device in een micro-virtuele machine geopend, volledig gescheiden van het systeem.” Zo kan malware wel uitvoeren (uitsluitend in de volledig afgescheiden micro-virtuele machine), maar geen schade aanrichten en kan de securityafdeling tevens inzichten verzamelen.

Lifecycle-security als nieuwe basisnorm

In de visie van HP moet printsecurity structureel worden ingebed in het volledige printerleven: van selectie en onboarding tot beheer, preventie en detectie, herstel en uiteindelijk veilige decommissioning. De onderzoeksdata van HP Wolf Security bevestigen dat organisaties daar grote stappen moeten zetten. Zo zegt 86% van de IT-beslissers zich zorgen te maken over dataveiligheid bij het afstoten van printers en twijfelt ruim een derde of apparaten veilig gewist kunnen worden. De HP Secure Erase-functionaliteit zorgt dat alle lagen in een printer worden gewist zodat de printer een veilig tweede leven kan krijgen.

Met het nieuwe HP Workforce Experience Platform worden printers voor het eerst integraal zichtbaar binnen dezelfde beheeromgeving als laptops, communicatiesystemen in vergaderruimtes en andere werkplekapparaten. IT-afdelingen kunnen zo zien welke printers kwetsbaarheden hebben, welke updates ontbreken, welke componenten binnenkort aan vervanging toe zijn en welke apparaten afwijkend gedrag vertonen. Dat maakt het eenvoudiger om te voldoen aan toekomstige rapportageplichten en om incidenten sneller te begrijpen en preventief te voorkomen. Hiermee wordt de productiviteit van de business verder verbeterd en behoeft de IT-afdeling minder tijd te besteden aan troubleshooting.

Printsecurity hoort bij volwassen endpointbeveiliging

Voor Aardewerk is de boodschap helder: organisaties die hun printomgeving niet meenemen in hun endpointstrategie lopen onnodig risico. “Aanvallen beginnen steeds vaker op de eenvoudigste plek”, zegt hij. “En printers zijn dat nog te vaak.”

Security, zo zegt hij, moet geen sluitpost zijn, maar een randvoorwaarde binnen moderne werkstrategieën. “Hybride werken kan alleen veilig zijn als alle endpoints – ook printers – dezelfde aandacht krijgen.”