DORA og printere: 7 råd til en risikovurdering, der holder i revision

Skrevet af Jørgen Nielsen Sikkerhedsrådgiver hos Canon Danmark
Tilbage til alle artikler

Der er en situation, mange IT-chefer kender. DORA-projektet kører. Risikoregisteret vokser. I har styr på netværk, cloud, identiteter og kritiske leverandører.

Så kommer spørgsmålet:
Hvad gør vi egentlig ved printerne?

Det lyder næsten for simpelt. Men print, scan og dokumentflows er ikke periferi. Det er data i bevægelse. Og data i bevægelse er præcis det, revision og tilsyn forventer, at I kan dokumentere kontrol over.

Printere og multifunktionsenheder er endpoints. De er på netværket. De håndterer fortrolige dokumenter. De scanner til mail, SharePoint, arkivsystemer og cloud-tjenester. Og de indgår ofte i forretningskritiske processer.

Derfor bør de også indgå i jeres DORA-risikovurdering.

Her er 7 konkrete råd til, hvordan I laver en risikovurdering og gap-analyse af print, scan og dokumentflows, der kan dokumenteres i en DORA-kontekst – uden at gøre det til endnu et evighedsprojekt.

De 7 råd kort fortalt

  • Start med at tegne dataflowet – ikke bare at tælle enheder
  • Kobl print og scan til kritiske tjenester
  • Lav gap-analysen op mod DORA og kendte kontrolkataloger
  • Gør printersikkerhed til en hurtig, dokumenterbar compliance-gevinst
  • Vælg kontroller, der kan bevises
  • Behandl printleverandøren som en ICT-tredjepart
  • Lav en gap-liste med ejerskab, modenhedsmål og roadmap

1. Tegn dataflowet, så compliance kan se det

DORA handler ikke kun om systemer. Det handler om ICT-risici på tværs af forretningen. Start derfor med en oversigt, der både dækker assets og dataflow:

  • printere og multifunktionsenheder
  • printservere og pull print/follow me-løsninger
  • scanning til e-mail, SharePoint, ECM eller cloud
  • brugeradgange og rettigheder
  • integrationer til forretningskritiske processer
  • support- og driftsadgang fra leverandører
Det er typisk også her, I finder den klassiske udfordring: Printere har ingen tydelig ejer. De står på netværket. De håndterer følsomme dokumenter. De har adgang til mail, mapper eller cloud-tjenester. Men i risikoregisteret er de ofte behandlet som kontorudstyr.

2. Vurder risiko ud fra forretning og drift – ikke “printer-sandsynlighed”

En kompromitteret multifunktionsprinter behøver ikke være genvejen til jeres kerne-systemer for at være et problem.

DORA handler også om tilgængelighed, robusthed og genopretning. Hvis kundekommunikation, kontrakter, afregningsdokumenter, forsikringspapirer eller interne godkendelser ikke kan printes, scannes eller arkiveres, rammer det driften direkte.

Så er det ikke længere en “printer-sag”. Det er en forretningsrisiko.

Spørg derfor:
Hvilke processer stopper, hvis print eller scan ikke virker?
Hvilke data passerer gennem enhederne?
Hvilke brugere og afdelinger er afhængige af dem?
Hvad er konsekvensen ved tab af fortrolighed, integritet eller tilgængelighed?

Det gør risikovurderingen mere relevant – og langt nemmere at forsvare over for revisionen.

3. Lav gap-analysen op mod DORA og kendte kontrolkataloger

Brug DORA som ramme, men læn jer op ad kendte kontrolkataloger som ISO 27001/27002 eller NIST CSF.

Det gør det lettere at dokumentere, hvorfor I har valgt jeres kontroller, og hvordan de reducerer risiko.

Typiske gaps i print- og scanmiljøer er:

  • manglende central logning
  • svag eller delt administratoradgang
  • fabriksindstillinger, der aldrig er ændret
  • ureguleret scanning til eksterne domæner
  • manglende kryptering eller brug af svage protokoller
  • uklar proces for firmware og patching
  • manglende dokumentation ved udskiftning eller bortskaffelse af enheder
Pointen er ikke at gøre printermiljøet komplekst. Pointen er at få det ind i den samme risikodisciplin som resten af IT.

imageRUNNER ADVANCE DX

4. Gør printersikkerhed til en hurtig, dokumenterbar compliance-gevinst

Printere er et overset endpoint. Ikke fordi de er svære at sikre. Men fordi de sjældent føles vigtigst.
Netop derfor er de oplagte at løfte hurtigt.

Med en struktureret tilgang kan I typisk komme langt med relativt konkrete tiltag: adgangskontrol, hardening, firmwarestyring, deaktivering af ubrugte porte/funktioner, sikre scan-regler, kryptering og dokumenteret datasletning.

Det skaber værdi på to niveauer.
For det første reducerer I en reel risiko.
For det andet får I dokumentation, der kan bruges i revision, audit og ledelsesrapportering.

Det er den type sikkerhedsarbejde, IT-chefer gerne vil have mere af: konkret, afgrænset og målbart.

5. Vælg kontroller, der kan bevises

DORA handler ikke kun om at have styr på sikkerheden. I skal også kunne demonstrere den.

Derfor bør I vælge kontroller, hvor der kan skabes dokumentation:

  • baseline-konfigurationer
  • hardening-profiler
  • logning og overvågning
  • adgangsstyring og brugerautentifikation
  • firmware- og patchhistorik
  • sikker sletning af data
  • rapportering på enhedsstatus og afvigelser
  • dokumenteret gendannelsesproces
  • kryptering af data
Løsninger som secure print og pull print kan reducere risikoen for, at dokumenter ender i forkerte hænder. Device hardening kan sikre, at unødvendige porte, protokoller og services lukkes. Og en fast proces for datasletning kan dokumentere, at følsomme data fjernes korrekt ved udskiftning eller kontraktophør.

Det vigtige er ikke kun, at kontrollen findes. Det vigtige er, at I kan vise den.

6. Behandl printleverandøren som en ICT-tredjepart

Under DORA er tredjepartsstyring ikke kun relevant for cloud, datacentre og softwareleverandører.

Hvis en printleverandør har adgang til jeres printermiljø, konfigurationer, firmware, supportprocesser, fjernadministration eller driftsdata, bør leverandøren også indgå i jeres ICT-risikostyring.

Det betyder ikke nødvendigvis, at printleverandøren er kritisk i alle tilfælde.

Men I bør kunne dokumentere:

  • hvilke services leverandøren leverer
  • hvilken adgang leverandøren har
  • hvordan support og ændringer håndteres
  • hvilke sikkerhedskrav der gælder
  • hvordan hændelser eskaleres
  • hvordan data håndteres og slettes
  • hvad der sker ved kontraktophør eller leverandørskifte
  • Det gør leverandørstyringen langt nemmere at forklare i en revision.
Og det reducerer risikoen for, at printermiljøet bliver en blind vinkel i DORA-arbejdet.

7. Lav en gap-liste med ejerskab, modenhedsmål og roadmap

En god risikovurdering ender ikke med en lang liste af observationer.

Den ender med prioriterede gaps, tydeligt ejerskab og en realistisk plan.

For hvert gap bør I kunne svare på tre spørgsmål:
Hvem ejer det?
Hvad er målet?
Hvornår er risikoen reduceret til et acceptabelt niveau?

Start med de kontroller, der både reducerer risiko og er nemme at dokumentere:

  • administratoradgang
  • hardening
  • firmware
  • logning
  • kryptering
  • secure print
  • sikre scan-politikker
  • datasletning
  • leverandøradgang
  • beredskab og gendannelse
Det behøver ikke blive et stort program. Det vigtigste er, at der findes en plan, at planen har ejere, og at fremdriften kan dokumenteres.

Konklusion

Hvis I vil lave en risikovurdering, der holder i en DORA-kontekst, skal printere og dokumentflows behandles som det, de er:
Endpoints. Datapassager. Og en del af jeres operationelle robusthed.

Start med dataflowet.
Kobl print og scan til forretningskritiske processer.
Lav en ærlig gap-analyse.
Vælg kontroller, der kan dokumenteres.
Og sørg for, at leverandørstyring, datasletning og gendannelse er med fra starten.

Den hurtigste vej til ro i maven er ikke at skrive “print er ikke en risiko” i risikovurderingen.
Den hurtigste vej er at kunne vise, at I har styr på det.
At I måler det.
At I beskytter det.
Og at I kan genoprette det, når noget går galt.

Så er printere ikke længere en sårbarhed i DORA-arbejdet.

Kom i kontakt med os, hvis du vil vide mere om, hvordan Canon kan hjælpe jer.

Læs mere

7 råd: Sådan gør I print og scan revisionsklart med uniFLOW Online

Få styr på print og scanmiljøet med uniFLOW Online – her er 7 råd, der gør jer revisionsklar.

Læs mere

Printersikkerhed: sådan styrker du adgangskontrollen

Printere bliver ofte overset i sikkerhedsarbejdet, selvom de kan udgøre et svagt led, og mange IT chefer mangler overblik og compliance. Få tre tiltag, der kan give bedre adgangskontrol på printere.

Læs mere

Webinar: Printeren, det oversete endpoint i jeres IT-sikkerhedsstrategi

Med den kommende Cyber Resilience Act i 2027 og EU's nye IT-sikkerhedsdirektiver NIS2, CER og DORA, som træder i kraft fra oktober 2024, skal mange danske virksomheder revidere deres IT-sikkerhedsstrategier. Deltag i webinaret og hør, hvorfor du ikke bør overse printeren og multifunktionsenheden, og hvordan du integrerer dem i din sikkerhedsmodel.

Læs mere

Relaterede løsninger

Informationssikkerhed med Canon

Nutidens virksomheder lagrer, deler og samarbejder om oplysninger på tværs af platforme og lokaliteter, hvilket gør det sværere at beskytte dem. Canons holistiske tilgang til informationssikkerhed sikrer, at det er nemt at holde informationerne sikre, uanset hvor de tilgås, administreres og behandles.

Læs mere

Canon Business Modules

Effektiv dokumenthåndtering, digitalisering og compliance samlet ét sted.

Læs mere

Kom foran med ekspertise inden for informationssikkerhed

Træd ind i Information Security Hub for at få adgang til vigtige oplysninger og værktøjer til at beskytte jeres følsomme data.

Læs mere