Zabezpečení tiskáren: Nový nezbytný krok v oblasti IT. Výzkumy odhalily, že nechráněná tiskárna zůstává nejslabším článkem v zabezpečení

Transkript

1 Zabezpečení tiskáren: Nový nezbytný krok v oblasti IT Výzkumy odhalily, že nechráněná tiskárna zůstává nejslabším článkem v zabezpečení

2 Obsah Úvod Riziko podnikání Problém v úhlu pohledu Stávající postupy Směr k ucelenému zabezpečení tiskárny...11 Informace o průzkumu... 12

3 Úvod I přes rostoucí tlak na zabezpečení IT je řešení ochrany hardwaru často nedostačující. Nejvíce je tento trend patrný právě u tiskáren. I když si odborníci z oblasti IT čím dál častěji uvědomují nebezpečí spojené s používáním nechráněných tiskáren v síti, síťové tiskárny stále zůstávají nedostatečně zabezpečené a představují slabé místo v ochraně. Chyby v zabezpečení lze najít v nejrůznějších zařízeních v síti. Výjimkou nejsou ani tiskárny, tvrdí ředitel oddělení tiskových systémů HP South Pacific, Ben Vivoda. Obvykle se setkáváme s případy, kdy jsou tiskárny zapomenuty, přehlíženy a vystaveny nebezpečí útoku. Firmy si již z hlediska strategie kybernetického zabezpečení nemohou dovolit tiskárny přehlížet. 1 Skutečnost je taková, že podle nedávné studie organizace Spiceworks jsou tiskárny spojeny s čím dál větším počtem případů narušení zabezpečení. Ve srovnání s rokem 2016 je v současnosti o 68 % vyšší šance, že bude tiskárna zvolena za cíl externí hrozby nebo útoku, a o 118 % vyšší šance, že bude zvolena za cíl interní hrozby nebo útoku. Zároveň ale pouze 30 % odborníků v oblasti IT přiznává, že je tiskárna potenciální hrozbou pro zabezpečení. Toto číslo se sice od roku 2016 zdvojnásobilo, ale i nadále zůstává příliš nízké a odráží současnou nebezpečnou realitu. Řada odborníků IT zastává zastaralý názor na zabezpečení tiskáren, že tiskárny nacházející se uvnitř interní sítě jsou vlastně v bezpečí. Bohužel i ve skupině uznávající skutečné riziko má v zabezpečení prioritu řada ostatních zařízení koncových uživatelů a tiskárny (a skrze ně i celé sítě) tak zůstávají nechráněné. 2 I když lze chápat, že v minulosti měla ostatní koncová zařízení v oblasti zabezpečení před tiskárnami přednost, moderní IT organizace musí reagovat na hrozby pro rostoucí infrastrukturu IT a celkové řízení rizik ve firmě spojené s nezabezpečenými tiskárnami. Úvod 3

4 Riziko podnikání Jsou tiskárny skutečným problémem? Jednoduše řešeno: ano. Ve světě, kde každou hodinu vznikají nové hrozby pro zabezpečení, se tiskárna může velmi rychle stát cílem útoku. Moderní tiskárny fungují ve všech ohledech jako pokročilí a specializovaní hostitelé v síti a zasluhují stejnou pozornost při nastavování zabezpečení, jako tradiční počítače, tvrdí Kevin Pickhardt v bulletinu Entrepreneur. 2 Kancelářské tiskárny jsou nejen potenciální hrozbou ztráty dat a důvěryhodnosti, ale slabá místa, která mohou potenciální hackeři využít. Uveďme si příklad: Za poslední rok hackeři podle hlášení s pomocí automatizovaných skriptů získali přístup k veřejně dostupných tiskáren, jako jsou tiskárny účtenek, ve kterých spustili škodlivou tiskovou úlohu. 3 Odborníci z oboru souhlasí. Podle IDC má většina tiskáren prakticky neomezený přístup k vnitřní síti. Útočník, který získá přístup k tiskárně, získává také neomezený přístup k firemní síti, aplikacím a datovým zdrojům. 4 Jak nedostatečně chráněná síť vypadá? Neužívá dostatečně velkou paletu zabezpečení a umožňuje tak zneužití velké řady síťových protokolů. Nevyužívá řízení přístupu (často je přehlíženo i vytvoření hesla správce). Umožňuje tisk citlivých dokumentů bez nutnosti ověření uživatele. Tyto dokumenty potom mohou až do konce pracovní doby zůstat ležet ve výstupním zásobníku tiskárny. Odesílá v síti nešifrovaná data. Využívá zastaralý firmware nebo neprobíhá monitorování bezpečnostních hrozeb. Všechny tyto nedostatky v zabezpečení mají své následky. Agentura Gartner odhaduje, že oproti současnosti, kdy je podíl menší než 5 procent, dojde do roku 2020 u více než poloviny projektů Internetu věcí (IoT) k úniku citlivých informací z důvodu nedostatečného používání funkcí pro zabezpečení hardwaru. 4 riziko podnikání 4

5 Problém v úhlu pohledu Navzdory probíhajícímu výzkumu jsou odborníci v oblasti IT i nadále neochotni přiznat rizika spojená s používáním tiskáren. V Severní Americe považuje tiskárny za bezpečnostní rizika méně než čtvrtina odborníků IT (22 %), zatímco v Evropě, Středním východě a Africe (EMEA) toto číslo jen nepatrně přesahuje třetinu (35 %). Vnímaná úroveň rizika pro zabezpečení Tiskárny 22 % 30 % 35 % 33 % Stolní počítače / Notebooky 71 % 71 % 75 % 68 % Mobilní zařízení 67 % 68 % 69 % 64 % Celkem Severní Amerika Evropa, Střední východ a Afrika APAC Pro srovnání je v případě stolních počítačů a notebooků toto číslo na 71 % a u mobilních zařízení na 67 %. problém v úhlu pohledu 5

6 Výzkum agentury Spiceworks dále odhalil, že odborníci v oblasti IT, kteří určitá preventivní opatření provedli, se v provedení zásadně různili. Vzhledem k široké paletě bezpečnostních požadavků ale není divu. Žádné osamocené řešení není dostačující. Pouhá brána firewall například nestačí. Stejně jako v případě ostatních síťových zařízení je třeba k otázce zabezpečení tiskárny přistupovat z více úhlů. Nejefektivnější řešení bude takové, které lze snadno integrovat, automatizovat a snadno používat a spravovat. Situace je o to složitější, že každá značka tiskáren používá vlastní software a operační systém. Řada odborníků také nemusí mít dostatečné znalosti potřebné k nakonfigurování softwaru tiskárny dle daných zásad zabezpečení. problém v úhlu pohledu 6

7 Stávající postupy Odborníci v oblasti IT se k zabezpečení tiskáren staví různě a vytváří vlastní balíček zásad a funkcí zabezpečení, který závisí na použitém nástroji a úrovni, se kterou tento nástroj umí používat. Z obecného hlediska současný přístup k zabezpečení tiskáren spadá do šesti kategorií. Podíl respondentů, kteří v současné době u svých tiskáren využívají následující bezpečnostní postupy 42 % Zabezpečení dokumentů 31 % Zabezpečení zařízení 40 % Zabezpečení sítě 30 % Bezpečné monitorování 39 % Řízení přístupu 28 % Ochrana dat Výzkum odhalil, že odborníci využívají vždy několik bezpečnostních opatření z každé kategorie, ale většinou jen velmi povrchově. 25 % 25 % 25 % 24 % 21 % Uzamknutí nepoužívaných otevřených portů Povolení funkce odesláno z Zabezpečený přístup k tiskárně při její opravě Implementace soukromého tisku (na vyžádání) Pravidelné mazání pevných disků tiskárny

8 Ještě menší počet odborníků používá zásady pro vyčištění nebo vymazání úloh po určitém čase, vyžaduje oprávnění správce pro změnu souvisejícího nastavení nebo automatizuje řízení certifikátů. Odborníci v oblasti IT sice častěji monitorují zabezpečení tiskáren, ale čísla jsou stále ještě příliš malá. Pravidelnou kontrolu protokolů tiskárny provádí pouze 39 % odborníků a pouze 31 % v Severní Americe. V otázce připojení tiskáren k nástrojům SIEM se správné postupy používají pouze v 13 % případů. Absence monitorování protokolů tiskárny a neintegrování tiskáren do systému SIEM způsobuje, že odborníci v oblasti IT nemají k dispozici dostatek informací a nemohou včas odhalit kybernetický útok zločince, který nemonitorovanou infrastrukturu může používat pro přístup k síti a zneužití údajů. Monitorování tiskárny 39 % 31 % 43 % 43 % 13 % 9 % 13 % 17 % Kontrola protokolů událostí týkající se zabezpečení tiskárny Připojení k nástroji SIEM Celkem Severní Amerika Evropa, Střední východ a Afrika APAC stávající postupy 8

9 Výzkum odhalil i další geograficky specifické odlišnosti v zabezpečení tiskáren, kde Severní Amerika zaostává. To platí zejména pro řízení přístupu a šifrování. Ve srovnání se Severní Amerikou odborníci v oblasti APAC mnohem častěji šifrují přenášená data, vyžadují ověřování v zařízení a nasazují řízení přístupu vycházející z role uživatele. Využívané postupy pro zabezpečení tiskárny Ověřování uživatele 54 % 42 % 59 % 61 % Šifrování přenášených dat 34 % 42 % 44 % 49 % Řízení přístupu na základě rolí 27 % 40 % 46 % 46 % Celkem Severní Amerika Evropa, Střední východ a Afrika APAC stávající postupy 9

10 V otázce zajištění souladu s regulacemi ochrany osobních údajů odborníci v oblasti IT standardně využívají více přístupů, kde jistou část strategie zajištění souladu IT zaujímá také řízení přístupu k tiskárnám. Agentura Spiceworks položila odborníkům otázku, které metody pro zajištění souladu implementovali (dle metody Center for Internet Security CIS Controls V7 ). 5 Používané metody pro zajištění souladu Aktualizace hardwaru/ softwaru Mechanické zabezpečení Ochrana proti narušení Auditování a analýza Vyhodnocení zranitelnosti Kontroly integrity systému Procesy pro zabezpečení dokumentu Protiopatření pro případ útoku Data ukazují, že odborníci často přehlíží i ty nejzákladnější bezpečnostní opatření, jako je aktualizace firmwaru. Pouhá třetina tyto úkony zahrnula do rutinních procesů pro zajištění souladu. Výzkum v oboru tyto závěry podporuje. Podle společnosti IDC často nedochází k aktualizaci firmwaru tiskáren, protože organizace obvykle podceňují spojená rizika.4 Zároveň nemají dostatečný čas potřebný ke kontrole, testování a nasazení nového firmwaru do všech firemních tiskáren. stávající postupy 10

11 Směr k ucelenému zabezpečení tiskárny Z 84 % odborníků v oblasti IT, kteří oznámili používání zásad zabezpečení, jen 64 % z nich oznámilo, že tyto zásady se vztahují také na firemní tiskárny. V Severní Americe je tento podíl pouhých 52 %. Toto je jedním z důvodů, proč je nezbytné implementovat a používat integrované a automatizované metody řízení zabezpečení tiskáren. Tiskárny s integrovanými funkcemi zabezpečení pomáhají minimalizovat možné riziko a naplno využít rozpočet v oblasti IT. Analýza společnosti IDC potvrdila také následující tvrzení: Tiskárny je mnohem náročnější zabezpečit po jejich opuštění výrobní linky, což jen podtrhuje důležitost výběru těch správných tiskáren, které již z výroby nabízí bohatou nabídku základních i pokročilých bezpečnostních funkcí. 4 Agentura Gartner pokračuje: pokud chcete při plánování strategie naplno využít nová dynamická tisková řešení na trhu, je nutné sestavit ucelené portfolio zabezpečení tiskáren sestávající z modulů, které inovují tradiční doporučené postupy při zabezpečení. Tato řešení se poté integrují do širšího systému řešení zabezpečení. 6 Poskytovatelé spravovaných tiskových služeb neustále doplňují své služby, aby mohli reagovat na požadavky oddělení IT postrádajících hluboké znalosti potřebné k sestavení zabezpečení tiskáren. IDC potvrzuje, že: dodavatelé nabízí celou paletu služeb určených pro ochranu na úrovni zařízení i dat. Mnohá z těchto řešení jsou navržena tak, aby se integrovala do stávajícího systému řízení dokumentů a podnikových dat (ECM), a zajistila tak hlubší zabezpečení a obstarala dodržení pravidel a předpisů pro správu a zajištění souladu. 7 Naštěstí pro odborníky z oblasti IT nabízí moderní tiskárny řadu integrovaných bezpečnostních funkcí pro jejich portfolio zabezpečení tisku, jako je detekce hrozeb, ochrana, oznámení a samoregenerace, díky kterým lze rozšířit zabezpečení i těch nejohroženějších zařízení v síti, jako jsou tiskárny. Nastal čas rozšířit vaše zabezpečení tisku. Více informací směr k ucelenému zabezpečení tiskárny 11

12 Informace o průzkumu Společnost HP požádala agenturu Spiceworks, aby v květnu 2018 provedla průzkum zaměřený na odpovědné činitele v oblasti IT, jako jsou ředitelé, manažeři a další zaměstnanci IT. Výstupem měly být informace o současných postupech při zabezpečení tiskáren a jednotlivých rizikových oblastech. Výsledky průzkumu staví na odpovědích přibližně 500 účastníků ze Severní Ameriky, oblasti EMEA a oblasti APAC, kteří působí v podnicích s více než 250 zaměstnanci. Zdroje 1 McLean, Asha, Unsecured printers a security weak point for many organisations: HP, ZDNet, 18. dubna Pickhardt, Kevin, Why Your Innocent Office Printer May Be a Target For Hackers, Entrepreneur, 31. ledna Peyser, Eve, Hacker Claims He Hacked 150,000 Printers to Raise Awareness About Hacking, Gizmodo, 6. února Brown, Duncan, et al., IDC Government Procurement Device Security Index 2018, IDC, květen CIS Controls, Center for Internet Security, březen Von Manowski, Kristin Merry a Deborah Kish, Market Insight: IoT Security Gaps Highlight Emerging Print Market Opportunities, Gartner, 31. října 2017, 7 Palmer, Robert a Allison Correia, IDC MarketScape: Worldwide Security Solutions and Services Hardcopy 2017 Vendor Assessment, IDC, 2017.