Zabezpečení tiskáren: Nový nezbytný krok v oblasti IT. Výzkumy odhalily, že nechráněná tiskárna zůstává nejslabším článkem v zabezpečení

Podobné dokumenty
ODEMČENÉ DVEŘE PRŮZKUM UKAZUJE, ŽE TISKÁRNY ČASTO BÝVAJÍ NEZABEZPEČENÉ PROTI KYBERNETICKÝM ÚTOKŮM

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Řešení služby tisku na vyžádání od HP

Bezpečnostní politika společnosti synlab czech s.r.o.

Enterprise Mobility Management

Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o.

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Dalibor Kačmář

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

a práce s daty ve firmách

Jak se ztrácí citlivá data a jak tato data ochránit?:

Lantronix, Inc. xprintserver Office Edition: Obchodní prezentace Listopad 2012

vlastnosti Výsledkem sledování je: a) Využití aplikací b) Používání internetu c) Vytížení počítačů d) Operační systém e) Sledování tisků

Postoj Evropanů k bezpečnosti na internetu

Kaspersky ONE. univerzální zabezpečení. Ochrana různých zařízení

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Zákon o kybernetické bezpečnosti

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

CENTRUM ZABEZPEČENÍ VERVE

Bezpečnostní aspekty informačních a komunikačních systémů KS2

2. setkání interních auditorů ze zdravotních pojišťoven

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

IT bezpečnost na ZČU včera, dnes a zítra Seminář CIV by Ing. Petr Žák

Informace, lidské zdroje a technologie: Klíčové faktory pro zajištění kybernetické bezpečnosti

FlowGuard 2.0. Whitepaper

Nejbezpečnější prostředí pro vaše data

FlowMon ADS praktické aplikace a případové studie. Pavel Minařík INVEA-TECH, a.s.

Bezpečná a efektivní IT infrastruktura

Jak se ztrácí citlivá data a jak tato data ochránit?:

Bezpečnostní politika společnosti synlab czech s.r.o.

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?

Filip Navrátil PCS spol. s r.o. Divize DataGuard stánek 45 přízemí

Odbor informatiky a provozu informačních technologií

KLASICKÝ MAN-IN-THE-MIDDLE

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Security of Things. 6. listopadu Marian Bartl

Bezpečnost webových stránek

Bezpečností politiky a pravidla

10. setkání interních auditorů v oblasti průmyslu

Role flexibilní pracovní síly v personální strategii

Symantec Protection Suite Small Business Edition Jednoduché, účinné a cenově dostupné řešení navržené pro malé firmy

TOP. Agenda. bezpečnostní témata pro Milan Chromý. Zavádíme a provozujeme užitečné informační technologie v organizacích.

Mobile Device Management Mobilita v bankovním prostředí. Jan Andraščík, Petra Fritzová,

Úvod - Podniková informační bezpečnost PS1-2

CYBERSECURITY INKUBÁTOR

Nový přístup k bezpečnosti v budování výpočetní a komunikační infrastruktury

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

Bezpečnostní monitoring v praxi. Watson solution market

Možnosti zabezpečení mobilní komunikace. Jan Křečan Manažer prodeje mobilních firemních řešení

Průvodce zabezpečením pro firmy

Implementace systému ISMS

EMBARCADERO TECHNOLOGIES. Jak na BYOD chytře? Možnosti zapojování různých mobilních zařízení do podnikových informačních systémů.

Bezpečnost intranetových aplikací

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Zkušenosti z nasazení a provozu systémů SIEM

Moderní IT - jak na Windows a zabezpečení PC. Petr Klement, divize Windows, Microsoft

Hardening ICT platforem: teorie nebo praxe. Pavel Hejduk ČEZ ICT Services, a. s.

Představujeme KASPERSKY ENDPOINT SECURITY FOR BUSINESS

S C A D A S Y S T É M Y

Vzorové analýzy rizik zpracování v cloudu. Zdeněk Jiříček National Technology Officer Microsoft ČR

ICT PLÁN ŠKOLY. Městské gymnázium a Základní škola Jirkov

Projekt podnikové mobility

Virtuální datové centrum a jeho dopad na infrastrukturu sítě

Technické aspekty zákona o kybernetické bezpečnosti

Zákon o kybernetické bezpečnosti a jeho implementace aktuálně

Řešení počítačové sítě na škole

AleFIT MAB Keeper & Office Locator

Security. v českých firmách

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

KYBERNETICKÁ BEZPEČNOST V ARMÁDĚ ČR

HP JetAdvantage Management. Oficiální zpráva o zabezpečení

KERNUN CLEAR WEB. Má smysl český webový filtr? Radek Nebeský, TNS / Kernun Security Notes / Praha 11. října

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Směrnice upravující eliminaci rizik při správě osobních údajů technicko-organizační opatření

O2 a jeho komplexní řešení pro nařízení GDPR

Monitoring uživatelů zkušenosti z praxe Proč monitorovat? Kde monitorovat? Příklady z praxe.

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

Desigo Control Point řešení pro ovládání a monitorování budov siemens.cz/desigo

Koncept BYOD. Jak řešit systémově? Petr Špringl

Vzdálená správa v cloudu až pro 250 počítačů

STŘEDNÍ PRŮMYSLOVÁ ŠKOLA A STŘEDNÍ ODBORNÉ UČILIŠTĚ PELHŘIMOV Friedova 1469, Pelhřimov ICT PLÁN ŠKOLY

Co je Symantec pcanywhere 12.0? Hlavní výhody Snadné a bezpečné vzdálené připojení Hodnota Důvěra

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od:

DATABASE SECURITY SUITE STRUČNÝ POPIS

PROBLEMATIKA ZAJIŠŤOVÁNÍ FYZICKÉ BEZPEČNOSTI NEMOCNIC, SOUČÁST PREVENCE KRIMINALITY VE MĚSTĚ A KRAJI

Stav podnikové bezpečnosti, Globální zpráva Jakub Jiříček, Symantec ČR a SR

Symantec Mobile Security

SKUPINA 6. Jitka KAZIMÍROVÁ. Lektor: Allianz pojišťovna. Téma: Zkušenosti s outsourcingem IT auditu

Zákon o kybernetické bezpečnosti na startovní čáře

základní FAkTA CO Je PROFeSSIOnAL COMPUTInG? CíLOVÁ SkUPInA DISTRIBUCe

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Základní škola T. G. Masaryka Ivančice. Na Brněnce 1, okres Brno-venkov, příspěvková organizace. Na Brněnce 1, Ivančice, ICT PLÁN ŠKOLY

Fenomén Cloudu v kontextu střední a východní Evropy. Petr Zajonc, IDC pzajonc@idc.com

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Dell Docking Solution User's Guide (Příručka uživatele dokovacího řešení Dell) Pro Inspiron

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

STŘEDNÍ PRŮMYSLOVÁ ŠKOLA A STŘEDNÍ ODBORNÉ UČILIŠTĚ PELHŘIMOV Friedova 1469, Pelhřimov ICT PLÁN ŠKOLY

Transkript:

Zabezpečení tiskáren: Nový nezbytný krok v oblasti IT Výzkumy odhalily, že nechráněná tiskárna zůstává nejslabším článkem v zabezpečení

Obsah Úvod.... 3 Riziko podnikání.... 4 Problém v úhlu pohledu.... 5 Stávající postupy.......................................7 Směr k ucelenému zabezpečení tiskárny...11 Informace o průzkumu... 12

Úvod I přes rostoucí tlak na zabezpečení IT je řešení ochrany hardwaru často nedostačující. Nejvíce je tento trend patrný právě u tiskáren. I když si odborníci z oblasti IT čím dál častěji uvědomují nebezpečí spojené s používáním nechráněných tiskáren v síti, síťové tiskárny stále zůstávají nedostatečně zabezpečené a představují slabé místo v ochraně. Chyby v zabezpečení lze najít v nejrůznějších zařízeních v síti. Výjimkou nejsou ani tiskárny, tvrdí ředitel oddělení tiskových systémů HP South Pacific, Ben Vivoda. Obvykle se setkáváme s případy, kdy jsou tiskárny zapomenuty, přehlíženy a vystaveny nebezpečí útoku. Firmy si již z hlediska strategie kybernetického zabezpečení nemohou dovolit tiskárny přehlížet. 1 Skutečnost je taková, že podle nedávné studie organizace Spiceworks jsou tiskárny spojeny s čím dál větším počtem případů narušení zabezpečení. Ve srovnání s rokem 2016 je v současnosti o 68 % vyšší šance, že bude tiskárna zvolena za cíl externí hrozby nebo útoku, a o 118 % vyšší šance, že bude zvolena za cíl interní hrozby nebo útoku. Zároveň ale pouze 30 % odborníků v oblasti IT přiznává, že je tiskárna potenciální hrozbou pro zabezpečení. Toto číslo se sice od roku 2016 zdvojnásobilo, ale i nadále zůstává příliš nízké a odráží současnou nebezpečnou realitu. Řada odborníků IT zastává zastaralý názor na zabezpečení tiskáren, že tiskárny nacházející se uvnitř interní sítě jsou vlastně v bezpečí. Bohužel i ve skupině uznávající skutečné riziko má v zabezpečení prioritu řada ostatních zařízení koncových uživatelů a tiskárny (a skrze ně i celé sítě) tak zůstávají nechráněné. 2 I když lze chápat, že v minulosti měla ostatní koncová zařízení v oblasti zabezpečení před tiskárnami přednost, moderní IT organizace musí reagovat na hrozby pro rostoucí infrastrukturu IT a celkové řízení rizik ve firmě spojené s nezabezpečenými tiskárnami. Úvod 3

Riziko podnikání Jsou tiskárny skutečným problémem? Jednoduše řešeno: ano. Ve světě, kde každou hodinu vznikají nové hrozby pro zabezpečení, se tiskárna může velmi rychle stát cílem útoku. Moderní tiskárny fungují ve všech ohledech jako pokročilí a specializovaní hostitelé v síti a zasluhují stejnou pozornost při nastavování zabezpečení, jako tradiční počítače, tvrdí Kevin Pickhardt v bulletinu Entrepreneur. 2 Kancelářské tiskárny jsou nejen potenciální hrozbou ztráty dat a důvěryhodnosti, ale slabá místa, která mohou potenciální hackeři využít. Uveďme si příklad: Za poslední rok hackeři podle hlášení s pomocí automatizovaných skriptů získali přístup k 150 000 veřejně dostupných tiskáren, jako jsou tiskárny účtenek, ve kterých spustili škodlivou tiskovou úlohu. 3 Odborníci z oboru souhlasí. Podle IDC má většina tiskáren prakticky neomezený přístup k vnitřní síti. Útočník, který získá přístup k tiskárně, získává také neomezený přístup k firemní síti, aplikacím a datovým zdrojům. 4 Jak nedostatečně chráněná síť vypadá? Neužívá dostatečně velkou paletu zabezpečení a umožňuje tak zneužití velké řady síťových protokolů. Nevyužívá řízení přístupu (často je přehlíženo i vytvoření hesla správce). Umožňuje tisk citlivých dokumentů bez nutnosti ověření uživatele. Tyto dokumenty potom mohou až do konce pracovní doby zůstat ležet ve výstupním zásobníku tiskárny. Odesílá v síti nešifrovaná data. Využívá zastaralý firmware nebo neprobíhá monitorování bezpečnostních hrozeb. Všechny tyto nedostatky v zabezpečení mají své následky. Agentura Gartner odhaduje, že oproti současnosti, kdy je podíl menší než 5 procent, dojde do roku 2020 u více než poloviny projektů Internetu věcí (IoT) k úniku citlivých informací z důvodu nedostatečného používání funkcí pro zabezpečení hardwaru. 4 riziko podnikání 4

Problém v úhlu pohledu Navzdory probíhajícímu výzkumu jsou odborníci v oblasti IT i nadále neochotni přiznat rizika spojená s používáním tiskáren. V Severní Americe považuje tiskárny za bezpečnostní rizika méně než čtvrtina odborníků IT (22 %), zatímco v Evropě, Středním východě a Africe (EMEA) toto číslo jen nepatrně přesahuje třetinu (35 %). Vnímaná úroveň rizika pro zabezpečení Tiskárny 22 % 30 % 35 % 33 % Stolní počítače / Notebooky 71 % 71 % 75 % 68 % Mobilní zařízení 67 % 68 % 69 % 64 % Celkem Severní Amerika Evropa, Střední východ a Afrika APAC Pro srovnání je v případě stolních počítačů a notebooků toto číslo na 71 % a u mobilních zařízení na 67 %. problém v úhlu pohledu 5

Výzkum agentury Spiceworks dále odhalil, že odborníci v oblasti IT, kteří určitá preventivní opatření provedli, se v provedení zásadně různili. Vzhledem k široké paletě bezpečnostních požadavků ale není divu. Žádné osamocené řešení není dostačující. Pouhá brána firewall například nestačí. Stejně jako v případě ostatních síťových zařízení je třeba k otázce zabezpečení tiskárny přistupovat z více úhlů. Nejefektivnější řešení bude takové, které lze snadno integrovat, automatizovat a snadno používat a spravovat. Situace je o to složitější, že každá značka tiskáren používá vlastní software a operační systém. Řada odborníků také nemusí mít dostatečné znalosti potřebné k nakonfigurování softwaru tiskárny dle daných zásad zabezpečení. problém v úhlu pohledu 6

Stávající postupy Odborníci v oblasti IT se k zabezpečení tiskáren staví různě a vytváří vlastní balíček zásad a funkcí zabezpečení, který závisí na použitém nástroji a úrovni, se kterou tento nástroj umí používat. Z obecného hlediska současný přístup k zabezpečení tiskáren spadá do šesti kategorií. Podíl respondentů, kteří v současné době u svých tiskáren využívají následující bezpečnostní postupy 42 % Zabezpečení dokumentů 31 % Zabezpečení zařízení 40 % Zabezpečení sítě 30 % Bezpečné monitorování 39 % Řízení přístupu 28 % Ochrana dat Výzkum odhalil, že odborníci využívají vždy několik bezpečnostních opatření z každé kategorie, ale většinou jen velmi povrchově. 25 % 25 % 25 % 24 % 21 % Uzamknutí nepoužívaných otevřených portů Povolení funkce odesláno z Zabezpečený přístup k tiskárně při její opravě Implementace soukromého tisku (na vyžádání) Pravidelné mazání pevných disků tiskárny

Ještě menší počet odborníků používá zásady pro vyčištění nebo vymazání úloh po určitém čase, vyžaduje oprávnění správce pro změnu souvisejícího nastavení nebo automatizuje řízení certifikátů. Odborníci v oblasti IT sice častěji monitorují zabezpečení tiskáren, ale čísla jsou stále ještě příliš malá. Pravidelnou kontrolu protokolů tiskárny provádí pouze 39 % odborníků a pouze 31 % v Severní Americe. V otázce připojení tiskáren k nástrojům SIEM se správné postupy používají pouze v 13 % případů. Absence monitorování protokolů tiskárny a neintegrování tiskáren do systému SIEM způsobuje, že odborníci v oblasti IT nemají k dispozici dostatek informací a nemohou včas odhalit kybernetický útok zločince, který nemonitorovanou infrastrukturu může používat pro přístup k síti a zneužití údajů. Monitorování tiskárny 39 % 31 % 43 % 43 % 13 % 9 % 13 % 17 % Kontrola protokolů událostí týkající se zabezpečení tiskárny Připojení k nástroji SIEM Celkem Severní Amerika Evropa, Střední východ a Afrika APAC stávající postupy 8

Výzkum odhalil i další geograficky specifické odlišnosti v zabezpečení tiskáren, kde Severní Amerika zaostává. To platí zejména pro řízení přístupu a šifrování. Ve srovnání se Severní Amerikou odborníci v oblasti APAC mnohem častěji šifrují přenášená data, vyžadují ověřování v zařízení a nasazují řízení přístupu vycházející z role uživatele. Využívané postupy pro zabezpečení tiskárny Ověřování uživatele 54 % 42 % 59 % 61 % Šifrování přenášených dat 34 % 42 % 44 % 49 % Řízení přístupu na základě rolí 27 % 40 % 46 % 46 % Celkem Severní Amerika Evropa, Střední východ a Afrika APAC stávající postupy 9

V otázce zajištění souladu s regulacemi ochrany osobních údajů odborníci v oblasti IT standardně využívají více přístupů, kde jistou část strategie zajištění souladu IT zaujímá také řízení přístupu k tiskárnám. Agentura Spiceworks položila odborníkům otázku, které metody pro zajištění souladu implementovali (dle metody Center for Internet Security CIS Controls V7 ). 5 Používané metody pro zajištění souladu Aktualizace hardwaru/ softwaru Mechanické zabezpečení Ochrana proti narušení Auditování a analýza Vyhodnocení zranitelnosti Kontroly integrity systému Procesy pro zabezpečení dokumentu Protiopatření pro případ útoku Data ukazují, že odborníci často přehlíží i ty nejzákladnější bezpečnostní opatření, jako je aktualizace firmwaru. Pouhá třetina tyto úkony zahrnula do rutinních procesů pro zajištění souladu. Výzkum v oboru tyto závěry podporuje. Podle společnosti IDC často nedochází k aktualizaci firmwaru tiskáren, protože organizace obvykle podceňují spojená rizika.4 Zároveň nemají dostatečný čas potřebný ke kontrole, testování a nasazení nového firmwaru do všech firemních tiskáren. stávající postupy 10

Směr k ucelenému zabezpečení tiskárny Z 84 % odborníků v oblasti IT, kteří oznámili používání zásad zabezpečení, jen 64 % z nich oznámilo, že tyto zásady se vztahují také na firemní tiskárny. V Severní Americe je tento podíl pouhých 52 %. Toto je jedním z důvodů, proč je nezbytné implementovat a používat integrované a automatizované metody řízení zabezpečení tiskáren. Tiskárny s integrovanými funkcemi zabezpečení pomáhají minimalizovat možné riziko a naplno využít rozpočet v oblasti IT. Analýza společnosti IDC potvrdila také následující tvrzení: Tiskárny je mnohem náročnější zabezpečit po jejich opuštění výrobní linky, což jen podtrhuje důležitost výběru těch správných tiskáren, které již z výroby nabízí bohatou nabídku základních i pokročilých bezpečnostních funkcí. 4 Agentura Gartner pokračuje: pokud chcete při plánování strategie naplno využít nová dynamická tisková řešení na trhu, je nutné sestavit ucelené portfolio zabezpečení tiskáren sestávající z modulů, které inovují tradiční doporučené postupy při zabezpečení. Tato řešení se poté integrují do širšího systému řešení zabezpečení. 6 Poskytovatelé spravovaných tiskových služeb neustále doplňují své služby, aby mohli reagovat na požadavky oddělení IT postrádajících hluboké znalosti potřebné k sestavení zabezpečení tiskáren. IDC potvrzuje, že: dodavatelé nabízí celou paletu služeb určených pro ochranu na úrovni zařízení i dat. Mnohá z těchto řešení jsou navržena tak, aby se integrovala do stávajícího systému řízení dokumentů a podnikových dat (ECM), a zajistila tak hlubší zabezpečení a obstarala dodržení pravidel a předpisů pro správu a zajištění souladu. 7 Naštěstí pro odborníky z oblasti IT nabízí moderní tiskárny řadu integrovaných bezpečnostních funkcí pro jejich portfolio zabezpečení tisku, jako je detekce hrozeb, ochrana, oznámení a samoregenerace, díky kterým lze rozšířit zabezpečení i těch nejohroženějších zařízení v síti, jako jsou tiskárny. Nastal čas rozšířit vaše zabezpečení tisku. Více informací směr k ucelenému zabezpečení tiskárny 11

Informace o průzkumu Společnost HP požádala agenturu Spiceworks, aby v květnu 2018 provedla průzkum zaměřený na odpovědné činitele v oblasti IT, jako jsou ředitelé, manažeři a další zaměstnanci IT. Výstupem měly být informace o současných postupech při zabezpečení tiskáren a jednotlivých rizikových oblastech. Výsledky průzkumu staví na odpovědích přibližně 500 účastníků ze Severní Ameriky, oblasti EMEA a oblasti APAC, kteří působí v podnicích s více než 250 zaměstnanci. Zdroje 1 McLean, Asha, Unsecured printers a security weak point for many organisations: HP, ZDNet, 18. dubna 2017. https://www.zdnet.com/article/unsecured-printers-a-security-weak-point-for-many-organisations-hp/ 2 Pickhardt, Kevin, Why Your Innocent Office Printer May Be a Target For Hackers, Entrepreneur, 31. ledna 2018. https://www.entrepreneur.com/article/308273 3 Peyser, Eve, Hacker Claims He Hacked 150,000 Printers to Raise Awareness About Hacking, Gizmodo, 6. února 2017. https://gizmodo.com/hacker-claims-he-hacked-150-000-printers-to-raise-aware-1792067012 4 Brown, Duncan, et al., IDC Government Procurement Device Security Index 2018, IDC, květen 2018. 5 CIS Controls, Center for Internet Security, březen 2018. https://www.cisecurity.org/controls/ 6 Von Manowski, Kristin Merry a Deborah Kish, Market Insight: IoT Security Gaps Highlight Emerging Print Market Opportunities, Gartner, 31. října 2017, https://www.gartner.com/doc/reprints?id=1-4ockfkg&ct=180110&st=sb 7 Palmer, Robert a Allison Correia, IDC MarketScape: Worldwide Security Solutions and Services Hardcopy 2017 Vendor Assessment, IDC, 2017.

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář