Skrivarsäkerhet: En brådskande IT-utmaning. Forskning visar att "Den enkla skrivaren" fortfarande är en blind fläck inom IT-säkerhet

Transkript

1 Skrivarsäkerhet: En brådskande IT-utmaning Forskning visar att "Den enkla skrivaren" fortfarande är en blind fläck inom IT-säkerhet

2 Innehållsförteckning Inledning Riskerna för företagen Problematisk uppfattning Befintliga rutiner För en omfattande skrivarsäkerhet Om undersökningen

3 Inledning Hoten mot IT-säkerheten ökar, men det görs inte alltid ansträngningar inom hårdvarusäkerhet för att hålla jämna steg. Detta syns kanske tydligast bland skrivare. IT-proffs blir allt mer medvetna om hur farliga oskyddade skrivare är för nätverken, men skrivare befinner sig ändå ofta inom en blind fläck för säkerheten. Merparten av dem är oskyddade. "Sårbarheter utnyttjas hos alla sorters nätverksanslutna enheter, inklusive enkla nätverksskrivare", säger Ben Vivoda, chef för skrivarsystem hos HP South Pacific. "Vi ser ofta att skrivarna lämnas utanför eller förbises, och därmed förblir sårbara. Företag har inte längre råd att ignorera skrivare när det gäller deras övergripande strategi för IT-cybersäkerhet." 1 Enligt en färsk undersökning från Spiceworks är skrivare faktiskt källan till ett allt större antal säkerhetshot. I dag är det 68 procents större sannolikhet att en skrivare är källan till ett externt hot eller intrång jämfört med Sannolikheten att skrivaren är källan till ett internt hot eller säkerhetsbrott är 118 procent större. Trots det är det endast 30 procent av alla IT-proffs som inser att skrivare utgör en säkerhetsrisk. Den siffran har ungefär fördubblats sedan 2016, men den är fortfarande relativt låg och visar upp en farlig verklighet. Många IT-proffs verkar hålla fast vid en föråldrar syn på skrivarsäkerhet. Eventuellt tror de fortfarande att skrivare är säkra inom nätverkets gränser. Även för de IT-proffs som inser risken är den främsta prioriteten ofta att säkra uppsjön av slutanvändarenheter, vilket gör att skrivare lämnas öppna och nätverken blir sårbara. 2 Det är förståeligt att skrivare har prioriterats lägre än andra enheter i fråga om säkerhet tidigare, men det är nu av stor vikt att ITorganisationer börjar åtgärda de risker som osäkra skrivare innebär för den bredare IT-infrastrukturen och företaget överlag. inledning 3

4 Riskerna för företagen Är skrivare verkligen ett problem? Kort sagt: ja. I en era då nya säkerhetshot dyker upp varje timme kan en skrivare bli en enkel måltavla. "Moderna skrivare är i princip avancerade, specialiserade nätverksvärdar, och som sådana bör de ges samma nivå av säkerhet som traditionella skrivare", säger Kevin Pickhardt i tidskriften Entrepreneur. 2 "Kontorsskrivare är inte bara potentiella källor till dataförlust och sekretessproblem, utan även attackpunkter som hackare kan utnyttja." Ett exempel: Förra året uppges en hackare ha använt ett automatiskt skript för att få åtkomst till offentligt tillgängliga skrivare, inklusive ett stort antal kvittoskrivare, och sedan instruerat dem att skriva ut ett eget varningsdokument. 3 Branschens analytiker håller med. IDC säger: "De flesta skrivare har bred åtkomst till ett internt nätverk. En angripare som tar sig in i en skrivare kan få obegränsad åtkomst till en organisations nätverk, program och datatillgångar." 4 Hur ser en nätverksskrivare med för lite skydd ut? Den har inte ett skärpt skydd och är därför helt öppen för många olika nätverksprotokoll. Den använder inte åtkomstkontroller (även att ställa in ett administratörslösenord förbises ofta). Den tillåter att känsliga dokument skrivs ut utan autentisering, och dokumenten kan bli liggande i utmatningsfacket hela dagen. Den skickar okrypterade data över nätverket. Den kör föråldrad inbyggd programvara, eller övervakas inte för säkerhetshot. De här säkerhetsbristerna får följder. Gartner förutspår att år 2020 kommer fler än hälften av alla sakernas internet (IoT)-projekt att blotta känslig information på grund av att hårdvarusäkerhetsfunktioner inte används. Detta är en ökning från mindre än 5 procent i nuläget. 4 riskerna för företagen 4

5 Problematisk uppfattning Trots forskningen är det dock många IT-proffs som ligger efter med att inse vilka risker skrivare innebär. I Nordamerika är det inte ens en fjärdedel (22 procent) av alla IT-proffs som ser skrivare som en säkerhetsrisk, och i Europa, Mellanöstern och Afrika (EMEA) är den siffran knappt mer än en tredjedel (35 procent). Upplevd nivå av säkerhetsrisk Skrivare 22 % 30 % 35 % 33 % Stationära datorer/ Bärbara datorer 71 % 71 % 75 % 68 % Mobila enheter 67 % 68 % 69 % 64 % Totalt Nordamerika EMEA APAC Det kan jämföras med att IT-proffs bedömde hotet som bärbara och stationära datorer utgör vara 71 procent medan hotet från mobila enheter bedömdes som 67 procent. problematisk uppfattning 5

6 Forskningen från Spiceworks visar också att de IT-proffs som har vidtagit förebyggande åtgärder har skilda strategier. Och det är fullt förståeligt, med tanke på de breda säkerhetskraven. Ingen enstaka lösning räcker. Endast en brandvägg är till exempel inte tillräckligt. Säkerheten för skrivare, precis som för alla nätverksenheter, måste hanteras från flera olika infallsvinklar. Och i likhet med andra säkerhetsstrategier är de mest effektiva lösningarna integrerade, automatiserade och lätta att använda och hantera. Något som försvårar utmaningen är det faktum att alla skrivarmärken har sin egen programvara och egna operativsystem. Många IT-proffs kanske inte har tillräcklig kunskap för att konfigurera skrivarprogramvaran så att den uppfyller deras säkerhetspolicyer. problematisk uppfattning 6

7 Befintliga rutiner IT-proffs närmar sig skrivarsäkerhet på flera olika sätt och skapar en anpassad blandning av säkerhetsrutiner och -funktioner utifrån de verktyg de har till hands och deras förståelse av de verktygen. I generella drag kan befintliga strategier för skrivarsäkerhet delas in i sex kategorier. Antalet svarande som för tillfället har följande säkerhetsrutiner för skrivare på plats 42 % Dokumentsäkerhet 31 % Enhetssäkerhet 40 % Nätverkssäkerhet 30 % Säkerhetsövervakning 39 % Åtkomstkontroll 28 % Dataskydd Forskningen visar att IT-proffs vidtar flera grundläggande säkerhetsåtgärder inom de kategorierna, men olyckligtvis i mycket låg utsträckning. 25 % 25 % 25 % 24 % 21 % Stängning av oanvända portar Aktivering av funktionen "skickat från" Säkring av tillgång för skrivarreparation Implementering av sk. pull printing Rutinmässig radering av hårddiskar i skrivare

8 Ännu färre IT-proffs tar bort eller rensar utskrifter på regelbunden basis, kräver administratörsåtkomst för att ändra konfigurationen eller automatiserar certifikathantering. Något som IT-proffs gör är att övervaka skrivarsäkerheten oftare än andra aktiviteter, men frekvensen är fortfarande låg. Endast 39 procent av IT-proffsen säger att de rutinmässigt granskar skrivarloggar. EMEA ligger lite över snittet med 43 procent, medan Nordamerika har den lägsta siffran, 31 procent. När det gäller att ansluta skrivare till SIEM-verktyg är det i genomsnitt endast 13 procent som säger sig göra det. Om skrivarloggar inte övervakas och skrivare inte integreras med SIEM saknar IT-proffsen insikter, och blir inte medvetna om eventuella cyberbrottslingar som använder oövervakad infrastruktur för att gömma sig i nätverket och stjäla data. Skrivarövervakning 39 % 31 % 43 % 43 % 13 % 9 % 13 % 17 % Gå igenom händelseloggar för skrivarsäkerheten Ansluta till SIEM-verktyg Totalt Nordamerika EMEA APAC befintliga rutiner 8

9 Forskningen visar andra geografiska skillnader inom specifika skrivarsäkerhetsområden, där Nordamerika återigen ligger efter. Särskilt syns skillnader inom åtkomstkontroll och kryptering. Jämfört med Nordamerika och i viss mån EMEA är det betydligt mer sannolikt att IT-proffs inom APAC krypterar data som överförs, begär autentisering vid enheten och distribuerar åtkomstkontroller baserade på användarens roll. Driftsatta skrivarsäkerhetsrutiner Användarautentisering 42 % 54 % 59 % 61 % Kryptera data när de skickas 34 % 42 % 44 % 49 % Rollbaserad åtkomstkontroll 27 % 40 % 46 % 46 % Totalt Nordamerika EMEA APAC befintliga rutiner 9

10 Och slutligen, när det gäller att uppfylla efterlevnad av regler om datasekretess förlitar sig IT-proffs återigen på flera olika strategier. Vissa skrivarkontroller ingår i den övergripande strategin för IT-efterlevnad. I Spiceworks-undersökningen blev IT-proffs tillfrågade om vilka efterlevnadskontroller de har implementerat, baserat på Center for Internet Securitys "CIS Controls V7". 5 Efterlevnadskontroller som används Uppdateringar av hårdvara/ programvara Fysisk säkerhet Intrångsskydd Granskningsanalys och rapportering Sårbarhetsutvärderingar Kontroller av systemintegritet Dokumentsäkerhetsrutiner Motåtgärder för skadliga attacker Svaren visar att IT-proffs ofta missar de mest grundläggande försiktighetsåtgärderna för skrivarsäkerhet, som att uppdatera den inbyggda programvaran, vilket endast omkring en tredjedel rutinmässigt gör som en del av sina efterlevnadsaktiviteter. Annan forskning inom branschen bekräftar detsamma. Enligt IDC uppgraderas skrivares inbyggda programvara vanligtvis inte, eftersom organisationer ofta underskattar risken.4 De ansvariga kanske heller inte har tid att granska, testa och godkänna ny inbyggd programvara för skrivare i hela parken. befintliga rutiner 10

11 För en omfattande skrivarsäkerhet Av de 84 procent av IT-proffs som uppger att det har en säkerhetspolicy är det endast 64 procent som säger att utskrifter omfattas av policyn. I Nordamerika är det endast 52 procent. Det är en av anledningarna till varför det är så viktigt att ta fram integrerade och automatiserade säkerhetskontroller för skrivare och att faktiskt implementera dem. Skrivare med inbyggda säkerhetsfunktioner bidrar till att minimera risker medan IT-investeringen maximeras. IDC-analytiker har kommit till samma slutsats: "Det är mycket svårare att skydda skrivare när de väl har levererats, vilket understryker hur viktigt det är att välja skrivare som redan har bra grundläggande och avancerade säkerhetsfunktioner." 4 Gartner säger: "För att dra nytta av ny dynamik på skrivarmarknaden måste de som planerar teknikstrategier skapa en heltäckande lösning för skrivarsäkerhet genom att använda lager som överträffar säkerhetsbranschens bästa praxis. De lösningarna behöver sedan integreras med det större ekosystemet för säkerhetslösningar." 6 Leverantörer av utskrift som tjänst utökar sina tjänster för att betjäna ITavdelningar som inte själva har kunskaperna för att hantera skrivarsäkerhet. IDC förklarar: "Leverantörer erbjuder ett större utbud av säkerhetstjänster på enhets- och datanivå, varav flera är utformade för att integreras med befintliga dokumenthanterings- och företagsinnehållshanteringssystem (ECM) för att ge ytterligare skydd och lösa problem angående styrning och efterlevnad av regler." 7 Lyckligtvis för IT-proffs erbjuder dagens avancerade skrivare dussintals inbyggda säkerhetsfunktioner, som hotupptäckt, skydd, avisering och självläkning, vilket gör det enklare än någonsin att skärpa skyddet för en av de mest sårbara enheterna i nätverket den enkla skrivaren. Det är dags att stärka skrivarnas säkerhet. Läs mer för omfattande skrivarsäkerhet 11

12 Om undersökningen HP anlitade Spiceworks för att utföra en undersökning i maj Undersökningen riktades till IT-beslutsfattare, inklusive IT-direktörer, IT-chefer och annan IT-personal, i syfte att få information om befintliga rutiner för skrivarsäkerhet samt att identifiera riskområden. Undersökningens resultat omfattar svar från omkring 500 deltagare i Nordamerika, EMEA och APAC som arbetar inom organisationer med minst 250 anställda. Källor 1 McLean, Asha. "Unsecured printers a security weak point for many organisations: HP", ZDNet, 18 april Pickhardt, Kevin. "Why Your Innocent Office Printer May Be a Target For Hackers", Entrepreneur, 31 januari Peyser, Eve. "Hacker Claims He Hacked 150,000 Printers to Raise Awareness About Hacking", Gizmodo, 6 februari Brown, Duncan, med flera. "IDC Government Procurement Device Security Index 2018", IDC, maj "CIS Controls", Center for Internet Security, mars Von Manowski, Kristin Merry och Kish, Deborah. "Market Insight: IoT Security Gaps Highlight Emerging Print Market Opportunities", Gartner, 31 oktober Palmer, Robert och Correia, Allison. IDC MarketScape: Worldwide Security Solutions and Services Hardcopy 2017 Vendor Assessment, IDC, 2017.