Skrivarsäkerhet: En brådskande IT-utmaning. Forskning visar att "Den enkla skrivaren" fortfarande är en blind fläck inom IT-säkerhet

Relevanta dokument
HP Pull Print-lösningar

STYRKAN I ENKELHETEN. Business Suite

SÄKERHETSLÖSNINGAR KOPIATORER/SKRIVARE/MULTIFUNKTIONSSYSTEM BEPRÖVADE LÖSNINGAR FÖR ÖKAD NÄTVERKSSÄKERHET SHARP DOCUMENT SOLUTIONS

presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Säkra trådlösa nät - praktiska råd och erfarenheter

IT-prognos: Hur ni säkrar mobilitet och produktivitet för er arbetsstyrka

Rapport om IT-infrastruktur och säkerhet inom offentlig sektor

Trender inom Nätverkssäkerhet

Redo? Eller inte? Balansera framtida möjligheter med framtida risker. En global utvärdering av attityder och synpunkter på IT-säkerhet

Faktablad om informationssäkerhet. Nätverkssäkerhet. Skydd av nätverksansluten kontorsutrustning.

IT-säkerhet Externt och internt intrångstest

Informationssäkerhet

I D C M A R K E T S P O T L I G H T

Hitta rätt bland alla lösningar för mobila utskrifter

Ciscos problemlösarguide. Utnyttja IT fullt ut tio viktiga råd om säkerhet för ditt företag

En IT-säkerhetslösning för hela verksamheten PROTECTION SERVICE FOR BUSINESS

Sharps Säkerhetslösningar. Effektivt skydd av din information. Säkerhetslösningar

WHAT IF. December 2013

Hur gör man ett trådlöst nätverk säkert?

Säker hantering av mobila enheter och portabla lagringsmedia

Din guide till en säkrare kommunikation

Skydda företagets information. Symantecs lösningar för mindre företag

HUR MAN LYCKAS MED BYOD

Bilaga 10 Riktlinjer informationssäkerhet Dnr: /2015 Förfrågningsunderlag

Designregel Härdning av IT-system, utgåva 1.0

Enklare hantering, minskade driftkostnader får fler företag att införa programvarudefinierad lagring

IT-säkerhet Externt intrångstest Mjölby kommun April 2016

TECH-RAPPORT BORTOM DATASÄKERHET BORTOM DATASÄKERHET

Håbo kommuns förtroendevalda revisorer

SÄKERHET. Konica Minoltas branschledande säkerhetsstandarder SÄKERHET

Administratör IT-system Kursplan

Granskning av säkerheten i mobila enheter. Internrevisionsrapport

Instruktion: Trådlöst nätverk för privata enheter

TIO SÄTT för cyberbrottslingar att utnyttja IT-avdelningars svagheter

Dataskyddshandbok för mindre- och medelstora företag

KRAFTFULLA, SKALBARA SÅRBAR- HETSANALYSER. F-Secure Radar

Modernt arbete kräver moderna verktyg

Faktablad om informationssäkerhet. Utskriftssäkerhet. Skydda utskrifter och filer.

Anmälda personuppgiftsincidenter 2018

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Guide för anslutning. Windows-anvisningar för en lokalt ansluten skrivare. Innan du installerar skrivarprogramvara för Windows

Lumia med Windows Phone

Lösningar för klienthantering och mobila utskrifter

Cybersäkerhet. Kunskapsdagen 17 november 2015

SÄKRA DIN AFFÄR VART DEN ÄN TAR DIG. Protection Service for Business

Affärsnyttan med skrivarsäkerhet

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Symantec Endpoint Protection Small Business Edition 2013

Instruktion: Trådlöst nätverk för privata

PRODUKTERNA SOM TAR ÖVER. Europeisk undersökning om den mobila arbetsstyrkans preferenser

PRODUKTERNA SOM TAR ÖVER. Europeisk undersökning om den mobila arbetsstyrkans preferenser

Toshiba EasyGuard i praktiken:

Vad är molnet? Vad är NAV i molnet? Vem passar NAV i molnet för? Fördelar med NAV i molnet Kom igång snabbt...

RSA Authentication. Översikt av produkten

F6 Exchange EC Utbildning AB

Administrativa utskriftslösningar Administrativa utskriftslösningar

Toshiba EasyGuard i praktiken: tecra a5

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Grattis till ett bra köp!

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.

SÄKERHETSLÄGET. för svenska små och medelstora företag 8 december, Check Point Software Technologies Ltd.

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Holm Security VMP. Nästa generations plattform för sårbarhetsanalyser

Om du misstänker att värdens privata nyckel har manipulerats kan du skapa en ny genom att utföra följande steg:

TMP Consulting - tjänster för företag

ASBRA - Dataskyddspolicy

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Utvärdering Kravspecifikation

Cyber security Intrångsgranskning. Danderyds kommun

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Tekniska lösningar som stödjer GDPR

KASPERSKY SKYDD MOT SABOTAGEPROGRAMVARA BE READY FOR WHAT S NEXT! Kaspersky Open Space Security

EBITS Totalförsvarets Forskningsinstitut David Lindahl Erik Westring

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Incidenthantering ur ledningskontra teknisktperspektiv. Stefan Öhlund & André Rickardsson

IT-säkerhet Externt och internt intrångstest

Granskning av IT-säkerhet - svar

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Sammanfattning av undersökning: Hållbarhetsstrategier för mobila enheter ger avsevärda besparingar för företag.

It-hälsa inom företag och offentlig sektor

Lösningar för klienthantering och mobila utskrifter

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Sharps Säkerhetslösningar. Effektivt skydd av din information. Säkerhetslösningar

DIG IN TO Nätverkssäkerhet

Informationssäkerhet och medicintekniska produkter eller Information security with respect to safety considerations

GDPR. General Data Protection Regulation

SÅ HÄR GÖR VI I NACKA

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Om installationsskärmen inte visas efter en minut startar du CD-skivan manuellt:

Innehåll. McAfee Internet Security 3

SVENSKARNA OCH IOT INTERNET OF THINGS HISS ELLER DISS FRÅN SVENSKARNA?

Victoria Behandlingscenter AB Integritetspolicy

GDPR OCH OUTSOURCING - VEM BÄR ANSVARET?

Ett steg längre inom Print och IT

Granskning av räddningstjänstens ITverksamhet

Bengt Sebring OKTOBER 2000 Ordförande GRANSKNINGSRAPPORT 3 Sida: 1

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Enkel Säkerhetspolicy för Mobila enheter

Transkript:

Skrivarsäkerhet: En brådskande IT-utmaning Forskning visar att "Den enkla skrivaren" fortfarande är en blind fläck inom IT-säkerhet

Innehållsförteckning Inledning.... 3 Riskerna för företagen.... 4 Problematisk uppfattning.... 5 Befintliga rutiner.... 7 För en omfattande skrivarsäkerhet....11 Om undersökningen.... 12

Inledning Hoten mot IT-säkerheten ökar, men det görs inte alltid ansträngningar inom hårdvarusäkerhet för att hålla jämna steg. Detta syns kanske tydligast bland skrivare. IT-proffs blir allt mer medvetna om hur farliga oskyddade skrivare är för nätverken, men skrivare befinner sig ändå ofta inom en blind fläck för säkerheten. Merparten av dem är oskyddade. "Sårbarheter utnyttjas hos alla sorters nätverksanslutna enheter, inklusive enkla nätverksskrivare", säger Ben Vivoda, chef för skrivarsystem hos HP South Pacific. "Vi ser ofta att skrivarna lämnas utanför eller förbises, och därmed förblir sårbara. Företag har inte längre råd att ignorera skrivare när det gäller deras övergripande strategi för IT-cybersäkerhet." 1 Enligt en färsk undersökning från Spiceworks är skrivare faktiskt källan till ett allt större antal säkerhetshot. I dag är det 68 procents större sannolikhet att en skrivare är källan till ett externt hot eller intrång jämfört med 2016. Sannolikheten att skrivaren är källan till ett internt hot eller säkerhetsbrott är 118 procent större. Trots det är det endast 30 procent av alla IT-proffs som inser att skrivare utgör en säkerhetsrisk. Den siffran har ungefär fördubblats sedan 2016, men den är fortfarande relativt låg och visar upp en farlig verklighet. Många IT-proffs verkar hålla fast vid en föråldrar syn på skrivarsäkerhet. Eventuellt tror de fortfarande att skrivare är säkra inom nätverkets gränser. Även för de IT-proffs som inser risken är den främsta prioriteten ofta att säkra uppsjön av slutanvändarenheter, vilket gör att skrivare lämnas öppna och nätverken blir sårbara. 2 Det är förståeligt att skrivare har prioriterats lägre än andra enheter i fråga om säkerhet tidigare, men det är nu av stor vikt att ITorganisationer börjar åtgärda de risker som osäkra skrivare innebär för den bredare IT-infrastrukturen och företaget överlag. inledning 3

Riskerna för företagen Är skrivare verkligen ett problem? Kort sagt: ja. I en era då nya säkerhetshot dyker upp varje timme kan en skrivare bli en enkel måltavla. "Moderna skrivare är i princip avancerade, specialiserade nätverksvärdar, och som sådana bör de ges samma nivå av säkerhet som traditionella skrivare", säger Kevin Pickhardt i tidskriften Entrepreneur. 2 "Kontorsskrivare är inte bara potentiella källor till dataförlust och sekretessproblem, utan även attackpunkter som hackare kan utnyttja." Ett exempel: Förra året uppges en hackare ha använt ett automatiskt skript för att få åtkomst till 150 000 offentligt tillgängliga skrivare, inklusive ett stort antal kvittoskrivare, och sedan instruerat dem att skriva ut ett eget varningsdokument. 3 Branschens analytiker håller med. IDC säger: "De flesta skrivare har bred åtkomst till ett internt nätverk. En angripare som tar sig in i en skrivare kan få obegränsad åtkomst till en organisations nätverk, program och datatillgångar." 4 Hur ser en nätverksskrivare med för lite skydd ut? Den har inte ett skärpt skydd och är därför helt öppen för många olika nätverksprotokoll. Den använder inte åtkomstkontroller (även att ställa in ett administratörslösenord förbises ofta). Den tillåter att känsliga dokument skrivs ut utan autentisering, och dokumenten kan bli liggande i utmatningsfacket hela dagen. Den skickar okrypterade data över nätverket. Den kör föråldrad inbyggd programvara, eller övervakas inte för säkerhetshot. De här säkerhetsbristerna får följder. Gartner förutspår att år 2020 kommer fler än hälften av alla sakernas internet (IoT)-projekt att blotta känslig information på grund av att hårdvarusäkerhetsfunktioner inte används. Detta är en ökning från mindre än 5 procent i nuläget. 4 riskerna för företagen 4

Problematisk uppfattning Trots forskningen är det dock många IT-proffs som ligger efter med att inse vilka risker skrivare innebär. I Nordamerika är det inte ens en fjärdedel (22 procent) av alla IT-proffs som ser skrivare som en säkerhetsrisk, och i Europa, Mellanöstern och Afrika (EMEA) är den siffran knappt mer än en tredjedel (35 procent). Upplevd nivå av säkerhetsrisk Skrivare 22 % 30 % 35 % 33 % Stationära datorer/ Bärbara datorer 71 % 71 % 75 % 68 % Mobila enheter 67 % 68 % 69 % 64 % Totalt Nordamerika EMEA APAC Det kan jämföras med att IT-proffs bedömde hotet som bärbara och stationära datorer utgör vara 71 procent medan hotet från mobila enheter bedömdes som 67 procent. problematisk uppfattning 5

Forskningen från Spiceworks visar också att de IT-proffs som har vidtagit förebyggande åtgärder har skilda strategier. Och det är fullt förståeligt, med tanke på de breda säkerhetskraven. Ingen enstaka lösning räcker. Endast en brandvägg är till exempel inte tillräckligt. Säkerheten för skrivare, precis som för alla nätverksenheter, måste hanteras från flera olika infallsvinklar. Och i likhet med andra säkerhetsstrategier är de mest effektiva lösningarna integrerade, automatiserade och lätta att använda och hantera. Något som försvårar utmaningen är det faktum att alla skrivarmärken har sin egen programvara och egna operativsystem. Många IT-proffs kanske inte har tillräcklig kunskap för att konfigurera skrivarprogramvaran så att den uppfyller deras säkerhetspolicyer. problematisk uppfattning 6

Befintliga rutiner IT-proffs närmar sig skrivarsäkerhet på flera olika sätt och skapar en anpassad blandning av säkerhetsrutiner och -funktioner utifrån de verktyg de har till hands och deras förståelse av de verktygen. I generella drag kan befintliga strategier för skrivarsäkerhet delas in i sex kategorier. Antalet svarande som för tillfället har följande säkerhetsrutiner för skrivare på plats 42 % Dokumentsäkerhet 31 % Enhetssäkerhet 40 % Nätverkssäkerhet 30 % Säkerhetsövervakning 39 % Åtkomstkontroll 28 % Dataskydd Forskningen visar att IT-proffs vidtar flera grundläggande säkerhetsåtgärder inom de kategorierna, men olyckligtvis i mycket låg utsträckning. 25 % 25 % 25 % 24 % 21 % Stängning av oanvända portar Aktivering av funktionen "skickat från" Säkring av tillgång för skrivarreparation Implementering av sk. pull printing Rutinmässig radering av hårddiskar i skrivare

Ännu färre IT-proffs tar bort eller rensar utskrifter på regelbunden basis, kräver administratörsåtkomst för att ändra konfigurationen eller automatiserar certifikathantering. Något som IT-proffs gör är att övervaka skrivarsäkerheten oftare än andra aktiviteter, men frekvensen är fortfarande låg. Endast 39 procent av IT-proffsen säger att de rutinmässigt granskar skrivarloggar. EMEA ligger lite över snittet med 43 procent, medan Nordamerika har den lägsta siffran, 31 procent. När det gäller att ansluta skrivare till SIEM-verktyg är det i genomsnitt endast 13 procent som säger sig göra det. Om skrivarloggar inte övervakas och skrivare inte integreras med SIEM saknar IT-proffsen insikter, och blir inte medvetna om eventuella cyberbrottslingar som använder oövervakad infrastruktur för att gömma sig i nätverket och stjäla data. Skrivarövervakning 39 % 31 % 43 % 43 % 13 % 9 % 13 % 17 % Gå igenom händelseloggar för skrivarsäkerheten Ansluta till SIEM-verktyg Totalt Nordamerika EMEA APAC befintliga rutiner 8

Forskningen visar andra geografiska skillnader inom specifika skrivarsäkerhetsområden, där Nordamerika återigen ligger efter. Särskilt syns skillnader inom åtkomstkontroll och kryptering. Jämfört med Nordamerika och i viss mån EMEA är det betydligt mer sannolikt att IT-proffs inom APAC krypterar data som överförs, begär autentisering vid enheten och distribuerar åtkomstkontroller baserade på användarens roll. Driftsatta skrivarsäkerhetsrutiner Användarautentisering 42 % 54 % 59 % 61 % Kryptera data när de skickas 34 % 42 % 44 % 49 % Rollbaserad åtkomstkontroll 27 % 40 % 46 % 46 % Totalt Nordamerika EMEA APAC befintliga rutiner 9

Och slutligen, när det gäller att uppfylla efterlevnad av regler om datasekretess förlitar sig IT-proffs återigen på flera olika strategier. Vissa skrivarkontroller ingår i den övergripande strategin för IT-efterlevnad. I Spiceworks-undersökningen blev IT-proffs tillfrågade om vilka efterlevnadskontroller de har implementerat, baserat på Center for Internet Securitys "CIS Controls V7". 5 Efterlevnadskontroller som används Uppdateringar av hårdvara/ programvara Fysisk säkerhet Intrångsskydd Granskningsanalys och rapportering Sårbarhetsutvärderingar Kontroller av systemintegritet Dokumentsäkerhetsrutiner Motåtgärder för skadliga attacker Svaren visar att IT-proffs ofta missar de mest grundläggande försiktighetsåtgärderna för skrivarsäkerhet, som att uppdatera den inbyggda programvaran, vilket endast omkring en tredjedel rutinmässigt gör som en del av sina efterlevnadsaktiviteter. Annan forskning inom branschen bekräftar detsamma. Enligt IDC uppgraderas skrivares inbyggda programvara vanligtvis inte, eftersom organisationer ofta underskattar risken.4 De ansvariga kanske heller inte har tid att granska, testa och godkänna ny inbyggd programvara för skrivare i hela parken. befintliga rutiner 10

För en omfattande skrivarsäkerhet Av de 84 procent av IT-proffs som uppger att det har en säkerhetspolicy är det endast 64 procent som säger att utskrifter omfattas av policyn. I Nordamerika är det endast 52 procent. Det är en av anledningarna till varför det är så viktigt att ta fram integrerade och automatiserade säkerhetskontroller för skrivare och att faktiskt implementera dem. Skrivare med inbyggda säkerhetsfunktioner bidrar till att minimera risker medan IT-investeringen maximeras. IDC-analytiker har kommit till samma slutsats: "Det är mycket svårare att skydda skrivare när de väl har levererats, vilket understryker hur viktigt det är att välja skrivare som redan har bra grundläggande och avancerade säkerhetsfunktioner." 4 Gartner säger: "För att dra nytta av ny dynamik på skrivarmarknaden måste de som planerar teknikstrategier skapa en heltäckande lösning för skrivarsäkerhet genom att använda lager som överträffar säkerhetsbranschens bästa praxis. De lösningarna behöver sedan integreras med det större ekosystemet för säkerhetslösningar." 6 Leverantörer av utskrift som tjänst utökar sina tjänster för att betjäna ITavdelningar som inte själva har kunskaperna för att hantera skrivarsäkerhet. IDC förklarar: "Leverantörer erbjuder ett större utbud av säkerhetstjänster på enhets- och datanivå, varav flera är utformade för att integreras med befintliga dokumenthanterings- och företagsinnehållshanteringssystem (ECM) för att ge ytterligare skydd och lösa problem angående styrning och efterlevnad av regler." 7 Lyckligtvis för IT-proffs erbjuder dagens avancerade skrivare dussintals inbyggda säkerhetsfunktioner, som hotupptäckt, skydd, avisering och självläkning, vilket gör det enklare än någonsin att skärpa skyddet för en av de mest sårbara enheterna i nätverket den enkla skrivaren. Det är dags att stärka skrivarnas säkerhet. Läs mer för omfattande skrivarsäkerhet 11

Om undersökningen HP anlitade Spiceworks för att utföra en undersökning i maj 2018. Undersökningen riktades till IT-beslutsfattare, inklusive IT-direktörer, IT-chefer och annan IT-personal, i syfte att få information om befintliga rutiner för skrivarsäkerhet samt att identifiera riskområden. Undersökningens resultat omfattar svar från omkring 500 deltagare i Nordamerika, EMEA och APAC som arbetar inom organisationer med minst 250 anställda. Källor 1 McLean, Asha. "Unsecured printers a security weak point for many organisations: HP", ZDNet, 18 april 2017. https://www.zdnet.com/article/unsecured-printers-a-security-weak-point-for-many-organisations-hp/ 2 Pickhardt, Kevin. "Why Your Innocent Office Printer May Be a Target For Hackers", Entrepreneur, 31 januari 2018. https://www.entrepreneur.com/article/308273 3 Peyser, Eve. "Hacker Claims He Hacked 150,000 Printers to Raise Awareness About Hacking", Gizmodo, 6 februari 2017. https://gizmodo.com/hacker-claims-he-hacked-150-000-printers-to-raise-aware-1792067012 4 Brown, Duncan, med flera. "IDC Government Procurement Device Security Index 2018", IDC, maj 2018. 5 "CIS Controls", Center for Internet Security, mars 2018. https://www.cisecurity.org/controls/ 6 Von Manowski, Kristin Merry och Kish, Deborah. "Market Insight: IoT Security Gaps Highlight Emerging Print Market Opportunities", Gartner, 31 oktober 2017 https://www.gartner.com/doc/reprints?id=1-4ockfkg&ct=180110&st=sb 7 Palmer, Robert och Correia, Allison. IDC MarketScape: Worldwide Security Solutions and Services Hardcopy 2017 Vendor Assessment, IDC, 2017.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss