3 poziomy bezpieczeństwa floty drukującej

Autor | Bezpieczeństwo

zabezpieczenia floty drukującej

Zabezpieczenia floty drukującej powinny być traktowane priorytetowo. Wyobraźmy sobie przez chwilę, że nie chodzi nam o bezpieczeństwo drukarki, tylko firmowego laptopa. Jak postępujemy? Po pierwsze nie pozostawiamy go bez nadzoru. Po drugie: stosujemy systemy antywirusowe, hasła, uwierzytelnienia użytkownika, które uniemożliwią dostęp niepowołanym osobom. Robimy okresowe backupy ważnych dokumentów i danych. Szyfrujemy HDD, instalujemy aplikacje pozwalające – w przypadku kradzieży lub zgubienia – śledzić położenie sprzętu i/lub wymazać szczególnie cenne dane. Dokładnie tak samo powinniśmy postępować z urządzeniami drukującymi.

O ile nie jesteśmy w stanie wyobrazić sobie nawet średniej klasy auta bez alarmu czy blokady zapłonu, to w przypadku drukarki często rezygnujemy z wykorzystania oferowanych przez urządzenie zabezpieczeń. Tak przynajmniej było jeszcze do niedawna.

3 szczeble do ideału

Sytuacja zaczęła zmieniać się dynamicznie przed kilkoma laty, gdy doszło do wielu spektakularnych ataków (więcej przeczytasz TUTAJ), które hakerzy przypuścili na sprzęt drukujący lub skorzystali z jego słabej ochrony, by włamać się do sieci firmowych.

Po początkowej panice, producenci sprzętu pozbierali się i zaczęli mocniej podkreślać atuty swoich wyrobów na polu bezpieczeństwa. A są one warte uwagi. MFP-y klasy biznesowej posiadają liczne zabezpieczenia, które w wielu wypadkach, w połączeniu z dobrze skonstruowanym systemem ochrony sieci, zabezpieczają nas przed większością ataków hakerskich.

Idealny system zabezpieczeń sprzętu drukującego powinien spełniać trzy warunki, czyli składać się z trzech modułów: kontroli dostępu, kontroli poprawności oprogramowania sprzętowego w momencie uruchamiania oraz narzędzi do skutecznej obrony przed atakami w trakcie pracy urządzenia.

Kontrola dostępu

Rozwiązania systemowe

Pierwszy warunek spełnia większość systemów zabezpieczeń biznesowego sprzętu drukującego. Analizując zabezpieczenia czołowych producentów na rynku, łatwo zauważymy, że – pomimo wielkiej różnorodności nazw i konkretnych rozwiązań (idealnie nadają się do tego celu systemowe rozwiązania w rodzaju SafeQ czy OptimiDoc) – realizują one trzy podstawowe cele:

  • zabezpieczenie przed nieautoryzowanym dostępem do urządzenia, czyli wszelkiego rodzaju autoryzacje: za pomocą pinu, haseł, kart czy odczytu linii papilarnych,
  • zabezpieczenie przed dostępem dokumentów, zarówno czekających w kolejce na wydruk (jest on możliwy do wykonania dopiero po autoryzacji, więc wydrukowane dokumenty nie trafią przypadkiem w niepowołane ręce), jak też tych, które gromadzone są na dysku wewnętrznym urządzenia (najczęściej stosowane zabezpieczenia, to szyfrowanie i kasowanie – po upływie wyznaczonego czasu lub natychmiast po wykonaniu kopii/wydruku),
  • zabezpieczenie przed zainstalowaniem złośliwego oprogramowania lub zmianą parametrów urządzenia – tu niezwykle ważne są: autoryzacja dostępu do urządzenia i spersonalizowane interfejsy (użytkownik ma dostęp tylko do ściśle określonych funkcji urządzenia).

Fizyczna kontrola

Warto też pamiętać, że bardzo skuteczna jest fizyczna kontrola dostępu, np. zamknięcie MFP-a w osobnym pomieszczeniu i rozdanie kluczy/kart dostępu tylko wybranym osobom. Kłopot w tym, że sprzęt drukujący, działający w sieci, musi spełnić dwa, pozornie wykluczające się warunki: być łatwo dostępny, a jednocześnie chroniony przed dostępem nieuprawnionych osób. Powinien stać w miejscu łatwo dostępnym dla wszystkich potencjalnych użytkowników, a jednocześnie być odporny na ingerencję niepowołanych osób. Można to uzyskać tylko na poziomie kontroli dostępu oraz automonitoringu i autonaprawy urządzenia.

Choć wydaje się to oczywiste, to warto upewnić się, czy  działające w sieci urządzenia nie korzystają z default passwords, czyli domyślnych haseł dostępu do ustawień administratora. Ich pozostawienie bez zmian, otwiera pole do popisu nawet niewprawnemu włamywaczowi. Czasem wystarczy w polach user i admin wpisać dwukrotnie „admin” lub „admin” i „1234”, by uzyskać dostęp do funkcji przeznaczonych wyłącznie dla administratora. Ewentualne konsekwencje takiej niefrasobliwości nie wymagają komentarza.

Bezpieczny rozruch

Uruchamianie urządzenia to moment, w którym może dojść do uaktywnienia zainstalowanego w nim złośliwego oprogramowania lub zmodyfikowanych szkodliwie ustawień. Dlatego tak ważne jest, by urządzenie drukujące w momencie startu automatycznie „prześwietliło” swój BIOS i firmware (oprogramowanie sprzętowe, zapewniające działanie urządzenia). W przypadku wykrycia jakiejkolwiek nieprawidłowości, powinno przerwać proces i uruchomić się ponownie z użyciem bezpiecznej kopii wzorcowej systemu BIOS.

Wirusy atakujące BIOS są na szczęście dość rzadkie, ale jednak istnieją. Wystarczy wspomnieć spektakularna „karierę” CIH zwanego Czernobylem.

Które drukarki potrafią ochronić się w ten sposób? Możemy się mylić, ale w chwili pisania tego tekstu chyba tylko sprzęt HP posiada takie możliwości. Podobnie zresztą ma się sytuacja z ochroną w trakcie pracy.

Ochrona przed atakiem w czasie pracy

HP nie tylko wyciągnęło wnioski z ataków hakerskich na sprzęt drukujący, ale postanowiło pójść za ciosem.

„Drukarki HP mogą powstrzymać atak w chwili, gdy się zaczyna, a modele HP Enterprise dzięki unikatowym zabezpieczeniom mogą skorzystać z funkcji samonaprawiania” – czytamy na stronie HP, poświęconej zabezpieczeniom druku.

Potrzebujesz pomocy w zakresie IT i multimediów? Skorzystaj z pomocy naszych specjalistów i skontaktuj się z naszym informatykiem.

Radosław Wojtaniec – informatyk@kserkop.pl

Poza kontrolą BIOS i tzw. białą listą (opisany wyżej mechanizm sprawdzania oprogramowania sprzętowego w momencie uruchamiania urządzenia), sprzęt HP oferuje „kontrolę na bieżąco”, czyli monitoring w czasie pracy urządzenia i reakcję w czasie rzeczywistym na wszelkie nieprawidłowości. W przypadku ataku wymuszone zostaje ponowne uruchomienie urządzenia, włączają się funkcje kontrolne, a zespół IT zostaje automatycznie powiadomiony o sytuacji.

W ten sposób urządzenia drukujące, z pozycji „dziury” w systemie zabezpieczeń, awansowały do roli tarczy ochronnej.

Statystyka, marketing, zdrowy rozsądek

Czytając o możliwych negatywnych konsekwencjach braku lub niedostatecznych zabezpieczeń urządzeń drukujących, pamiętajmy o statystyce, marketingu i zdrowym rozsądku:

  1. statystyka: włamania, choć częste i groźne w skutkach, nie zdarzają się codziennie, a na pewno nie każda firma jest codziennie celem hakerów
  2. marketing: twórcy systemów zabezpieczeń i media często wyolbrzymiają zagrożenia, bo obawa przed włamaniem to doskonały sposób napędzania sprzedaży i podnoszenia wskaźników oglądalności (czytelnictwa)
  3. zdrowy rozsądek: jeżeli wykorzystamy choćby tylko podstawowe, oferowane standardowo przez producentów urządzeń drukujących zabezpieczenia, pozwolą nam one uniknąć większości typowych zagrożeń.

Ostatnio zmodyfikowane: 7 marca 2018