Omrežne naprave so potencialne varnostne luknje

Tiskalniki in večopravilne naprave so danes praviloma vključeni v omrežja in jih poganja napreden operacijski sistem. Tako kot osebni računalniki so opremljeni s trdimi diski ali SSD, na katerih lahko uporabnik hrani občutljive podatke. Zato so izpostavljeni števil­nim naprednim grožnjam, kot so nepooblaščen dostop do naprav prek omrežja, spreminjanje informacij med pretokom po omrežju ali uhajanje podatkov z diskov naprav.

Pa vendar so v mnogih organizacijah ostale varnostne črne pege, saj se strokovnjaki za IKT v borbi z grožnjami zlonamerne programske opreme in vdori hekerjev osredotočajo predvsem na izzive zaščite osrednje infrastrukture, kot so strežniki, delovne postaje in baze podatkov. Zanemarjanje tiskalniških naprav pomeni precejšnje tveganje. Organizacije mora­jo brez odlašanja sprejeti ukrepe in vključiti večopravilne naprave v svoje strategije varovanja podatkov, sploh ker uredbe, kot je GDPR, prinašajo finančne in pravne posledice, ki so lahko uničujoče za podjetje.

Več ravni zaščite

Japonski proizvajalec Kyocera je pripravil vrsto praktičnih napotkov za IT-strokovnjake, kako izkoristiti vgrajene varnostne funkcije večopravilnih naprav in sprejeti dodatne, izboljšane ukrepe za zaščito podatkov. Cilj informatikov mora biti, da v največji možni meri otežijo ali onemogočijo tako neavtoriziran vstop v omrežje organizacije prek večopravilnih naprav kot izvajanje kriminalnih aktivnosti v primeru nepooblaščenega vstopa, če do njega vendarle pride.

Tiskalniške naprave so opremljene z naprednim operacijskim sistemom, ki že predvideva vrsto možnosti za zaščito. Kyocera vsem uporabnikom priporoča, da osnovne ukrepe, ki so najpreprostejši in jih je mogoče hitro uvesti, izpeljejo čim prej in jih tudi dejavno upoštevajo. Dodatni ukrepi pa naj bodo uvedeni poleg osnovnih in ne namesto njih.

Za osnovno raven zaščite so na voljo ukrepi, ki uporabljajo standardne lastnosti in funkcionalnosti naprav ter so že vgrajeni v sistem. Priporočila zajemajo:

• Spremenite privzeto skrbniško geslo.
• Uporabite metodo avtentikacije.
• Izklopite protokole, ki niso potrebni/zaklenite neuporabljena komunikacijska vrata.
• Uporabljajte varne komunikacijske protokole.
• Zaklepajte nadzorno ploščo.
• Onemogočite funkcije USB-vrat in dodatnih vmesnikov.
• Uvedite omejitve E-pošte/skeniranja/pošiljanja.

Marsikateri nasvet, ki ga na osnovni ravni priporoča Kyocera, se zdi samoumeven, čeprav v praksi ugotavljamo, da v veliko primerih ni tako. Naprave so tovarniško opremljene s privzetim geslom. Zelo priporočljivo je, da ga spremenite in izberete primerno močno geslo, ki je skladno z varnostno politiko podjetja. Prav tako svetujejo, da ne uporabljate enakega gesla ali uporabniškega imena, ki ga uporabljate za prijavo v svoj osebni računalnik. S funkcijo delnega zaklepanja nadzorne plošče lahko onemogočite posamezne funkcije, kar lahko tudi znatno pripomore k zmanjšanju stroškov izpisov.

Kodiranje podatkov in omejitve dostopa

Večina naprav podpira različne profile uporabnikov – najpogosteje dva ali tri: skrbnik naprave, skrbnik v podjetju in uporabnik. Stopnje zaščite navadno lahko spreminja samo skrbnik naprave. Uporabnikom, ki se ne morejo prijaviti v napravo, lahko skrbnik dovoli uporabljati funkcije naprave v omejenem obsegu. Administrator ima možnost izključiti funkcijo USB Storage Class, ki onemogoči uporabo naprav za shranjevanje, obenem pa dovoljuje priključitev drugih USB-naprav, kot so čitalci kartic, tipkovnice in podobno.

Zelo priporočljivo je omejiti tudi možnosti glede rabe e-poštne funkcionalnosti. Skrbnik lahko uporabnikom omeji dovoljenje za pošiljanje na izbrane e-poštne naslove. Naslovi, na katere je pošiljanje dovoljeno, se vnaprej registrirajo, prav tako pa tudi naslovi, na katere pošiljanje ni dovoljeno.

Dodatni ukrepi dopolnjujejo osnovno raven zaščite in so na voljo kot dodatni moduli. Mednje spadajo:

• Zaščita podatkov na trdih diskih - HDD ali SSD.
• Dostop z uporabo kartic ID/RFID.
• Zaščitita shrambe opravil za tiskanje.
• Uporaba varnega tiskanja.
• Zaščita pred kopiranjem.

Na trdem ali SSD disku v napravi so lahko shranjeni občutljivi ali zaupni podatki podjetja. Zato je možno uvesti dodatne varnostne ukrepe, ki so v skladu s standardom ISO 15408. Dostop do naprav lahko upravitelj sistema zaščiti z uporabo kartic ID ali RFID, zato lahko uporabite tudi kartice, ki jih uporabljate za dostop v poslovne prostore podjetja.

Da na odlagalnih policah naprave, kjer bi bili na voljo nepooblaščenim osebam, ne ostajajo natisnjeni dokumenti, sta na voljo funkciji Varno tiskanje in Zasebno tiskanje. Pred nepooblaščenim kopiranjem zaupnih dokumentov pa se uporabnik lahko zaščiti z vodnimi žigi ali tekstualnimi oznakami dokumentov.

Rešitve za nadzor tiskanja

Sodoben način poslovanja ni več omejen le na pisarne, mnogo dela se opravi na poti. Temu se prilagajajo tudi naprave za tiskanje. Tudi varnostni izzivi so bolj kompleksni in zahtevajo uporabo rešitev, ki dopolnjujejo funkcionalnosti naprav. Kyocera priporoča, da:

• uveljavite rešitve za nadzor tiskanja,
• uporabite povezave VPN,
• omogočite spremljanje omrežnih podatkov.

Za večja tiskalniška okolja je priporočljiva uporaba rešitev za nadzor tiskanja. Obstaja veliko različnih vrst nadzornih sistemov za tiskanje, delujejo pa tako, da uporabnik pošlje opravilo v skupno navidezno čakalno vrsto, ki je shranjena na osrednjem tiskalniškem strežniku. Naročilo je shranjeno na strežniku, dokler se uporabnik ne prijavi na napravo in izbere opravila, ki ga želi izvesti. Nato je opravilo tiskanja poslano na napravo, ki izpiše izbrane dokumente, na strežniku pa se zapišejo revizijski podatki za namene poročanja.

Za celovito in podrobnejšo informacijo o možnostih zaščite si lahko prenesete Vodnik, ki je na voljo na spletni strani kyocera.xenon-forte.si/varnost.

Naročnik oglasnega članka je Xenon Forte, d. o. o.