I tiskáren se týká GDPR – nepodceňte zabezpečení a ochranu osobních údajů

Blog  >  I tiskáren se týká GDPR – nepodceňte zabezpečení a ochranu osobních údajů

  Zveřejněno: 3.4.2018

Tiskárny jsou dnes chytrá zařízení a pokud je dostatečně nechráníte, ohrožujete svá firemní data. Nezapomínejte, že i tiskáren se týká GDPR. 

Téměř všichni IT odborníci mají zavedeny bezpečností opatření pro servery (93 %) a stolní počítače nebo notebooky (100 %), téměř dvě třetiny (67 %) chrání i mobilní zařízení. Pouze 44 % z nich však zabezpečuje síťové tiskárny.

Přitom tiskárny a multifunkční zařízení jsou už v podstatě počítače. Mají stejné hardwarové komponenty včetně pevných disků, klávesnic a ovládacích LCD panelů. I software a firmware je podobný – jsou v nich zabudované operační systémy, DLL a běží na běžných protokolech. Samozřejmostí je připojení k internetu a odesílání e-mailů. Měla by jim být tedy věnována stejná pozornost jako ochraně osobních počítačů.

Podle studie z roku 2015 chrání IT oddělení velkých firem své tiskárny především přes ověření uživatele (47 %), administrátorská hesla pro SNMP (44 %) nebo EWS (43 %) a omezení funkcí tiskáren (42 %). Ve skutečnosti pouhých 16 % firem vydává bezpečností certifikáty pro své tiskárny. Je šokující, že jen málo společností řeší bezpečnost tiskáren nad rámec správy přístupu.

HP nabízí jednu z nejlepších zabezpečovacích technologií, která ochrání vaše zařízení a celou síť před útoky a zároveň zajistí fungování všech tiskáren bez nutných IT zásahů. I této technologii se budeme v článku věnovat.


Tiskárny a GDPR

Při zavádění opatření dle GDPR (Nařízení EU č. 2016/679) je třeba zohlednit i rizika vyplývající z používání zařízení připojených k počítačové síti a mezi tyto se řadí i síťové a multifunkční tiskárny. Ty se staly součástí internetu věcí a dnes nejen tisknou a kopírují, ale běžně i pracují s informacemi vč. osobních údajů a uchovávají je. Stávají se tak možným vstupním bodem do firemní sítě.

Zabezpečení tiskáren musíte vzít v potaz při tvorbě celkové bezpečností strategie, bezpečnostní politiky a a stanovení organizačních a technických opatření pro zabezpečení informací v organizaci (čl. 32 GDPR). Týká se jich i  širší posouzení vlivu operací zpracování na ochranu osobních údajů (DPIA, článek 35 GDPR).  Bezpečnost tiskových operací pak musí být součástí celkového posouzení souladu zpracování osobních údajů s GDPR. 1


Internet věcí přináší rizika

Svět se mění a to zásadním způsobem ovlivňuje vaše podnikání i rizika s ním spojená. Často slýcháme pojem Internet věcí (anglicky Internet of Things, zkráceně IoT). V roce 2020 bude k internetu připojeno přes 25 miliard věcí (v roce 2015 to bylo jen 4,9 miliardy), což povede k explozi množství strojově vytvářených dat. Důsledkem toho bude v síti více nechráněných nebo nedostatečně chráněných zařízení i tím i více příležitostí pro kyberzločiny. Tyto útoky neohrožují jen jednotlivé firmy, ale můžou významně a trvale poškodit světovou ekonomiku.

Ani tiskárny nejsou imunní proti útokům. Ať už se jedná o úmyslný kybernetický útok, náhodnou interní chybu nebo nedodržený zákonných požadavků, náklady na opravu chyb se mohou šplhat do astronomických výšin.

  • V roce 2014 nahlásily společností o 48 % více kybernetických útoků než rok předtím a čísla stále rostou.
  • 89 % útoků mělo finanční nebo špionážní motiv.
  • Průměrná škoda způsobená únikem dat je 9,5 milionů dolarů. Částka zahrnuje pokuty, ztracené zakázky, poškození pověsti a náklady na soudní spory.

Hackout nezabezpečenou tiskárnu je snadné

„Je snadné napadnout firemní síť přes nezabezpečenou tiskárnu,“ říká ve své knize uznávaný bezpečnostní výzkumník Peter Kim, který  se zaměřuje na penetrační testování IT systémů.

Zjistím, jestli v síti je multifunkční tiskárna. Pak zkusím, zda má stále přednastavená hesla od výrobce. Tadá – a jsem tam. Tiskárnu jako výchozí bod pro útok používáme při  penetračních testech často. Přes tiskárnu najdeme Active Directory a skrze uživatelský účet se dostaneme k datům.
  • Jen 18 % firem hlídá bezpečnost svých tiskáren.
  • Pouhých 28 % firem nasazuje na své tiskárny bezpečnostní certifikáty.
  • 61 % všech firem zaznamenalo za minulý rok alespoň jeden útok na tiskárny.

V roce 2016 napadli hackeři 12 amerických univerzit (mj.  i Princeton, DePaul nebo UC Berkley) a během několika minut našli zhruba 29 tisíc tiskáren připojených k internetu, které mohli být zneužity. Pachatelé pak spustili automatickou úlohu, která na každé z nezabezpečených tiskáren vytiskla leták s nenávistným obsahem.

Jak hackuje tiskárny Mr. Robot ze známého seriálu se můžete podívat v promo videu od HP:


Jak zabezpečit tiskárnu

Společnost HP pravidelně upozorňuje na ochranná opatření, která by firmy před tímto druhem útoku ochránila a vydává bezpečnostní updaty včetně instrukcí a návodů.

Zapezpečování vašich tiskáren můžete začít tím, že:

  • zakážete port 9100 a nastavíte IPP/IPPS
  • vytvoříte seznam pro řízení přístupu (Access Control List) a povolíte jen vybraná spojení

Celý proces lze zjednodušit instalací produktu HP JetAdvantage Security Manager, který zvládne automaticky spravovat nastavení HP tiskáren na základě vaší firemní politiky nebo bezpečnostního checklistu od NIST .


Zabezpečte zařízení, data a dokumenty

Váš bezpečnostní plán musí ochránit nejen samotné tiskárny, ale i data, které přijímají a odesílají. Stejně tak se musíte postarat o dokumenty (obsahující citlivé informace) v tištěné podobě.

„Tiskové zabezpečení by mělo zahrnovat rozsáhlé spektrum řešení cílených na všechny slabiny tiskáren a multifunkčních zařízení (např. porty zařízení, odeslaná/přijatá data, dokumenty zapomenuté ve výstupní přihrádce atd.).”

Chraňte tiskárny

Chraňte nejen počítače, ale i tisková zařízení – zabudované vlastnosti a doplňky vám pomůžou ochránit vaší tiskárnu i síť. Nezapomeňte posílit a prosazovat jednoduché, ale efektivní bezpečnostní návyky. Nedobytná obrana HP se skládá z mnoha bezpečnostních vrstev:

  • Samoléčebné bezpečnostní vlastnosti (např. HP Sure Start, whitelisting, detekce vniknutí) automaticky objeví, zastaví, a pomohou se zotavením z útoků.
  • Zabudované šifrovaní ochrání citlivé podnikové dokumenty uložené na pevných discích.
  • Administrativní přístupové prvky.
  • Možnost upgradu vašeho firmwaru pro ještě větší ochranu (HP FutureSmart).

Chraňte data

V dnešní době informací jsou data velmi citlivým prostředkem – uložené nebo na cestách, vaše data potřebují neustálou ochranu. Produkty HP poskytují:

  • Šifrovaní uložených i cestujících dat.
  • Jedinečné certifikáty totožnosti.
  • Pokročilá autentizace a řízení přístupu (HP Acces Control).
  • Sledování používaní dat. (HP Access Control Job Accounting)
  • Bezpečný mobilní tisk. (HP JetAdvantage Connect, HP Access Control)

Chraňte dokumenty

Ani tištěné dokumenty nejsou v bezpečí –  nezapomeňte:

  • Zabezpečit tisk (HP Access Control, HP JetAdvantage Secure Print, HP JetAdvantage Private Print).
  • Zamykat vstupní zásobníky.
  • Využít softwarů pro odstraňování škodlivých souborů. (HP a TROY ochrana dokumentů)

Přečtěte si recenzi na jednu z řady nejbezpečnějších tiskáren dneška – PageWide Pro 477dw.GDPR - hp tiskárna

HP Color LaserJet Pro MFP M477fdw


 

  1. Zdroj: http://www.cqkconsult.cz/gdpr-a-zabezpeceni-osobnich-udaju/