Piše: Tino Šokić, stručnjak za informacijsku sigurnost
Četvrtak je, uobičajeni radni dan u vašoj tvrtki. Kada iz vašeg IT odjela stiže uznemirujuća poruka u kojoj se traži hitan sastanak, a tiče se sigurnosti, odnosno da se potencijalno dogodio sigurnosni incident. Nakon inicijalne istrage ustanovljen je neautorizirani pristup vašoj poslovnoj mreži, točnije, dijelu mreže gdje se nalaze korporativni pisači te da su vrlo vjerojatno preuzeti svi podaci s navedenog uređaja, a to uključuje osobne podatke zaposlenika, financijske izvještaje tvrtke, poslovne planove, ugovore, ponude i sličnu dokumentaciju.
Ukratko, sve što je ikada ispisano ili skenirano pomoću printera sada je u vlasništvu potencijalno maliciozne osobe ili kriminalne skupine. Razlog tomu je što taj višefunkcijski uređaj sadrži tvrdi disk gdje pohranjuje sve navedene podatke te ako ne postoji implementirana zaštitna mjera (npr. autorizacija korisnika prije korištenja ili enkripcija podataka prilikom prijenosa ili čuvanja) onda su svi prethodno navedeni podaci izloženi velikom riziku. Nadalje, nakon forenzičkog pristupa cijelom incidentu analizom je ustanovljeno da se neovlašteni pristup dogodio zato što osnovni programski paket (engl. firmware) multifunkcijskog uređaja nije ažuriran te je sadržavao vrlo jednostavnu ranjivost koju je mogao iskoristiti bilo tko te je uz to uređaj cijelo vrijeme ostvarivao komunikaciju s internetom putem servisa u oblaku (engl. cloud service). Navedeni primjer samo je ilustracija što se može dogoditi i što se već dogodilo, s obzirom na to da se priča temelji na iskustvu iz stvarnoga života. Posljedice ovakvog događaja djeluju na više fronti – od financijskog rizika, reputacijskog, do ozbiljnih problema sa zakonom (npr. neovlaštena uporaba osobnih podataka, što je usko vezano uz Opću uredbu za zaštitu podataka ili vam GDPR).
Što se moglo poduzeti
Što je moglo biti poduzeto u svezi prethodnog primjera cyber-incidenta? Spomenuta ranjivost osnovnoga programskog paketa (engl. firmware) je vrlo lako mogla biti uklonjena automatskim ažuriranjm na samom ispisnom uređaju. Točnije, uređaji Ricoh imaju mogućnost automatskog ažuriranja funkcionalnog i sigurnosnog aspekta cijelog programskog paketa uređaja – ne zaboravite da taj pametni uređaj ima svoj operativni sustav. Navedena ažuriranja koriste se digitalnim potpisima prilikom procesa preuzimanja i instalacije novih programskih paketa kako bi se gotovo u potpunosti uklonio rizik od instalacije neautoriziranog softvera. Ricoh je razvio i sigurnosni sustav da svaki uređaj dolazi s ‘čipom digitalnog povjerenja‘ (engl. trusted platform module – TPM), koji služi provjeri osnovnog programskog paketa te ne dopušta sustavu pokretanje ako je navedeni sustav kompromitiran ili narušene funkcionalnosti.
Za početak bih naveo jedan aksiom, odnosno temeljnu istinu koja je vrlo primjenjiva u području kibernetičke sigurnosti. Ta istina glasi: ‘Neprijatelj cyber-sigurnosti je kompleksnost‘. Raznovrsnost uređaja, proizvođača (engl. vendors), a i ljudi koji ih upotrebljavaju(na razini znanja) postaje sve veća, a jedan od tih uređaja je i višefunkcijski pisač, odnosno uređaj koji spaja funkciju pisača (engl. print), skenera (engl. scan) i faks-funkcionalnosti (engl. fax). Ova posljednja funkcionalnost, koliko god smatrana zastarjelom, itekako je prisutna i u najmodernijim poslovnim okružjima.
Mnogo više od pisača
‘Printer‘ definitivno više nije samo pisač, već je takav uređaj vrlo napredno i sofisticirano računalo sa svim mogućnostima povezivanja i pružanja usluga te uz navedeno ima mogućnost i izrade ispisa, skeniranja, slanja faks-poruka. Multifunkcijski ili višefunkcijski print-uređaji postali su neizostavan dio informacijskih sustava, koji su sastavni dio svakog poslovanja. Navedeni uređaji i navedena print-rješenja nose i svoje rizike. Uvijek je bitno napomenuti da je gotovo sve moguće upotrebljavati na siguran i sigurniji način, čime se navedeni rizik znatno smanjuje. Hakeri, cyber-kriminalci i prateće maliciozne grupe traže samo jedan ‘ulaz‘ u vašu tvrtku ili sustav, a višefunkcijski uređaji za ispis nerijetko su upravo takva vrsta prilike za izazivanje cyber-incidenta.
Glavni razlog mogućnosti korištenja višefunkcijskog print-rješenja kao poluge za cyber-kriminal je taj što je uređaj ustvari računalo s mogućnostima povezivanja na mrežu, što lokalnu u tvrtki, što na internet. Taj uređaj ima sve mogućnosti kao i bilo koje drugo računalo ili poslužitelj. Ima svoje tehničke odlike kao što su procesor, radna memorija, tvrdi disk, mrežni priključak (uključujući i bežičnu povezanost) te softverske mogućnosti web-poslužitelja, mogućnost udaljene podrške, slanja e-mail poruka, enkripcije podataka – popis mogućnosti uistinu je zavidan.
Prije nego što nastavimo malo više s detaljima zašto je potrebno obratiti pozornost na taj tip uređaja unutar tvrtke te zašto je bitno da ovlaštena i stručna osoba postavlja i vodi brigu o takvim uređajima, u nastavku vam želim pokazati kako je lako pronaći sve te navedene nesigurne printere putem interneta.
Već smo spomenuli mrežnu povezanost, a ona čini internetske stvari (engl. internet of things) dostupnima bilo komu bilo gdje putem interneta. Navedeno se odnosi i naše multifunkcijsko print-rješenje.
Mrežni servis Shodan.io jedan je od web-servisa koji služe kao tražilica svih stvari priključenih na internet. Točnije, Shodan prikuplja sve dostupne informacije o javno dostupnim uređajima spojenim na internet te puni svoju bazu, koju onda vi, ja, bilo tko može pretraživati – baš kao i tražilica Google. Bitno je istaknuti da jednako kao što se svi dobrih namjera možemo koristiti takvim servisima, jednako se mogu koristiti i oni manje dobro namjerni, a tu pričamo o malicioznim akterima kao što su hakeri, cyber-kriminalci i slične kriminalne skupine.
Nadalje, ako unutar svoje tvrtke ili organizacije imate uspostavljen sustav za upravljanje informacijskom sigurnošću u tipu standarda ISO 27001 ili imate politiku ili pravilnik o korištenju informacija za njihova životnog vijeka (engl. life cycle), onda sigurno obraćate pozornost na izvor svih tih potencijalno osjetljivih informacija i podataka. Navedena imovina može vrlo lako ‘iscuriti‘ pomoću neautoriziranog pristupa nekom multifunkcijskom uređaju ili, još gore, uz pomoć interne prijetnje kao što je prethodno autorizirani zaposlenik tvrtke.
Sigurnost upisana u DNK ispisnih rješenja Ricoh
Jedna od stvari na koju uvijek obratim pozornost prilikom korištenja i testiranja ranjivosti sustava jest na koji način se sve mogu zaštititi bilo kakve usluge i prateći servisi samog uređaja. Primjerice, mnogi modeli višefunkcijskih uređaja Ricoh certificirani su prema standardu IEEE 2600.2, koji jasno propisuje razinu sigurnosti dokumenata, mrežnog pristupa i korištenja uređaja za fizički ispis. Također, enkripcija ili šifriranje tvrdog diska i sigurnost brisanja podataka diska odvijaju se prema najvišim standardima u industriji te pomažu u osiguranju da podaci ostanu povjerljivi.
Jedna od najvećih prednosti, a i najvećih rizika u bilo kojem informacijskom sustavu jest – ljudski faktor. Nenamjerne i namjerne pogreške dio su poslovanja, a navedeno Ricoh osigurava uz pomoć kontroliranoga korištenja, odnosno uz pomoć autentikacije (tko se koristi uređajem?) i autorizacije (kojim se funkcionalnostima smije koristiti?) te pratećeg unosa pina za izvršavanje svakog ispisa ili skeniranja. Uz navedeno je moguće konfigurirati sprječavanje neovlaštena kopiranja fizičkih dokumenata. Veliki dio sigurnosti odlazi na ljudski element.
S obzirom na to da je moje polje interesa informacijska i kibernetička sigurnost, mogu reći da takvo ispisno rješenje objedinjuje većinu sigurnosnih domena – od kontrole pristupa i enkripcije do fizičke sigurnosti i obuke korisnika. Upravo zbog te kompleksnosti potreban je sistematičan i stručan pristup osiguravanju korištenja takvih uređaja, a to upravo omogućuje korištenje usluga certificirane tvrtke za implementaciju i upravljanje ispisnim rješenjima – Copy Electronic d.o.o..
Zašto je bitno imati ovlaštene partnere za implementaciju i održavanje pametnih ispisnih rješenja?
1. Stručnost. Certificirane tvrtke poput Copy Electronica koje posjeduju znanja i ekspertizu u implementaciji, održavanju te stručnoj konzultaciji prilikom pametnih print-rješenja jedini su pravi izbor, jer upravo uz pomoć znanja i iskustva možete imati osigurano ispravno i sigurno funkcioniranje vaših IT rješenja.
2. Uvećana sigurnost. Ovdje pričamo o IT sigurnosti, odnosno o cyber-sigurnosti, koja uključuje i ljudski faktor. Kako biste mogli imati sigurnije rješenje, bilo koje vrste, potrebno je znati na koji način je najbolje primijeniti sve sigurnosne mjere kao što su autentikacija, enkripcija, sigurna komunikacija prilikom rada s print-rješenjem, ali i kako obučiti ljude/zaposlenike za ispravno i sigurno korištenje ovakvih print-rješenja.
3. Usklađenost. Osim usklađenosti sa standardima poput ISO 9001 sustava za upravljanje kvalitetom ili ISO 27001 sustava za upravljanje informacijskom sigurnošću, usklađenost se tiče i zakonskog, odnosno regulatornog dijela, kao što je usklađenost s Općom uredbom za zaštitu podataka (GDPR). Već sam naveo primjerom da je nesigurno implementirano print-rješenje samo rizik od curenja osjetljivih podataka ili može poslužiti kao poluga za daljnje cyber-napade.
4. Ušteda. Premda se čini da bi stručna i certificirana tvrtka za implementaciju i održavanje print-rješenja stajala više, važno je razmisliti kolika je cijena zastoja u radu (engl. downtime) tvrtke, ili reducirana produktivnost, ili čak cijena sigurnosnog incidenta čiji je konačni iznos često teško kvantificirati – reputacijski rizik, na primjer, teško je ocijeniti.