Er printeren din en sladrehank?

2016-02-18

I «gamle dager» startet printeren å skrive ut dokumentene dine straks det var ledig kapasitet i maskinen. Dermed kunne du risikere at arkene dine lå ferdig utskrevet på printeren før du selv rakk bort for å hente dem.

Hilde Kristoffersen
Hilde Kristoffersen Forretningsskribent og foredragsholder

Vi kan alle huske den litt nervøse småtrippingen bort til printeren dersom vi hadde skrevet ut noe vi ikke ønsket at andre skulle se. Det kunne være konfidensielt, privat eller bare et utkast du ikke var komfortabel med at andre kikket på før det var ferdig. Uansett var det ubehagelig med følelsene av å ikke ha kontroll med hvem som fikk tilgang til dine dokumenter. Hva kunne ikke skje dersom kontorets ubestridte informasjonsjunkie, som alltid hang rundt printeren, fikk tilgang til at du skrev ut en stillingsannonse, eller fikk øynene på utkastet til en kontrakt med en ny kunde?

Med Follow Me print er ikke dette lenger noe problem, du trekker kortet når du står ved printeren, og har full kontroll med hvem som ser ditt innhold. Eller, har du det?

Tilgang til sensitiv informasjon via printeren

En printer er ikke lenger en printer, den kan for eksempel skanne, kopiere og sende mail. Dette krever at printeren er knyttet til internett. Da er spørsmålet; kan uvedkommende få tilgang til resten av nettverket gjennom få tilgang til printeren? Svaret er ja, dersom ikke printeren er sikret kan man få tilgang gjennom å hacke seg inn på printeren.

Mye sensitiv informasjon blir skrevet ut, det kan være kontrakter som skal signeres, avtaleutkast, styreuttalelser og personalsaker. Alle dokumenter som skal skrives ut kommer på en fil til printeren. Dersom printeren overvåkes og fremmede får tilgang, får de også tilgang til alle disse dokumentene.  Mange printere har en harddisk som lagrer alt som skal skrives ut. Dermed kan uvedkommende få tilgang til dokumentene dersom de får tilgang til harddisken.

Det er i dag også vanlig med en funksjon som gjøre det mulig å logge seg på en printer fra utsiden av virksomheten, for å gjøre service. På denne måten får man også tilgang til harddisken. Her er det potensielt mulig å komme seg inn på systemet for de som har onde hensikter. Sikkerheten for å forhindre dette må derfor ivaretas.

Hvis du før synes det var ubehagelig at de som hang ved printeren og sladret kunne få tilgang til dine dokumenter, kan man bli tilnærmet paranoid av å se for seg at de stadig mer sofistikerte hackerne kan koble seg på printeren og forlyste seg i dine dokumenter.

Hackere har kommet seg inn i virksomheter via aircondition-anlegg som er koblet til internett, og det er avdekket malware på kasseløsninger, som sjekker alle kort som blir brukt, her rakk inntrengerne å få tak i informasjon om 110 millioner kredittkort på få måneder.

På toppen av dette sier 64 % av alle IT-sjefer at printeren trolig har malware. Ikke rart man kan bli paranoid?

Hva kan gjøres?

HP er svært opptatt av sikkerhet og har blant annet det amerikanske forsvaret som delta-kunde, alt testes her før det sender ut til markedet. Dette i seg selv er en stor trygghet for kunder med litt mindre sikkerhetsbehov enn det amerikanske forsvaret (les: de fleste). HP sine printere er kryptert med 256 bits kryptering, for å sikre dataene.

Det er likevel ikke nok å sikre printeren mot mulige hacke-angrep, der er også viktig å gjøre det lite hensiktsmessig å få kontroll på den fysiske printeren. En skrivejobb blir oftest liggende på harddisken til denne er full, deretter starter slettingen fra bunnen av listen. På denne måten ligger det til enhver tid mange dokumenter i en printer. Også når den kasseres. HP sine printere sletter dataene med det samme. Dermed er det ingen fare for at det ligger sensitive dokumenter på harddisken, dersom denne skulle bli stjålet i et innbrudd eller lignende.

Alle printerne til HP kan beskyttes av et passord.  Det innebærer at dersom en maskin blir stjålet, er disken låst til hovedkortet i printerne. Dette kan ikke leses fra andre enheter og dermed hjelper det ikke å ha fysisk tilgang til harddisken, dataene «sitter fast» og lar seg ikke stjele.

Mange printere har også faks i seg. Dette innebærer at man kan nå printeren via telefon, og et mulig angrep kan også skje denne veien. HP har blokket denne muligheten i sine printere, ved fysisk å adskille nettverk og faksdel.

Unik teknologi

Den siste generasjon med HP LaserJet Enterprise printere er unik i markedet. Enhetene tilbyr tre nøkkelteknologier som er designet for å forhindre angrep fra hackere.

HP Sure Start

HP sure start
På hovedkortet i alle enheter sitter en «hjernehjerne» (CPU). Alle produsenter har gitt denne en BIOS; som er informasjon om hva som skal starte når maskinen startes. Får du tak i dette har du kontroll på hele maskinen. Hele poenget med et BIOS-angrep er å få tilgang til maskinen før noe annet starter, inkludert antivirus. Dette gjelder både PC og print, og gir inntrengerne full kontroll. For å forhindre dette har HP utviklet en ekstra kontroll som maskinen gjennomfører før den starter opp. Det ligger inne en «sjekksum», som maskinen skal kontrollere at stemmer. Dersom noen har hacket seg inn på maskinen, vil ikke summen stemme og det blir avdekket at uvedkommende har trengt inn i systemet. Maskinen vil da restarte seg selv og «fyre opp den gamle, gode» BIOS-en som ligger trygt lagret på en sikker del av harddisken. Det er omtrent som at hver maskin har en innebygget «standardmeter» (som standardmeteren som ligger i Paris) og avsjekker mot denne ved hver oppstart.

En liten digresjon her er at Thomas Tømmernes, ansvarlig for IT-sikkerhet i Atea, nekter å bruke annet enn PC fra HP. Årsaken? Sikkerhet, så klart.

Secure Whitelisting

secure whitelisting

Enterprise printere fra HP har FutureSmart firmware. Denne teknologien godtar kun oppdateringer fra HP som har godkjent sertifikat (nøkkel). Dersom noen forsøker å lure enheten til å godta en falsk oppdatering vil dette avdekkes og printeren vil starte på nytt til en såkalt Secure Offline State. Deretter sender maskinen notis til IT for å laste korrekt firmware på nytt.

 

Runtime intrusion detection

RID

Runtime intrusion detection vokter printeren når den er på nett og er på sitt mest sårbare. For å påse at ingen kan komme inn og gjøre skade ligger Runtime intrusion detection og «lytter» på nettet hele tiden. Teknologien søker kontinuerlig etter om det er noen som prøver finne åpning i tilganger (IP-adresser). Dersom HP finner ut at noen prøver å komme seg inn på nettet, vil de stoppe angrepet og enheten vil automatisk restarte for å forsikre at ingen skade skjer.

HP JetAdvantage Security Manager

HP JetAdvantage Security Manager benytter de tre teknologien til å sjekke og reparere enhetenes sikkerhetsinnstillinger.

HP har FutureSmart firmware på alle Enterprise-modeller. Oppdateringer sendes ut til alle enheter i en og samme utsendelse. Dette gjelder Enterprise-modeller tilbake til 2008.

Gjesteprinter

Noen virksomheter har mange ukjente som trenger å benytte printer. HP har derfor printer-modeller med Wireless Direct. Dette er en gjesteløsning med egen trådløs sone rundt en gjesteprinter. Både den trådløse sonen og gjesteprinteren er fysisk atskilt fra resten av virksomheten, og gjestene kan fritt skrive ut sine dokumenter uten å få tilgang til virksomhetens systemer. Mange har stor glede av dette, spesielt hoteller og andre aktører med mange gjester.