Tietoturvastrategiassanne on reikä

IT-järjestelmiä suojattaessa mm. tietokoneet, palvelimet ja verkon aktiivilaitteet suojataan yleensä ensin, lisäksi useimpien yritysten palvelimilla (myös sähköpostipalvelimella), työasemilla ja mobiililaitteilla käytetään tietoturvaohjelmistoja. 

Tietoturvan ulkopuolelle jätetään lähes poikkeuksetta laitteita, kuten verkotetut monitoimilaitteet ja verkkotulostimet. Spiceworks toteutti hiljattain HP:n toimeksiannosta tutkimuksen¹, johon vastanneista IT-asiantuntijoista vain 18 % piti monitoimilaitteita ja verkkotulostimia keskitason tai korkean tason riskitekijöinä tietoturvauhkissa ja tietomurroissa. Kuitenkin Ponemon Instituten² mukaan 92 % Forbes Global 2000 -listan yhtiöistä ilmoitti joutuneensa tietomurron kohteeksi kuluneen vuoden aikana ja kyberhyökkäyksistä keskimäärin aiheutuviksi kustannuksiksi arvioitiin vuositasolla 7,7 miljoonaa dollaria.

Erityisesti verkotetut monitoimilaitteet vaikuttavat olevan tietoturvan sokeita pisteitä, jotka voivat altistaa organisaatioiden verkkoympäristöt ja tiedot vaarallisille uhkille. Koska tämän päivän monitoimilaitteilla voidaan tehdä paljon muutakin kuin vain tulostaa ja kopioida on tärkeää suojata ne samalla tavalla kuin muutkin verkkoon liitetyt laitteet, kuten tietokoneet.

Verkotettujen monitoimilaitteiden ja verkkotulostinten hakkerointi ei rajoitu tulostustöiden kaappauksiin. Hyökkääjä voi esimerkiksi käyttää monitoimilaitteita faksien lähettämiseen, muuttaa laitteiden etupaneelin tietoja tai asetuksia, estää laitteiden käytön palvelunestohyökkäyksillä, lukea monitoimilaitteelle tallennettuja kopioita asiakirjoista tai kaapata monitoimilaitteella syötettäviä tietoja, esim käyttäjätunnuksia. Näitä kaikkia keinoja on jo käytetty.

Huolestuttavinta on kuitenkin, että suojaamaton monitoimilaite tai tulostin voi antaa pääsyn organisaation verkkoon, jolloin hakkerit voivat päästä käsiksi arkaluontoisiin, yksityisiin tai luottamuksellisiin tietoihin. Tanskassa hakkeri murtautui suojaamattoman laitteen kautta yrityksen verkkoon, lamautti sen koko IT-järjestelmän ja vaati yritykseltä lunnaita.

Kyberhyökkäysten uhka vain lisääntyy datan ja verkkoon liitettyjen hyökkäyksille alttiiden laitteiden määrän kasvaessa. Forbesin mukaan vuonna 2014 yritykset ilmoittivat verkkoihinsa kohdistuneiden hyökkäysten määrän kasvaneen vuositasolla 48 %.

Kyberhyökkäysten ja sisäisten uhkien lisäksi myös lainsäädäntö ohjaa yrityksiä suhtautumaan uudella tavalla monitoimilaitteidensa ja verkkotulostimiensa tietoturvaan.

EU:n yleisen tietosuoja-asetuksen myötä yrityksille, jotka laiminlyövät EU:n kansalaisten henkilökohtaisten tietojen suojausta, määrätään entistä korkeampia sakkoja riippumatta yrityksen sijaintimaasta. Joistakin tietosuoja-asetuksen loukkauksista määrättävä sakko voi olla jopa 20 milj. € tai 4 % yrityksen maailmanlaajuisesta liikevaihdosta (riippuen siitä, kumpi on korkeampi).

Keskitetyn tietoturvan käyttöönotto yrityskohtaisesti, osastokohtaisesti tai edes laitekohtaisesti kaikissa monitoimilaitteissa ja verkkotulostimissa tulisi olla osa sitä yrityksen tietoturvastrategiaa, jota käytetään tänä päivänä muissa IT laitteissa.  Yrityksessä CA sertifikaattien käytön laajentaminen myös verkotettuihin monitoimilaitteisiin ja tulostimiin tulisi olla itsestäänselvyys, jostain syystä ne sertifikaatit ovat käytössä vain muissa IT laitteissa.

Näyttää siltä että verkotettujen monitoimilaitteiden tietoturvan osalta mennään sieltä mistä aita on matalin. Ei riitä, että tietoturvastrategiassa huomioidaan tulostettavat asiakirjat, myös itse laite on alttiina uhkille ja senkin tietoturvan pitää olla kunnossa. Voitaisiinko samanlaista ajatusmallia soveltaa yrityksen muussa tietotekniikkaan liittyvässä tietoturvassa, tuskinpa.

Onneksi tietoturvamääritykset, niiden käyttöönotto sekä seuranta myös HP Enterprise -sarjan monitoimilaitteissa ja verkkotulostimissa on tänä päivänä helppoa, vaaditaan kuitenkin tahtotila, se alkupotku, laittaa asiat kuntoon joko itse, yhdessä palveluntoimittajan kanssa tai kokonaispalveluna.


¹ Spiceworksin toteuttamaan tutkimukseen vastasi 107 IT-alan ammattilaista vähintään 250 henkeä työllistävissä yrityksissä Pohjois-Amerikassa, Euroopassa,
Lähi-idässä, Afrikassa, Aasian ja Tyynenmeren alueella ja Kiinassa. Tutkimus toteutettiin HP:n toimeksiannosta vuoden 2015 tammikuussa.

² Ponemon Institute, ”2015 Global Cost of a Data Breach Study”, lokakuu 2015.