BEVISSTGJØRING: HP vil være med på å bevisstgjøre it-folk om at det er like viktig å sikre skriverne som pc-ene. Fra venstre Runar Setsaas, Rune Vintervoll og Per Stian Vatne i HP Norges utskriftsdivisjon. (Foto: Toralv Østvang)

Sikker utskrift neste utfordring

Skriverne er blitt fullverdige datamaskiner og utgjør en ny sikkerhetstrussel som mange ikke tenker på. Det vil HP gjøre noe med.

En bedriftsundersøkelse har vist at mens 91 prosent av de spurte la stor vekt på å sikre pc-ene i bedriftene, var det bare 18 prosent av de spurte som tok med skriverne på listen av hva som måtte beskyttes.

HP er verdens største skriverleverandør, ifølge IDC. I den rollen føler HP en forpliktelse til å bidra til å øke den generelle bevisstheten om at skriverne kan være en sikkerhetstrussel på linje med usikrede pc-er og mobile enheter.

At HP gjerne også vil ha frem et budskap om at selskapet har sikre utskriftsløsninger – ifølge HP selv de sikreste på markedet – er en annen side av samme sak.

– Sikkerhet et fortrinn

– HP har naturligvis fortsatt mye fokus på løsninger for kontorutskrifter generelt, men der vi skiller oss fra konkurrentene nå, er særlig satsingen på sikkerhet i forbindelse med utskrift. Dette er i ferd med å bli et fortrinn for HP, sier Runar Setsaas, direktør for print-divisjonen hos HP Norge, i en samtale med Computerworld.

– I mange bedrifter tror de at de har sikret utskriftsløsningen sin hvis de ansatte er blitt utstyrt med kort som de må dra for å få ut utskriftene sine. Men det er ingen fullverdig garanti for at løsningen er sikker, sier produktsjef Rune Vintervoll i HPs print-divisjon.

Avlytting

Sikkerhetsproblematikken er knyttet til utskriftsdataenes vei gjennom det lokale nettverket.

– Selv om utskriften er beskyttet av ID-kort, kan noen lytte på nettet og snappe opp informasjon som er på vei til skriveren, sier Vintervoll.

Printspesialist Per Stian Vatne hos HP refererer til en hendelse som ble oppdaget i Singapore for en stund siden. Der ble det avslørt at mobiler var blitt fløyet med droner høyt oppe utenfor kontorbygninger for å snappe opp nettverksdata utenfor utskriftspunktene.

Kryptering

I tillegg til at HPs skriverdrivere for enterpriseprodukter som standard inneholder funksjonalitet for at brukerne må anvende PIN-kodekortløsning, er det kryptering som er den mest effektive løsningen i å beskytte utskriftene, ifølge HP-folkene på Fornebu utenfor Oslo.

– Riktignok kan dataene fortsatt fanges opp, men da er de kryptert, og det er umulig å finne frem til bruker-ID og pinkode-ID, sier Vintervoll.

Skriver = pc

– Det er et problem at en del it-avdelinger rundt omkring ikke fullt ut innser at printeren i dag er en pc. Printere har internt minne, egen prosessor og er ofte tilkoblet internett, og i tillegg er BIOS-hacking mulig også på printere, sier Vintervoll.

Ett av HPs sikkerhetstiltak er å kontrollere hva slags programvare det er lov å installere på en skriver. – Det skal være lov å installere programvare på en printer, men vi vil gjerne ha kontroll på hva slags programvare det skal være lov å installere, sier Vintervoll.

Han påpeker at hackerne som regel ikke er ute etter å kapre selve utskriftsdokumentet, men at målet først og fremst er å kunne bruke skriveren som en dør inn til bedriftens nettverk og dermed til pc-ene i bedriften.

I hvilken grad dette faktisk gjøres, er vanskelig å si, for det er trolig store mørketall på dette området. Men det er kjent at en bedrift i Danmark ble angrepet via en etikettskriver og at bedriften etterpå fikk krav om å betale løsepenger.

Bare to prosent er sikre

Å tallfeste omfanget av sikkerhetstrusler der skriverparken i bedriftene er utsatt, er vanskelig, men HP-folkene sier det er grunn til å frykte at mindre enn to prosent av verdens utskriftsinstallasjoner kan betegnes som trygge.

På spørsmål om dokumentasjon av påstanden om at HP har de sikreste skriverne på markedet, svarer HP-folkene på Fornebu at de naturligvis ikke vet hva konkurrentene kommer med i fremtiden, men at de vet hva de har i dag. Ut fra det har HP grunnlag for å si at selskapet lager de sikreste skriverløsningene, får Computerworld høre.

Blant annet innførte HP BIOS-sikring av skrivere i 2015, etter å ha gjort det samme med pc-ene et par år før, og HP har lenge også hatt varsling mot forsøk på innbrudd via skriverne sine, heter det.

– Våre kunder ble ikke rammet av innstramminger i nettverkssikkerhet (deaktivere SMB1) som fulgte WannaCry-angrepet, da HPs skrivere allerede lenge har støttet de sikrere protokollene, sier Vatne.

Wannacry var et løsepengevirus som herjet i mange land i mai i år.

Løsningen

En viktig del av løsningen for å sikre utskriftene er å beskytte trådløssonen som skriveren befinner seg i, fremholder Vatne.

HP-folkene har nå rutine for at de skal ta opp spørsmålet om utskriftssikkerhet i alle kundemøter. I tillegg kjører HP mange sikkerhetsseminarer for kundene der temaet også tas opp.

– Men tar kundene utskriftssikkerhet på alvor?

– Naturligvis har vi en del av det vi kan kalle opplagte kunder som alltid må tenke mye på sikkerhet og som også tenker på utskriftssikkerhet, sier Setsaas, men legger til: – Ser man på en del offentlige anbud som foreligger, er det dessverre åpenbart at det fortsatt er mange som ikke tar utskriftssikkerhet på alvor.

HP-folkene sier at det kan være avgjørende at man for eksempel i en anbudsrunde også får kontakt med it-folkene ute hos kundebedriftene, ikke bare dem som er ansvarlig for innkjøp.

– Nå har vi vel snakket mest om enterprise-markedet, men Norge er jo kjent som et småbedriftsland. Hvordan står det til med utskriftssikkerheten i de mindre bedriftene?

–  Å tenke utskriftssikkerhet er ikke uoverkommelig selv for mindre bedrifter. Vi har bedriftsskrivere helt ned i 4.000-5.000 kroner som har avanserte sikkerhetsløsninger innebygd, sier Setsaas.