Офисный принтер может стать проводником хакерской атаки. Только подумайте: на жестких дисках современных офисных принтеров зачастую хранятся копии всех распечатанных, отсканированных или отправленных по факсу документов. Поэтому любой хакер, хоть сколько-нибудь знакомый с возможностями доступа к информации по сети, может легко добраться до этих уязвимых данных.
По мнению специалистов компании ISCA Labs, проводящей тестирование и сертификацию систем безопасности, угроза атаки мошенников посредством периферийных сетевых устройств часто недооценивается.
В понедельник ISCA объявила о запуске новой линейки программ контроля безопасности сетевых устройств, таких как принтер, факсимильный аппарат и камеры видеонаблюдения. Эти программы включают систему сертификации производителей разнообразных устройств. По словам исполнительного директора компании ISCA Labs Джорджа Япака (George Japak), в список подлежащих сертификации устройств входят: принтеры, факсы, POS-терминалы, копиры, банкоматы, цифровые табло, бесконтактные считыватели идентификационных карт, камеры видеонаблюдения, средства контроля электро- и энергосистем, а также систем отопления, вентиляции и кондиционирования воздуха.
«Паутина из систем бесперебойного питания и удлинителей – яркое свидетельство тому, что список сетевых устройств можно составлять до бесконечности», – говорит Джордж Япак.
По мнению Джорджа, периферийные сетевые устройства подвергают вас такому же риску, как незащищенный сетевой сервер, однако, пользователи зачастую просто игнорируют вопросы безопасной установки и настройки этих устройств. Также как и сетевые серверы, периферийные устройства, подключенные к сети, могут быть объектом взлома, DOS-атаки, а также могут стать источником распространения опасных вирусов. Однако на сегодня статистической информации о том, насколько серьёзны риски использования незащищенных периферийных устройств, практически нет. Компания ISCA Labs ссылается на данные отчета «О расследовании нарушений защиты данных» (Verizon Business 2009 Data Breach Investigations Report), опубликованного в текущем году подразделением Verizon Business. В отчете говорится о том, что зачастую источники нарушений в системах безопасности остаются «неопределенными», а это означает, что под таким названием могут скрываться, например, принтеры и факсы. Данные о конкретных случаях нарушения безопасности посредством периферийных устройств компанией ISCA не приводятся.
«Согласно информации от сегодняшних и будущих потребителей, с продолжением установки незащищенных периферийных устройств, проблема будет приобретать очень серьёзный оборот, в особенности на уровне организации», – говорит Джордж Япак.
Разумеется, вопрос безопасности сетевых устройств появился не сегодня – речь об этой проблеме идет уже несколько лет. Своё внимание вопросам безопасности сетевых принтеров уделяют и другие организации. Так, в этом году список новых стандартов безопасности для сетевых принтеров выпустил Институт инженеров по электротехнике и электронике (IEEE). Список включает подробное описание и контрольный перечень требований безопасности к устройствам. Выпущенные под названием 2600 Profile requirements, данные стандарты являются совместной разработкой IEEE и Xerox и направлены на информирование производителей принтеров об основных требованиях безопасности к создаваемым ими устройствам. По словам Джорджа Япака, ISCA всё ещё рассматривает представленные IEEE стандарты для того, чтобы определить их место в программе NAPS.
В задачи программы сертификации NAPS, ориентированной на производителей сетевых устройств, входит тщательное изучение определенных параметров сетевых устройств, влияющих на общую безопасность сети. ISCA выражает надежду заинтересовать программой NAPS, предоставляющей организациям возможность получить отчет с результатами проверки и рекомендации по настройке оборудования, также и корпоративных потребителей, обеспокоенных вопросами информационной безопасности.
Источник CSO
Оригинальный текст Joan Goodchild
Перевод e-Style ISP |
