34 % respondentů přiznalo, že jejich dodavatel počítače, notebooku nebo tiskárny v posledních pěti letech neprošel auditem kybernetické bezpečnosti. Studie HP Wolf Security upozorňuje na problémy se zabezpečením koncových zařízení: od chyb při dodání, přes slabá hesla BIOSu a strach z aktualizací…
Společnost HP Inc. vydala zprávu shrnující výsledky nejnovější studie HP Wolf Security. Upozorňuje na závažné důsledky plynoucí z nedostatečného zabezpečení zařízení po celou dobu jejich životnosti. Ukazuje se, že špatné nebo nedůsledné zabezpečení hardwaru a firmwaru počítačů, notebooků a tiskáren oslabuje kybernetickou bezpečnost firem na dlouhá léta.
Zpráva vychází z globální studie, které se zúčastnilo více než 800 profesionálů odpovědných za IT a bezpečnost (ITSDM) a více než 6000 zaměstnanců pracujících i na dálku (WFA). Upozorňuje na rostoucí význam zabezpečení systémů. Podle 81 % ITSDM je nezbytné zaměřit se na bezpečnost hardwaru a firmwaru, aby se předešlo možnosti zneužití zranitelných zařízení. Přesto 68 % respondentů přiznává, že investice do této oblasti jsou při plánování celkových nákladů na vlastnictví zařízení (TCO) často opomíjeny. Tato nedbalost si následně vyžádá nákladné řešení vzniklých bezpečnostních problémů.
Klíčová zjištění z jednotlivých fází životního cyklu zařízení:
1. Výběr dodavatele – 34 % respondentů přiznalo, že jejich dodavatel počítačů, notebooků nebo tiskáren v posledních pěti letech neprošel auditem kybernetické bezpečnosti. 18 % uvedlo, že v důsledku závažného selhání s dodavatelem ukončilo smlouvu. 60 % odborníků na IT a bezpečnost poukazuje na to, že opomíjení problematiky kyberbezpečnosti při nákupu zařízení je pro firmu rizikové.
2. Zapojení a konfigurace – více než polovina (53 %) ITSDM říká, že hesla systému BIOS jsou sdílena, používána plošně nebo nejsou dostatečně silná. Kromě toho 53 % z nich přiznává, že během celé doby, kdy zařízení využívají, mění hesla do BIOSu jen zřídka.
3. Průběžná správa – přes 60 % ITSDM neprovádí aktualizace firmwaru notebooků nebo tiskáren okamžitě, jakmile jsou k dispozici. Dalších 57 % přiznává, že u nich aktualizace firmwaru vyvolávají FOMU (strach z provedení aktualizací). Přesto 80 % věří, že s rozvojem umělé inteligence bude rychlejší i vývoj útoků, což zvyšuje význam rychlých aktualizací.
4. Monitorování a náprava – ztráty a krádeže zařízení stojí organizace každoročně odhadem 8,6 miliardy dolarůi . Každý pátý WFA počítač ztratil nebo mu byl odcizen, a trvalo v průměru 25 hodin, než bylo IT oddělení o této skutečnosti informováno.
5. Druhý život a vyřazování z provozu – téměř polovina (47 %) % ITSDM uvádí, že obavy o bezpečnost dat jsou hlavní překážkou opětovného použití, prodeje nebo recyklace počítačů či notebooků. U tiskáren je to překážka pro 39 % respondentů.
„Nákup PC, notebooků nebo tiskáren je rozhodnutí s dlouhodobým dopadem na bezpečnost. Zanedbání požadavků na zabezpečení hardwaru a firmwaru při nákupu může působit problémy po celou dobu životnosti zařízení. Nízké požadavky na bezpečnost a možnost správy mohou způsobit zvýšené bezpečnostní riziko, vyšší náklady i negativní uživatelskou zkušenost,“ varuje Boris Balacheff, hlavní technolog divize HP Security Research and Innovation. „Zařízení koncových uživatelů musejí být odolná vůči kybernetickým hrozbám. Základem je kvalitní zabezpečení a efektivní správa hardwaru a firmwaru po celou dobu životnosti zařízení a napříč celou firmou.“
Od výroby po uživatele – chyby při výběru dodavatelů a nastavení narušují bezpečnost zařízení
Výsledky průzkumu ukazují potřebu zapojit experty na IT a bezpečnost do procesu zadávání zakázek, a to jak při stanovování požadavků, tak při ověřování deklarovaného zabezpečení kupovaných produktů:
• 52 % ITSDM uvádí, že nákupní týmy jen zřídka spolupracují s oddělením IT a kyberbezpečnosti, když si ověřují tvrzení dodavatelů
• 45 % ITSDM přiznává, že musí věřit tvrzením dodavatelů o zabezpečení hardwaru a firmwaru, protože nemají prostředky k jejich ověření
• 48 % ITSDM dokonce tvrdí, že nákupní týmy často působí jako „bezbranné oběti“, protože věří všemu, co dodavatelé uvádějí
IT profesionálové mají také obavy z omezených možností instalovat a konfigurovat zařízení až na úroveň hardwaru a firmwaru.
• 78 % ITSDM chce, aby bezkontaktní onboarding prostřednictvím cloudu zahrnoval konfiguraci zabezpečení hardwaru a firmwaru, což by zvýšilo úroveň zabezpečení
• 57 % ITSDM cítí frustraci z toho, že nemohou připojovat a konfigurovat zařízení prostřednictvím cloudu
• Téměř polovina (48 %) WFA si stěžovala, že proces instalace a konfigurace po doručení počítače narušoval jejich práci
„Je třeba vybrat takové dodavatele technologií, kterým můžete důvěřovat. V případě zabezpečení zařízení, která slouží jako vstupní body do vaší IT infrastruktury, to nesmí být slepá důvěra,“ komentuje Michael Heywood, Business Information Security Officer v oddělení HP Supply Chain Cybersecurity. „Organizace potřebují jasné důkazy – technické přehledy, podrobnou dokumentaci, pravidelné audity a důsledný validační proces, aby zajistily splnění bezpečnostních požadavků a možnost bezpečné a efektivní implementace zařízení.”
Problémy spojené s průběžnou správou, monitorováním a nápravou zařízení
71 % odborníků na IT a bezpečnost tvrdí, že nárůst práce na dálku ztěžuje zabezpečení, odráží se na produktivitě pracovníků a umožňuje rizikové chování:
• Každý čtvrtý zaměstnanec se raději smíří se špatně fungujícím notebookem, než aby požádal IT oddělení o jeho opravu nebo výměnu, protože si nemůže dovolit prostoje
• 49 % zaměstnanců, kteří nechali svůj notebook opravovat, uvedlo, že zásah trval déle než 2,5 dne. Proto mnozí museli používat k práci svůj osobní notebook, čímž se stírá hranice mezi osobním a pracovním využitím
• 12 % zaměstnanců si nechalo opravit pracovní zařízení neautorizovaným poskytovatelem, což mohlo ohrozit bezpečnost systému a ztížit IT oddělení kontrolu nad stavem zařízení
Monitorování a náprava hrozeb pro hardware a firmware jsou klíčové pro ochranu citlivých dat a kritických systémů. Přesto 79 % odborníků odpovědných za IT bezpečnost přiznává, že jejich znalosti zabezpečení hardwaru a firmwaru zaostávají za povědomím o softwarové bezpečnosti. Navíc jim chybí pokročilé nástroje pro získávání přehledu a kontroly nad zabezpečením zařízení.
• 63 % ITSDM tvrdí, že se potýkají s mnoha slepými místy ve zranitelnosti a se špatnými konfiguracemi zařízení
• 57 % nedokáže analyzovat dopad dřívějších bezpečnostních událostí na hardware a firmware, a určit tak ohrožená zařízení
• 60 % respondentů tvrdí, že detekce a zmírnění hardwarových nebo firmwarových útoků je nemožné, a za jedinou možnou cestu považují nápravu až po průniku
„V případě útoků na hardware a firmware je náprava po průniku neudržitelná strategie,“ varuje Alex Holland, hlavní výzkumník hrozeb v laboratoři HP Security Lab. „Tyto útoky mohou protivníkům poskytnout plnou kontrolu nad zařízením, mohou se také usadit se hluboko v systémech. Tradiční bezpečnostní nástroje jsou vůči těmto hrozbám slepé, protože se obvykle zaměřují na operační systém a software. Prevence nebo okamžité omezení těchto útoků je klíčem k udržení náskoku, jinak je tu skryté riziko, které nelze efektivně eliminovat.“
Druhý život a vyřazování zařízení – obavy o bezpečnost dat zvyšují množství elektronického odpadu
Obavy o bezpečnost systémů také brání firmám v opakovaném použití, recyklaci nebo dalšímu prodeji vyřazených zařízení:
• 59 % ITSDM tvrdí, že je příliš těžké dát zařízením druhý život, a proto je často ničí z obav o bezpečnost dat
• 69 % respondentů tvrdí, že mají na skladě značné množství zařízení, která by mohla být znovu využita nebo darována, pokud by je dokázali bezpečně vymazat
• 60 % ITSDM přiznává, že jejich neschopnost recyklovat a znovu používat dokonale použitelné notebooky vede k nárůstu množství elektronického odpadu
Další komplikací je, že mnoho zaměstnanců si ponechává starou pracovní techniku. Tím znemožní její další využití, ale také vzniká riziko zcizení dat, protože tato „osiřelá“ zařízení mohou stále obsahovat firemní informace.
• 70 % WFA má doma nebo ve své kanceláři alespoň jeden starý pracovní počítač nebo notebook
• 12 % WFA opustilo zaměstnání, aniž by své zařízení ihned vrátili, a téměř polovina z nich tvrdí, že tak neučinili nikdy
„IT týmy často hromadí zařízení po skončení jejich životnosti, protože nemají jistotu, že z nich důkladně odstranili všechna citlivá firemní nebo osobní data – což samo o sobě může představovat riziko pro bezpečnost dat a negativně ovlivnit ESG cíle. Klíčem je najít spolehlivého partnera pro likvidaci IT zařízení, který využívá nejnovější postupy pro mazání nebo ničení médií a poskytuje certifikát o vyčištění dat v souladu s platnými předpisy,“ komentuje Grant Hoffman, senior viceprezident a generální manažer HP Renew Solutions.