Onko tulostusympäristö yrityksesi tietoturvan heikoin lenkki?

EU-direktiivien vaikutus
Organisaatioiden on noudatettava EU:n tietoturva- ja tietosuoja-asetuksia, kuten GDPR- ja NIS2-direktiivejä. Tiedon sijainnin hallinta ja tiedon käsittelyn roolit ovat keskeisiä. Laiminlyönnit voivat johtaa merkittäviin sakkoihin ja mainehaittoihin. Direktiivien tulkinta vaatii asiantuntemusta, joten perusosaamista pitää löytyä joko organisaation sisältä tai palvelukumppanin kautta.

Organisaation tietoturvaosaaminen
Henkilöstön koulutus ja ajantasaiset käytännöt ovat keskeisiä tietoturvariskien hallinnassa, sillä tietoisuus ja osaaminen vähentävät inhimillisiä virheitä. On myös tärkeää soveltaa yleisluonteisia koulutuksia oman organisaation prosesseihin: tiedonhallintaan, tulostukseen, skannaukseen ja päivittää olemassa olevia käytäntöjä. Esimerkiksi näissä prosesseissa tulee löytyä tietoturvalliset käytännöt: pääsyn hallinta asiakastietoihin, yrityssopimuksiin ja taloushallinnon tietoihin. Erityisesti markkinoinnin ja henkilöstöhallinnon tulee olla valveutunut tietojen jakamisen ja vanhentumisen osalta. Huomattavaa on, että jo pelkästään dokumenttien suojaamattomaan skannaukseen kohdistuu tietoturvariskejä.

Järjestäytynyt rikollisuus
Yritystiedot ovat arvokkainta valuuttaa kyberrikollisille ja tämän vuoksi rikollisverkostot etsivät mahdollisia haavoittuvuuksia jatkuvasti. Tiesitkö, että tietoja ”sopivista kohteista” jaetaan jatkuvasti Dark Webin puolella, sekä analysoidaan yritysten maksukykyä ja taloudellista tilannetta. Kohdennetut hyökkäykset, esimerkiksi harhaanjohtavien sisältöjen kautta, ovat erittäin taitavasti tehtyjä.
Tekoäly tulee mahdollistamaan entistä kehittyneempiä hyökkäyksiä, ja valitettavasti tekoälybottien ja -agenttien hyödyntäminen lisää uhkia verkkolaitteita ja kaikkia IoT-laiteympäristöjä kohtaan. Tekoälyä käytetään jo nyt verkkojen haavoittuvuuksien etsimiseen, kansainväliseen vakoiluun ja kybertiedustelun automatisointiin – mutta myös hyökkäysten havaitsemiseen. Tekoälyn voi valjastaa myös vastaiskuun, eli suojelemaan yritystietoja tunnistamalla ja torjumalla kyberhyökkäyksiä.

Ennakointi tietomurron varalta
Tietomurtoihin varautumisessa on tärkeää, että tiedostetaan niiden mahdollisuus omaa toimintaa kohtaan. Yrityskoko ei ole kriteeri, kun rikolliset etsivät haavoittuvuuksia. Tämän takia organisaatiolla tulee olla selkeät toimintamallit ja palautumissuunnitelmat. Tarvitaan koulutusta, että kyberhyökkäyksen tapahduttua se osataan tunnistaa, ja tiedottamisen sekä raportoinnin vastuut on selkeästi määritelty.
Mutta miten menetellä, kun tietomurto on havaittu? Milloin tietomurrosta tulee tiedottaa – ja kenelle? Ovatko asiakastiedot vaarantuneet? Kyberturvallisuuskeskukselta saa tähän selkeitä ohjeita. Tietomurrot | Kyberturvallisuuskeskus

Monimerkkinen laiteympäristö
Yrityksillä on usein käytössään eri valmistajien verkkolaitteita palvelemaan samaa tarkoitusta, kuten tulostusta ja skannausta. Monimerkkiympäristön hallinta voi tällöin muodostua haastavaksi ja aikaa vieväksi: jokaisella valmistajalla on oma päivitysrutiini, ylläpitopalvelu ja tietoturva-asetukset. Jos toimittajien määrää ei jostain syystä voida vähentää, monimerkkiympäristöjen hallintaan on olemassa ohjelmistoja, joiden avulla laitteiden etävalvonta ja -hallinta hoituu keskitetysti. Tällainen hallintaohjelmisto myös helpottaa koko laiteympäristön päivittämisen jatkosuunnittelua.
Tietoturva-auditoinneista saa myös hyvin tietoa parannusta kaipaavista kohteista tai prosesseista. Tällöin on parasta huolehtia, että auditointi kattaa kaikki verkkolaitteet – ei pelkästään palvelimet, puhelimet ja kannettavat tietokoneet. Esim. tarratulostimet ja tulostuslaitteet kuuluvat verkkolaitteisiin.

Puutteelliset tietoturva-asetukset
Laitteiden oletusasetukset ja liian heikot ylläpitosalasanat altistavat verkkolaitteet hyökkäyksille ja mahdollisille tietomurroille. Keskitetty hallinta ja vahva autentikointi ovat avainasemassa. Pääsynhallinta tulee olla käytössä kaikissa laitteissa eikä poikkeuksia tule sallia.
Laiteympäristön hallintaan suositellaan nykyisin Zero Trust -arkkitehtuuria. Tämä tarkoittaa verkkolaitteisiin ja ohjelmistoihin kirjautumisprosessissa ”emme luota mihinkään” lähestymistapaa. Tietoturvallinen tunnistautuminen tapahtuu aina monivaiheisesti MFA:n avulla (MultiFactorAuthentication).

Kyberuhkille alttiit laitteet
Käyttöjärjestelmien ja laiteteknologioiden jatkuvasti kehittyessä, usein 6 vuotta vanha verkkolaite, kuten tulostin tai monitoimilaite, on jo tietoturvariski ja lähestyy elinkaarensa loppua. Riski muodostuu erityisesti silloin, jos vanhentuneille laitteille ei saa asennettua automaattisia tietoturvapäivityksiä, tai niistä ei löydy riittäviä suojausasetuksia, joilla tietoturvahyökkäyksiä voisi ennaltaehkäistä.
Laitetoimittajien vastuulla on tiedottaa asiakkailleen ja sidosryhmilleen, milloin laitteet tulisi vaihtaa kehittyneempiin ja tietoturvallisempiin malleihin. Vastaavasti ohjelmistotoimittajat viestivät, milloin järjestelmille suositellaan tietoturvapäivityksiä.

Ovatko verkkoon kytketyt tulostuslaitteet olennaisia liiketoiminnassasi ja voisivatko niihin liittyvät tietoturvaloukkaukset vaikuttaa tulevaisuudessa haitallisesti toimintaasi? Tällöin organisaatiosi tulostusympäristöön tulisi tehdä riskiarviointi ja toteuttaa soveltuvat, suositellut tietoturvatoimenpiteet riskien kartoituksen perusteella. Kaikkein varmin ja helpoin tapa laitekannan suojaamiseksi on huolehtia, että tulostuslaitteet kovennetaan tietoturvallisiksi jo ennen niiden käyttöönottoa.

Satu Cusell
Business Developer
Canon Oy