Dáta z výskumu upozornili na výrazné problémy so zabezpečením koncových zariadení. Hlavný problém sú chyby pri dodávke zariadení, slabé heslá BIOS-u aj strach ľudí z aktualizácií. Výnimkou nie sú ani straty alebo odcudzenia počítačov.
Čo sa naozaj zistilo v prieskume?
- až 34 % respondentov priznalo, že dodávateľ ich počítača, notebooku alebo tlačiarne neprešiel v posledných piatich rokoch žiadnym auditom kybernetickej bezpečnosti
- až 57 % odborníkov na IT a bezpečnosť priznáva, že aktualizácie firmvéru v ich firme vyvolávajú strach
- až 52 % IT profesionálov uvádza, že nákupné tímy len výnimočne spolupracujú s oddeleniami IT a kyberbezpečnosti, keď si overujú tvrdenia dodávateľov
Správa upozorňuje na závažné dôsledky plynúce z nedostatočného zabezpečenia zariadenia po celú dobu ich životnosti. Ukazuje sa, že zlé alebo nedôsledné zabezpečenie hardvéru a firmvéru počítačov, notebookov a tlačiarní oslabuje kybernetickú bezpečnosť firiem doslova na celé roky.
Spomenutého prieskumu sa zúčastnilo viac ako 800 profesionálov zodpovedných za IT a bezpečnosť a viac ako 6000 zamestnancov pracujúcich aj na diaľku. Upozorňuje na rastúci význam zabezpečenia systémov. Podľa 81 % ľudí zodpovedných za IT a bezpečnosť je nevyhnutné zamerať sa na celkovú bezpečnosť hardvéru a firmvéru. Takto predídu možnosti zneužitia zraniteľných zariadení. Napriek tomu až 68 % respondentov priznáva, že investície do tejto oblasti sú pri plánovaní celkových nákladov na vlastníctvo zariadenia zanedbávané. Táto nedbalosť si následne vyžiada nákladné riešenie vzniknutých bezpečnostných problémov.
Kľúčové zistenia z jednotlivých fáz životného cyklu zariadenia
1. Výber dodávateľa – 34 % respondentov priznalo, že ich dodávateľ počítačov, notebookov alebo tlačiarní v posledných piatich rokoch neprešiel auditom kybernetickej bezpečnosti. 18 % uviedlo, že v dôsledku závažného zlyhania s dodávateľom už ukončilo zmluvu. 60 % odborníkov na IT a bezpečnosť poukazuje na to, že zanedbanie problematiky kyberbezpečnosti pri nákupe zariadenia je pre firmu rizikové.
2. Zapojenie a konfigurácia – viac ako polovica ľudí zodpovedných za IT a bezpečnosť priznáva, že používajú zdieľané heslá systému BIOS alebo ich nemajú dostatočne silné. Okrem toho 53 % z nich priznáva, že počas celej doby, keď zariadenie využívajú, menia heslá do BIOS-u len zriedka.
3. Priebežná správa – cez 60 % ľudí zodpovedných za IT a bezpečnosť nevykonáva aktualizácie firmvéru notebookov alebo tlačiarní okamžite, len čo ich výrobca dá k dispozícii. Ďalších 57 % priznáva, že u nich aktualizácie firmvéru vyvolávajú strach z vykonania aktualizácií. Napriek tomu 80 % ľudí zodpovedných vo firmách za IT a bezpečnosť verí, že s rozvojom umelej inteligencie bude rýchlejší aj vývoj útokov. To zvyšuje význam aktualizácií vykonávaných čo najrýchlejšie hneď po ich vydaní.
4. Monitorovanie a náprava – straty a krádeže zariadení stoja organizácie každoročne odhadom až 8,6 miliardy dolárov. Každý piaty zamestnanec pracujúci na diaľku počítač stratil alebo mu bol odcudzený. Následne trvalo v priemere 25 hodín, kým o tom informoval svoje IT oddelenie.
5. Druhý život a vyraďovanie z prevádzky – takmer polovica (47 %) ľudí zodpovedných za IT a bezpečnosť uvádza, že obavy o bezpečnosť dát sú hlavnou prekážkou opätovného použitia, predaja alebo recyklácie počítačov či notebookov. U tlačiarní je to prekážka u 39 % respondentov.
„Nákup PC, notebookov alebo tlačiarní je rozhodnutie s dlhodobým dopadom na bezpečnosť. Zanedbanie požiadaviek na zabezpečenie hardvéru a firmvéru pri nákupe môže spôsobiť problémy po celú dobu životnosti zariadenia. Nízke požiadavky na bezpečnosť a možnosť správy môžu spôsobiť zvýšené bezpečnostné riziko, vyššie náklady aj negatívnu používateľskú skúsenosť,“ varuje Boris Balacheff, hlavný technológ divízie HP Security Research and Innovation a dodáva: „Zariadenia koncových používateľov musia byť odolné voči kybernetickým hrozbám. Základom je kvalitné zabezpečenie a efektívna správa hardvéru a firmvéru po celú dobu životnosti zariadenia a naprieč celou firmou.“
Od výroby po používateľa – chyby pri výbere dodávateľov a nastaveniach narúšajú bezpečnosť zariadení
Výsledky prieskumu tiež ukazujú potrebu zapájať expertov na IT a bezpečnosť do procesu zadávania zákaziek – a to už pri stanovovaní požiadaviek na nakupované zariadenia, ale aj pri overovaní deklarovaného zabezpečenia kupovaných produktov:
• 52 % ľudí zodpovedných za IT a bezpečnosť uvádza, že nákupné tímy len zriedka spolupracujú s oddelením IT a kyberbezpečnosti, keď si overujú tvrdenia dodávateľov
• 45 % ľudí zodpovedných za bezpečnosť priznáva, že musia veriť tvrdeniam dodávateľov o zabezpečení hardvéru a firmvéru. Nemajú totiž prostriedky na ich overenie
• 48 % ľudí zodpovedných za IT a bezpečnosť dokonca tvrdí, že nákupné tímy často pôsobia ako „bezbranné obete“, pretože slepo veria všetkému, čo dodávatelia uvádzajú
IT profesionáli majú tiež obavy z obmedzených možností ako inštalovať a konfigurovať zariadenia až na úroveň hardvéru a firmvéru.
• Až 78 % ľudí zodpovedných za IT a bezpečnosť chce, aby bezkontaktný onboarding prostredníctvom cloudu zahŕňal aj konfiguráciu zabezpečenia hardvéru a firmvéru. To výrazne zvýši úroveň zabezpečenia.
• 57 % ľudí zodpovedných za IT a bezpečnosť cíti frustráciu z toho, že nemôžu pripájať a konfigurovať zariadenia prostredníctvom cloudu.
• Takmer polovica zamestnancov pracujúcich na diaľku sa sťažovala, že proces inštalácie a konfigurácie po doručení počítača narúšal ich prácu.
„Je potrebné vybrať takých dodávateľov technológií, ktorým môžete dôverovať. V prípade zabezpečenia zariadení, ktoré slúžia ako vstupné body do vašej IT infraštruktúry, to nesmie byť slepá dôvera,“ komentuje Michael Heywood, Business Information Security Officer v oddelení HP Supply Chain Cybersecurity. „Organizácie potrebujú jasné dôkazy – technické prehľady, podrobnú dokumentáciu, pravidelné audity a dôsledný validačný proces, aby zabezpečili splnenie bezpečnostných požiadaviek a možnosť bezpečnej a efektívnej implementácie zariadenia.”
Problémy spojené s priebežnou správou, monitorovaním a nápravou zariadenia
71 % odborníkov na IT a bezpečnosť tvrdí, že nárast práce na diaľku sťažuje zabezpečenie, odráža sa na produktivite pracovníkov a umožňuje ich rizikové správanie:
• Každý štvrtý zamestnanec sa radšej zmieri so zle fungujúcim notebookom, než aby požiadal IT oddelenie o jeho opravu alebo výmenu. Nemôže si totiž dovoliť prestoje v práci.
• 49 % zamestnancov, ktorí si niekedy nechali svoj notebook opravovať uviedlo, že zásah trval dlhšie ako 2,5 dňa. Mnohí preto museli používať na prácu svoj osobný notebook. Tým sa ale stiera hranica medzi osobným a pracovným využitím zariadenia.
• 12 % zamestnancov si nechalo opraviť pracovné zariadenie neautorizovaným poskytovateľom, čo mohlo ohroziť bezpečnosť systému a sťažiť IT oddelenie kontrolu nad stavom zariadenia.
Monitorovanie a náprava hrozieb pre hardvér a firmvér sú kľúčové na ochranu citlivých dát a kritických systémov. Napriek tomu 79 % odborníkov zodpovedných za IT bezpečnosť priznáva, že ich znalosti zabezpečenia hardvéru a firmvéru zaostávajú za povedomím o softvérovej bezpečnosti. Navyše im chýbajú pokročilé nástroje na získavanie prehľadu a kontroly nad zabezpečením zariadenia.
• 63 % ľudí zodpovedných za IT a bezpečnosť tvrdí, že sa stretávajú s mnohými slepými miestami v zraniteľnosti a so zlými konfiguráciami zariadenia.
• 57 % nedokáže analyzovať vplyv skorších bezpečnostných udalostí na hardvér a firmvér a určiť tak ohrozené zariadenia.
• 60 % respondentov tvrdí, že detekcia a zmiernenie hardvérových alebo firmvérových útokov je nemožné. Za jedinú možnú cestu považujú nápravu až po vykonanom prieniku.
„V prípade útokov na hardvér a firmvér je náprava po prieniku neudržateľná stratégia,“ varuje Alex Holland, hlavný výskumník hrozieb v laboratóriu HP Security Lab. „Tieto útoky môžu protivníkom poskytnúť plnú kontrolu nad zariadením, môžu sa tiež usadiť hlboko v systémoch. Tradičné bezpečnostné nástroje sú voči týmto hrozbám slepé, pretože sa obvykle zameriavajú na operačný systém a softvér. Prevencia alebo okamžité obmedzenie týchto útokov je kľúčom k udržaniu náskoku, inak je tu skryté riziko, ktoré nemožno efektívne eliminovať.“
Druhý život a vyraďovanie zariadení – obavy o bezpečnosť dát zvyšuje množstvo elektronického odpadu
Obavy o bezpečnosť systémov tiež bránia firmám v opakovanom použití, recyklácii a ďalšom predaji vyradených zariadení:
• 59 % ľudí zodpovedných za IT a bezpečnosť tvrdí, že je príliš ťažké dať takýmto zariadeniam druhý život. Preto ich často fyzicky zničia, a to z obáv o bezpečnosť dát.
• 69 % respondentov tvrdí, že majú na sklade značné množstvo zariadení, ktoré by mohli byť znovu využité alebo darované, ak by ich dokázali bezpečne vymazať.
• 60 % ľudí zodpovedných za IT a bezpečnosť priznáva, že ich neschopnosť recyklovať a znovu používať bez problémov použiteľné notebooky vedie k nárastu množstva elektronického odpadu.
Ďalšou komplikáciou je, že mnoho zamestnancov si starú pracovnú techniku ponecháva. Tým znemožňujú jej ďalšie využitie, ale vzniká tiež riziko scudzenia dát, pretože tieto „osirelé“ zariadenia stále môžu obsahovať firemné informácie.
• 70% zamestnancov pracujúcich na diaľku má doma alebo vo svojej kancelárii aspoň jeden starý pracovný počítač alebo notebook.
• 12 % zamestnancov pracujúcich na diaľku opustilo zamestnanie bez toho, aby svoje zariadenie hneď vrátili a takmer polovica z nich tvrdí, že tak ani nikdy neurobili.
„IT tímy často hromadia zariadenia po skončení ich životnosti, pretože nemajú istotu, že z nich dôkladne odstránili všetky citlivé firemné alebo osobné dáta – čo samo o sebe môže predstavovať riziko pre bezpečnosť dát a negatívne ovplyvniť ESG ciele. Kľúčom je nájsť spoľahlivého partnera na likvidáciu IT zariadení, ktorý využíva najnovšie postupy na mazanie alebo ničenie médií a poskytuje certifikát o vyčistení dát v súlade s platnými predpismi,“ komentuje Grant Hoffman, senior viceprezident a generálny manažér HP Renew Solutions.
Podmienkou lepšieho zabezpečenia systémov je nový prístup k životnému cyklu zariadenia.
Viac ako dve tretiny (69 %) organizácií tvrdia, že ich prístup k správe zabezpečenia hardvéru a firmvéru zariadení rieši iba malú časť ich životného cyklu. Odporúčania HP Wolf Security na správu zabezpečenia platformy v celom životnom cykle zahŕňajú:
• Výber dodávateľa: zaistite spoluprácu nákupného oddelenia s IT a bezpečnostnými tímami pri stanovovaní požiadaviek na zabezpečenie a odolnosť nových zariadení, overovanie tvrdení dodávateľov a overovanie štandardov bezpečnosti u dodávateľov.
• Onboarding a konfigurácia: firmy musia hľadať riešenia, ktoré im umožňujú bezpečné bezkontaktné nasadenie zariadenia a pripojenie používateľov, zaistia bezpečnú správu firmvéru bez spoliehania sa na slabú autentizáciu.
• Priebežná správa: firmy musia nájsť nástroje, ktoré IT oddeleniu pomôžu vzdialene monitorovať a upravovať konfiguráciu zariadenia a rýchlo nasadiť aktualizácie firmvéru, aby sa znížil priestor pre útoky.
• Monitoring a náprava: firmy musia zaistiť , aby IT a bezpečnostné tímy mohli vzdialene nájsť, zablokovať a vymazať dáta zo zariadenia – dokonca aj z tých, ktoré sú vypnuté. Tým sa zníži riziko spojené so stratenými alebo odcudzenými zariadeniami. Zvýšte tiež odolnosť sledovaním protokolov o audite zariadenia, aby ste identifikovali bezpečnostné riziká ako odhaľovanie neoprávnených zmien hardvéru či firmvéru a príznakov zneužitia.
• Druhý život a vyradenie z prevádzky: pri výbere uprednostňujte zariadenia, ktoré umožňujú dôkladné vymazanie citlivých dát, aby mohli byť bezpečne vyradené. Pred opätovným použitím zariadenia skontrolujte ich históriu používania, aby ste zaistili transparentnosť správy a integritu hardvéru aj firmvéru.
Ďalšie informácie a odporúčania nájdete v úplnej správe „Zabezpečenie životného cyklu zariadenia: Od výroby až po užívateľa a budúce opätovné nasadenie„.
O HP Wolf Security
HP Wolf Security predstavuje špičkové zabezpečenie používateľských počítačov. Portfólio HP, ktoré zahŕňa hardvérovo podporované bezpečnostné riešenia a služby zamerané na koncové body, je navrhnuté tak, aby pomáhalo organizáciám chrániť počítače, tlačiarne a zamestnancov pred kybernetickými útočníkmi. HP Wolf Security ponúka komplexnú ochranu, ktorá sa opiera o zabezpečenie na úrovni hardvéru a rozširuje sa do oblasti softvéru a služieb. Pre viac informácií navštívte https://hp.com/wolf.
Zdroj: HP
Prečítajte si tiež
.