Manažer bezpečnosti: Inteligentní tiskárny mohou znamenat problém

Víte, co manažerovi bezpečnosti opravdu rychle zevšední? Oznámení, že bylo provedeno nějaké rozhodnutí, že je už příliš pozdě na jakékoli změny, že nikdo nepomyslel na potřebnost jeho názoru a že také nejsou peníze na vyřešení problémů, na které se přišlo za pět minut dvanáct. Všechno toto se nyní zase přihodilo.

Tentokrát šlo o multifunkční zařízení, která vypadají jako fotokopírky na steroidech. Že jsme podepsali kontrakt na výměnu všech našich tiskáren za multifunkce, jsem zjistil až v den, kdy se objevili příslušní pracovníci a začali odnášet všechny naše dosavadní laserové přístroje a začali přivážet tato nová monstra.

Myslel jsem si, že stará zařízení jsou ještě dobrá, ale evidentně můžeme ušetřit spousty peněz použitím těchto nových inteligentních zařízení, která si například dokážou sama zavolat pomoc při nedostatku papíru, toneru nebo uvíznutí papíru. Všechna jsou připojena do sítě a lze na nich tisknout, skenovat, kopírovat, faxovat, e-mailovat a dělat skoro všechno, tedy kromě mytí nádobí. To zní skvěle ne?

Problém je, že to ve skutečnosti nejsou tiskárny. Jsou to počítače zapojené do sítě s připojenými periferiemi pro vykonávání mnoha funkcí. Promluvil jsem si s dodavatelem a zjistil, že tato zařízení využívají systém Windows a ke všemu ve velmi staré verzi. Najednou se v naší síti objevila hromada nových počítačů s Windows. Možná si vzpomenete, že jsem nedávno vynaložil velké úsilí k zajištění správy oprav tohoto operačního systému. Tato nová zařízení opět mění situaci.

Setkal jsem se s projektovou manažerkou, abych zjistil více o chystaných změnách a o možném způsobu vpašování nějakých kontrol zabezpečení a postupů do pracovního plánu. Nebyla zrovna potěšena, že mě vidí. „Jsou to jen tiskárny,“ přesvědčovala. „Proč se musíme bát o bezpečnost?“

Začal jsem jí to tedy vysvětlovat. Popsal jsem jí, že mozek těchto zařízení je vlastně počítačem se systémem Windows, a proto bychom je měli chránit podle našich standardů, nalézt způsob jejich aktualizace s měsíční periodou a také je uzamykat. Nebylo to pro ni příjemné zjištění. „Nemáme na to rozpočet ani potřebný čas,“ odvětila.

Co znamená „dočasné“?
Multifunkční zařízení budou nasazena během dvou dnů a nyní doslova kazí zabezpečení naší sítě – jen čekají na červa nebo virus, který by přivítala. Jsou zde ale také další problémy. Nejhrozivější je to, že každý skenovaný dokument, vytištěný nebo zaslaný e-mailem prostřednictvím multifunkce, bude „dočasně“ uložen na pevném disku tohoto zařízení.

Slovo dočasně dávám do uvozovek, protože se tyto soubory budou nacházet v produktu až do jejich smazání z důvodu nedostatku místa. Ještě horší však je, že se zařízení může porouchat a pak si ho náš dodavatel odveze a nahradí – a kdo ví, kde tyto „dočasné“ dokumenty nakonec skončí. Popisovaná výměna za multifunkční jednotky tedy bude plná těžkostí, když uvážíme, že musíme vše vyřešit pro každé z nich.

Musím vymyslet, jak to vše vyřešit a jak zajistit aktualizace operačního systému. Pokud bych byl účastníkem rozhodování o kontraktu, mohl jsem se zasadit minimálně o čtvrtletní aktualizace pomocí disků CD. Je sice pravda, že by to zvýšilo náklady, ale kontrakty by neměly být podepisovány jen na základě finančních úspor – zejména když nebylo dostatečně prozkoumáno, jaké výdaje je nutno zohlednit.

Ironií osudu je, že naše společnost má vypracován velmi dobrý proces kontroly zabezpečení pro nové technologie. Aby však tento proces fungoval, musí si lidé uvědomit, že některá pořizovaná zařízení těmito novinkami skutečně jsou. Pokud je považují jen za běžné spotřebiče, vzniknou v zabezpečení významné trhliny.