Dlaczego drukarki w stanie fabrycznym to
stan zagrożenia, a nie gotowości

Załóżmy, że masz poukładane serwery, endpointy, segmentację, EDR, SOC nie płacze. Czujesz spokój. Ogród zen. I wtedy przypominasz sobie o drukarkach. W rogu stoi MFP (ang. Multifunction Printer, drukarka wielofunkcyjna) . Niby mebel. A tak naprawdę: komputer z dyskiem, usługami sieciowymi, historią zadań, skanami, adresami e-mail i panelkiem, na którym ludzie klikają wszystko, co mruga. Jeśli zostawisz je w konfiguracji fabrycznej, to nie masz „drukarki”. Masz hosta z dość ciekawą powierzchnią ataku. I cyberninja o tym wie…

 
SPIS TREŚCI

• Rozgrzewka na macie – ustawienia fabryczne jako punkt startowy
• Nie jesteś bezbronny – utwardzanie urządzeń
• Hardening drukarek – jak się do tego zabrać?
• Masz flotę? Potrzebujesz zarządzania

Nie masz czasu na lekturę całości artykułu? Zacznij od filmu! Zobacz, jak patrzymy na to zagadnienie, a po konkrety i przykłady — kontynuuj lekturę artykułu.

Rozgrzewka na macie

Nowoczesne urządzenia wielofunkcyjne są projektowane tak, żebyś mógł je postawić i po 10 minutach usłyszeć: „drukuje!”. Dla użytkownika to ideał: zero pytań, zero błądzenia po ustawieniach, minimalny udział IT.

Takie urządzenie wydrukuje wszystko bez pytania o tożsamość użytkownika. Skanowanie i kopiowanie działają równie swobodnie: jeden szybki ruch, jeden „scan to email”, i dokument z pieczątką wylatuje poza firmę bez śladu w logach. A gdy urządzenie wystawia równocześnie panel webowy, SMB, FTP, WebDAV, SNMP czy IPP, otwiera w murach sieci tyle bram i furtek, ile dróg i ścieżek prowadzi do oblężonego zamku – i zazwyczaj nikt ich nie patroluje.

Do tego dochodzą nieszyfrowane transmisje i domyślne hasła administratora, które nadal są jednym z najczęstszych wektorów ataku.

Jednak z perspektywy bezpieczeństwa ustawienia fabryczne należałoby traktować wyłącznie jako tryb startowy.  Urządzenie bez utwardzonej konfiguracji jest jak wojownik bez zbroi – pierwszy cios cyberninja może go powalić.

Dobra wiadomość: nie jesteś bezbronny.

Zbroją, która będzie Cię chronić jest hardening urządzenia, czyli takie skonfigurowanie jego ustawień, żeby było trudniejsze do zaatakowania, przejęcia albo wykorzystania jako „furtka” do firmowej sieci.

Wystarczy, że robisz to raz, porządnie, a potem utrzymasz jako standard – w duchu NIST SP 800 (800-53/171/88/40) – czyli zestawu wytycznych amerykańskiego National Institute of Standards and Technology dotyczących bezpieczeństwa systemów IT – i z kryptografią, której nie da się zbyć tekstem „to tylko drukarka” (FIPS 140-3).

– Utwardzanie MFP to nie jest ‘włączenie jednego checkboxa’. To dopasowanie urządzenia do polityk bezpieczeństwa organizacji – tak, żeby drukarka była tak samo przewidywalna i kontrolowana jak serwer czy laptop – komentuje Darek Szwed, ekspert Canon Polska w obszarze bezpieczeństwa danych.

Hardening drukarek: Jak się do tego zabrać?

Po pierwsze: Rozpoznaj taktykę przeciwnika. Drukarka też ma swoje słabe punkty, które mogą stać się celem ataku.

Zanim zaczniesz cokolwiek „zabezpieczać”, zrób ten prosty test mentalny: Czy pozwoliłbyś, żeby w twojej sieci stał komputer z dyskiem i kilkoma usługami, którego nikt nie patchuje, nikt nie loguje, a panel admina jest dostępny z VLAN-u użytkowników?

Jeśli odpowiedź brzmi „nie”, to gratulacje. Przy okazji… właśnie opisałeś typową drukarkę w trybie fabrycznym.

Załóżmy, że firma dokonała dobrego wyboru – urządzenia drukujące spełniają normy bezpieczeństwa, mają certyfikowane moduły, wspierają szyfrowanie, audyt, kontrolę dostępu. To jednak tylko pozorne bezpieczeństwo.

Bo urządzenie „prosto z pudełka”: otwiera zbyt wiele portów, udostępnia zbędne protokoły, nie wymusza haseł, pozwala drukować wszystko każdemu, nie szyfruje transmisji, nie zapisuje logów, nie integruje się z żadną polityką firmy…

To jak posiadać najlepszy miecz… i walczyć gołymi rękami.

To nie jest teoria. To jest codzienność w biurach. Domyślna konfiguracja MFP jest wygodna dla użytkownika, ale zdradliwa dla bezpieczeństwa i śmiertelna dla infrastruktury.

Po drugie: Nie klikaj na czuja. Użyj Security Settings Navigator

Jeśli teraz myślisz: „OK, to wejdę w ustawienia i wyłączę wszystko” – stop.
Samuraj nie macha mieczem na oślep.

W japońskim uniwersum możesz sięgnąć po narzędzie typu Security Settings Navigator, które prowadzi cię przez hardening jak mistrz podczas treningu w dojo:

• zadaje kilka pytań o środowisko (dosłownie kilka, bez doktoratu),
• podpowiada zmiany zgodne z dobrymi praktykami NIST: minimalizacja uprawnień, ograniczenie usług, segmentacja, szyfrowanie,
• na końcu daje ci konkretną listę ustawień do wdrożenia.

– W praktyce drukarki rzadko mają  przypisanego jednego „właściciela”, a w efekcie są trochę niczyje. Admin sieci widzi je jako kolejny adres IP do ogarnięcia, security skupia się na serwerach i firewallach, a sama drukarka ląduje gdzieś pomiędzy – podłączona do sieci, z własnym systemem i usługami, których nikt na co dzień nie pilnuje.

Security Settings Navigator pomaga domknąć ten temat bez zgadywania. Zamiast klikania „na wyczucie” prowadzi krok po kroku i zamienia ogólne zasady bezpieczeństwa w konkretne, sensowne ustawienia urządzenia. Bez wróżenia z fusów i przypadkowego klikania wszystkiego, co da się wyłączyć – mówi Daniel Mazur, dyrektor działu technicznego w Inforoffice Polska.

Po trzecie: Spójrz zagrożeniom w oczy.

Chcesz prostą zasadę NIST-ową, która robi największą różnicę? Powiąż operacje z tożsamością.

Jeśli dziś u ciebie jest tak:

• każdy może podejść i wydrukować/zeskanować,
• „PIN jest wspólny”,
• logi są „jakieś” albo żadne,

to masz idealne warunki, żeby w razie incydentu ktoś powiedział: „to nie ja” – i na tym kończy się badanie ścieżek wroga.

Zrób więc to, co robisz w innych systemach:

• włącz uwierzytelnianie (karta/PIN/SSO),
• rozdziel role (użytkownik vs admin vs użytkownik vs serwis),
• ogranicz funkcje zależnie od roli,
• loguj i audytuj.

– Największa różnica ‘po hardeningu’ to moment, w którym operacje na MFP przestają być anonimowe. Jeśli drukujesz, kopiujesz, skanujesz – to jest to przypięte do tożsamości – dodaje Daniel Mazur, Inforoffice Polska.

Po czwarte: Zamknij zbędne bramy. Mniej protokołów = mniej problemów

Teraz robisz ulubioną część adminów: redukcję powierzchni ataku. Wyobraź sobie MFP jako zamek. Jeśli masz 12 bram, to cyberninja nie musi być geniuszem – wystarczy, że jedna jest uchylona.

Twoje zadanie:

• wyłącz protokoły, których nie używasz (serio, nie używasz),
• zostaw tylko te, które są potrzebne do realnych procesów,
• zabezpiecz panel administratora: tylko HTTPS i dostęp wyłącznie z określonych adresów/VLANów.
• kontroluj pozostałą komunikację: skonfiguruj ACL/filtry IP i segmentację.

To jest dokładnie ta część, w której drukarka przestaje być „łatwym celem”.

Po piąte: “Szyfruj albo giń” + FIPS 140-3

Tu wchodzimy na poziom, gdzie nie da się już powiedzieć: „to tylko drukarka”. MFP przetwarza dane. Czasem bardzo wrażliwe.

To oznacza, że:

• dane w spoczynku (na dysku),
• dane w tranzycie (po sieci),
• tożsamość i rozliczalność (kto, co, kiedy zrobił)

…muszą być chronione jak w każdej innej części IT.

FIPS 140-3 jest standardem certyfikacji modułów kryptograficznych. Nie chodzi o to, żebyś teraz recytował listę algorytmów. Chodzi o to, żeby kryptografia w urządzeniu była sprawdzalna, aktualna i sensownie wdrożona.

W praktyce:

• szyfrujesz dane na dysku (żeby kradzież urządzenia nie była kradzieżą danych),
• wymuszasz TLS/HTTPS (żeby wydruki i skany nie latały “plaintextem”),
• spinasz urządzenie z katalogiem/SSO (żeby operacje były przypisane do użytkownika).

– Kryptografia i tożsamość to dwa filary. Jeśli drukujesz bez autoryzacji i bez szyfrowania, to nawet najlepszy firewall nie uratuje cię przed własną infrastrukturą – dodaje Dariusz Szwed, Canon Polska.

Po szóste:Posprzątaj po sobie. Bufory i historie to też dane

NIST 800-88 mówi o sanitizacji danych. Brzmi prawie tak samo jakbym mówił do Ciebie po japońsku?

W odniesieniu do MFP oznacza to: nie zostawiaj śladów, które ktoś może później wykorzystać przeciw Tobie.

Sprawdź/włącz:

• automatyczne czyszczenie danych zadań i buforów,
• nadpisywanie danych tam, gdzie jest wspierane,
• sensowną retencję logów (żeby pomagały, a nie szkodziły).

To jeden z tych rytuałów, których znaczenia często się nie docenia, dopóki nie nadejdzie czas próby, a audyt lub incydent nie odsłoni prawdy…

Po siódme: Pokaż mi porty, a powiem ci, czy Twoja twierdza przetrwa oblężenie

Przed hardeningiem często zobaczysz:

• dużo otwartych portów,
• kilka aktywnych usług „bo tak”,
• admina dostępnego z sieci użytkowników,
• brak twardego wymuszenia szyfrowania.

Po wdrożeniu polityk w duchu NIST i FIPS:

• portów robi się wyraźnie mniej (czasem drastycznie),
• zostają tylko potrzebne usługi,
• admin jest w kontrolowanej strefie,
• komunikacja jest szyfrowana,
• stare protokoły znikają.

To nie jest kosmetyka. To jest realna zmiana profilu obrony: ograniczona powierzchnia ataku, większa szansa na przetrwanie, gdy nocą do bram podejdzie wróg.

Security Settings Navigator oczywiście nie jest lekarstwem na wszystko.
Masz flotę? Potrzebujesz zarządzania.

Jeśli masz jedną drukarkę, możesz przemierzać drogę bezpieczeństwa jako wojownik samotnik, który zna każdy port, każdą usługę, każdy ruch maszyny. Jeśli masz ich 80… to już nie jest nawet dojo, tylko pełnowymiarowe pole bitwy, włączające konieczność strategicznego planowania.

Security Settings Navigator ma sens szczególnie dla małych środowisk lub pojedynczych urządzeń.

Przy dużej skali nie chodzi już tylko o ochronę. Chodzi o dyscyplinę – o to, by każde urządzenie, w każdej lokalizacji, działało zgodnie z jedną ścieżką, jednym kodeksem.

Do tego potrzeba już narzędzi zdolnych do:

• masowych zmian konfiguracji,
• weryfikacji zgodności,
• aktualizacji,
• raportów pod audyt

I ten wątek otwiera kolejną sagę o Samuraju, który strzeże firmowych danych.

Hardening jest rytuałem wejścia, a utrzymanie zgodności – dowodem, że wojownik pozostaje wierny swojemu przeznaczeniu.