La sicurezza delle stampanti viene spesso sottovalutata ma questa periferiche sono, sempre più spesso, il principale obiettivo degli attacchi informatici alle aziende.
“Prima ho ottenuto il controllo delle stampanti, poi il controllo della rete, infine il controllo dei loro dati… E grazie a quanto ho rubato qui, queste persone stanno per passare una gran brutta giornata”.
Si tratta di un estratto dal cortometraggio prodotto da HP, con protagonista Christian Slater nella parte di “the wolf”, in cui l’attore dimostra come una semplice stampante in ufficio possa rivelarsi una minaccia per la sicurezza.
Come sappiamo, molte stampanti includono funzionalità per la scansione e la stampa da remoto; la maggior parte è dotata di hard disk simili a quelli dei pc, in cui vengono archiviate copie digitali di tutti i documenti sottoposti a scansione, copiati, inviati tramite email e stampati: informazioni personali sui dipendenti, numeri di carte di credito, copie di documenti di identità, cartelle sanitarie e documenti riservati di ogni genere e tipo passano dalle nostre stampanti.
E di ogni documento che elaborano, le stampanti moderne conservano una copia.
Considerate le dimensioni medie delle nostre aziende, è certamente più facile che le nostre imprese siano dotate di una o più stampanti, piuttosto che di sofisticati dispositivi IoT iperconessi: quindi, proteggere le stampanti diventa una parte fondamentale dell’innalzamento dei livelli di sicurezza delle aziende.
Da una recente statistica a livello globale emerge che il 61% delle organizzazioni ha segnalato almeno una violazione dei dati correlata alle stampanti, collegata a uno o più dei seguenti fattori:
- i dispositivi forniti da alcuni produttori non offrono impostazioni di sicurezza appropriate;
- le aziende non applicano gli aggiornamenti per la protezione, che spesso richiedono l’installazione manuale;
- la protezione della stampante non viene attivata per banale noncuranza o sottovalutazione del rischio;
- le stampanti si trovano all’esterno del firewall di rete;
- i documenti vengono intercettati da un hacker;
- gli hacker controllano in remoto la stampante, interferendo con la protezione aziendale.
Alcuni indici rivelatori di un problema alle stampanti possono essere:
- modifiche impreviste/non autorizzate alle impostazioni di configurazione;
- i dispositivi richiedono più tempo del normale per funzionare o occupano più larghezza di banda di rete del consueto;
- i timestamp non sono allineati o risultano apparentemente illogici;
- si manifesta un aumento anomalo delle comunicazioni con IP o indirizzi email sconosciuti.
Il GDPR impone, com’è ovvio, l’adozione di misure tecniche ed organizzative idonee a mitigare il rischio anche per questi strumenti di uso quotidiano.
Sotto il profilo tecnico, per garantire un’adeguata protezione, le aziende devono perlomeno garantire il rispetto dei seguenti requisiti:
- le stampanti devono trovarsi dietro il firewall aziendale;
- i dispositivi non aziendali non devono essere autorizzati, in linea generale, alla connessione per la stampa (a meno che il responsabile IT abbia autorizzato la stampa dopo aver verificato l’assenza di rischi);
- è necessario attenersi ad una pianificazione per la revisione e l’implementazione degli aggiornamenti del firmware;
- le opzioni di configurazione della protezione contro gli attacchi informatici offerte dal dispositivo devono essere attentamente esaminate sia in fase di acquisto sia in fase di manutenzione della periferica nel tempo e implementate.
Sotto il profilo organizzativo, in primo luogo, devono essere tenute in attenta considerazione le minacce interne all’azienda.
Un documento stampato senza accorgimenti di sicurezza, magari dimenticato per giorni nel vassoio della stampante accessibile a tutti, costituisce una seria ipotesi di data loss ad alto rischio, soprattutto se il documento contiene informazioni confidenziali e/o sensibili.
La policy aziendale sull’utilizzo degli strumenti ICT (vedi il mio articolo precedente) deve, pertanto, tenere conto anche delle corrette modalità di utilizzo della stampa.
Il Titolare del trattamento deve, in particolare, stabilire:
- quando si può stampare fuori dall’orario di lavoro?
- cosa si può stampare?
- chi può stampare determinate tipologie di file?
- cosa fare dei documenti abbandonati a fine giornata?
E’, comunque, indispensabile porre in atto una serie di misure di protezione dei dati contenuti nei documenti stampati, prevedendo che:
- non si possa procedere alla stampa immediata, dotando la stampante di un sistema di holding che impedisca il rilascio del documento fino a che l’utente non si sia autenticato davanti alla macchina con un pin;
- la stampante identifichi in modo univoco l’utente aziendale che ha proceduto alla stampa;
- il sistema tenga traccia completa di tutti i lavori di stampa degli utenti (chi ha stampato, nome del documento, pc utilizzato, stampante di output, data e timestamp della stampa, etc.): in questo modo si eleva anche la responsabilità di chi stampa;
- vi sia la possibilità per il responsabile IT di disporre del controllo degli accessi alle stampanti e di visualizzare i record delle vecchie stampate;
- si possano proteggere ulteriormente i documenti attraverso sistemi avanzati di identificazione quali il watermarking (che consente di inserire una filigrana al momento della stampa con le informazioni dell’utente che ha stampato, la data e l’ora e la stampante utilizzata) o la firma digitale.
Solo adottando queste basilari misure di sicurezza si possono, infatti, rispettare le prescrizioni del GDPR anche in tema di tracciabilità, archiviazione dei dati ed eventuale esercizio dei diritti dell’interessato, come, banalmente, potrebbe accadere nel caso in cui un ex dipendente chiedesse al suo vecchio datore di lavoro di cancellare tutti i dati personali non più necessari tra cui, anche la cronologia delle sue stampe.