Bezpieczne drukarki w firmie – jak chronić urządzenia wielofunkcyjne

Dlaczego drukarki to poważne zagrożenie dla bezpieczeństwa firmy

Większość firm szczegółowo zabezpiecza komputery i serwery, zapominając o urządzeniach, które przez cały dzień spokojnie stoją w kącie biura. Tymczasem nowoczesna drukarka klasy biznesowej to w pełni funkcjonalny komputer sieciowy – z własnym systemem operacyjnym, portem Ethernet, modułem Wi-Fi, a często także dyskiem twardym przechowującym kopie wszystkich drukowanych i skanowanych dokumentów.

Hakerzy chętnie atakują źle zabezpieczone drukarki z kilku powodów:

• Domyślne hasła administratora – większość urządzeń wychodzi z fabryki z identycznymi danymi logowania, które w ciągu sekund można znaleźć w internecie lub w wyszukiwarce Shodan.
• Niezałatane podatności firmware – producenci regularnie wydają poprawki bezpieczeństwa, ale administratorzy rzadko instalują je na drukarkach.
• Nieszyfrowane protokoły – wiele drukarek domyślnie używa FTP, Telnet lub HTTP zamiast bezpiecznych odpowiedników.
• Dysk twardy MFP – urządzenia wielofunkcyjne przechowują na dysku kopie setek lub tysięcy skanowanych dokumentów, w tym umów, faktur i danych osobowych klientów.
• Niezabezpieczone kolejki wydruku – dokumenty czekające w kolejce mogą być przechwycone przez każdego w tej samej sieci firmowej.

Według raportów HP i firmy badawczej Quocirca, ponad 60% przedsiębiorstw doświadczyło w ostatnich latach incydentu bezpieczeństwa związanego z urządzeniami drukującymi. To wystarczający powód, by traktować drukarki jako pełnoprawny element strategii cyberbezpieczeństwa firmy.

Krok 1: Inwentaryzacja i segmentacja sieci drukującej

Zanim zaczniesz cokolwiek konfigurować, musisz wiedzieć, co masz w firmie. Przeprowadź pełną inwentaryzację wszystkich urządzeń drukujących – lokalnych, sieciowych i wielofunkcyjnych. Dla każdego urządzenia zapisz:

• Model i producenta
• Adres IP i adres MAC
• Aktualną wersję firmware
• Lokalizację fizyczną w biurze
• Osobę odpowiedzialną za urządzenie

Kolejny kluczowy krok to segmentacja sieci. Drukarki nie powinny znajdować się w tej samej sieci VLAN co stacje robocze lub serwery. Utwórz osobny VLAN dedykowany urządzeniom drukującym i ogranicz ruch sieciowy do absolutnego minimum – komputery powinny mieć możliwość wysyłania zadań drukowania, ale drukarki nie powinny mieć swobodnego dostępu do reszty infrastruktury firmowej.

Wdróż też reguły firewalla blokujące wychodzące połączenia z drukarek do zewnętrznych adresów IP (poza ruchem aktualizacji firmware od producenta) oraz monitorowanie wszystkich połączeń inicjowanych przez urządzenia drukujące. Stare, nieużywane drukarki podłączone do sieci to łatwy cel – odepnij lub wyłącz urządzenia, które nie są aktywnie używane.

Krok 2: Hardening – podstawowe zabezpieczenia drukarki i MFP

Po zinwentaryzowaniu urządzeń czas na ich twardnienie (hardening). Zaloguj się do panelu administracyjnego każdej drukarki i wykonaj następujące kroki:

1. Zmień domyślne hasło administratora – użyj długiego, unikalnego hasła i zapisz je w firmowym menedżerze haseł. Nigdy nie zostawiaj fabrycznego hasła w niezmienionym stanie.
2. Wyłącz nieużywane protokoły i usługi – zablokuj FTP, Telnet, SNMPv1 i SNMPv2 (zastąp SNMPv3 z uwierzytelnianiem), HTTP (zastąp HTTPS); jeśli nie używasz modułu Wi-Fi, wyłącz go całkowicie.
3. Włącz HTTPS dla panelu administracyjnego – nigdy nie zarządzaj drukarką przez niezaszyfrowane połączenie HTTP.
4. Ogranicz dostęp do panelu admina po IP – panel administracyjny powinien być dostępny wyłącznie ze stacji roboczej administratora IT.
5. Zablokuj porty USB – jeśli drukarka ma port USB i nie jest on potrzebny w codziennej pracy, zablokuj go w konfiguracji lub fizycznie zaślepkami.
6. Skonfiguruj synchronizację czasu (NTP) – prawidłowe znaczniki czasu są niezbędne do wiarygodnej analizy logów bezpieczeństwa.

W przypadku drukarek klasy Enterprise (HP Enterprise, Xerox, Ricoh, Kyocera, Canon imageRUNNER) sprawdź, czy producent udostępnia narzędzie do automatycznego hardeningu lub gotowe szablony polityk bezpieczeństwa. HP oferuje np. narzędzie HP Security Manager, które umożliwia centralne zarządzanie bezpieczeństwem całej floty urządzeń z jednej konsoli.

Krok 3: Kontrola dostępu i bezpieczny wydruk (pull printing)

Niekontrolowany wydruk to nie tylko kwestia kosztów – to przede wszystkim ryzyko wycieku poufnych dokumentów. Kartka z umową lub danymi kadrowymi leżąca przy drukarce przez godzinę, bo pracownik zapomniał ją odebrać, może trafić w niepowołane ręce.

Rozwiązaniem jest wdrożenie bezpiecznego wydruku (pull printing lub follow-me printing). W tym modelu dokument jest wysyłany do kolejki na serwerze, ale fizycznie drukowany dopiero po tym, jak pracownik uwierzytelni się bezpośrednio przy urządzeniu – za pomocą kodu PIN, karty RFID/NFC lub aplikacji mobilnej. Korzyści są wielowymiarowe:

• Dokumenty nigdy nie leżą bez opieki przy drukarce
• Każdy wydruk jest przypisany do konkretnego pracownika w logach audytowych
• Zmniejszają się koszty wydruku – nikt nie drukuje przez pomyłkę
• Zgodność z RODO: dokumenty z danymi osobowymi nie są dostępne dla przypadkowych przechodniów

Do wdrożenia bezpiecznego wydruku możesz użyć rozwiązań takich jak PaperCut MF, Kofax ControlSuite czy wbudowanych funkcji producentów drukarek. W mniejszych firmach wystarczy często natywna funkcja PIN dostępna w modelach klasy biznesowej.

Wdróż też politykę uprawnień drukowania – przydzielaj dostęp do kolorowego wydruku, formatu A3 czy faksowania tylko pracownikom, którzy rzeczywiście tego potrzebują. Uprawnienia zgodne z rolą w organizacji ograniczają zarówno koszty, jak i ryzyko nadużyć.

Krok 4: Szyfrowanie danych i bezpieczne usuwanie nośników MFP

Urządzenia wielofunkcyjne klasy biznesowej wyposażone są w dysk twardy lub pamięć flash, na której zapisywane są kopie skanowanych, kopiowanych i drukowanych dokumentów. To poważne ryzyko z perspektywy RODO – szczególnie gdy urządzenie trafia do zewnętrznego serwisu, jest zwracane po zakończeniu leasingu lub po prostu likwidowane.

Kluczowe działania w tym obszarze:

• Włącz szyfrowanie dysku wewnętrznego – większość urządzeń klasy biznesowej (HP, Xerox, Canon, Ricoh) oferuje tę opcję w ustawieniach zabezpieczeń. Sprawdź dokumentację swojego modelu i upewnij się, że funkcja jest aktywna, a nie tylko dostępna.
• Skonfiguruj automatyczne nadpisywanie danych po zadaniu – po zakończeniu każdego wydruku, skanu lub kopii urządzenie powinno automatycznie nadpisywać tymczasowe dane na dysku. Funkcja ta bywa nazywana Image Overwrite, Secure Erase lub Data Sanitization w zależności od producenta.
• Bezpieczne wyczyszczenie przed oddaniem urządzenia – przed zwrotem leasingodawcy, przekazaniem do serwisu lub likwidacją uruchom pełny certyfikowany reset fabryczny z bezpiecznym nadpisaniem dysku (zgodnie ze standardem NIST 800-88 lub DoD 5220.22-M).
• Fizyczne zniszczenie dysku w ostateczności – jeśli nie możesz zweryfikować skuteczności cyfrowego czyszczenia, rozważ fizyczne wyjęcie i zniszczenie dysku twardego przez certyfikowaną firmę zajmującą się utylizacją nośników.

Pamiętaj: wyciek danych z dysku drukarki podlega takim samym sankcjom RODO jak wyciek z serwera plików. Obowiązek notyfikacji do UODO i ryzyko kary finansowej to realne zagrożenie dla każdej firmy, która zaniedbała ten obszar.

Krok 5: Aktualizacje firmware i stały monitoring urządzeń drukujących

Tak jak komputery wymagają regularnych aktualizacji systemu operacyjnego, drukarki potrzebują aktualizacji firmware. Producenci wydają łatki naprawiające poważne podatności bezpieczeństwa, ale większość firm nigdy ich nie instaluje – bo nikt nie myśli o drukarce jak o urządzeniu wymagającym aktywnego zarządzania IT.

Stwórz w firmie prosty proces zarządzania aktualizacjami firmware:

1. Zapisz się do alertów bezpieczeństwa producentów posiadanych urządzeń (HP, Xerox, Canon, Ricoh, Kyocera)
2. Sprawdzaj dostępność nowych wersji firmware co najmniej raz na kwartał
3. Testuj aktualizacje na jednym urządzeniu przed wdrożeniem na całej flocie
4. Dokumentuj zainstalowane wersje firmware w rejestrze urządzeń

Równie ważny jest bieżący monitoring urządzeń drukujących. Włącz logowanie zdarzeń i skieruj logi na centralny serwer syslog lub do firmowego systemu SIEM. Monitoruj anomalie takie jak:

• Próby logowania do panelu administracyjnego poza godzinami pracy
• Nieoczekiwane połączenia wychodzące inicjowane przez drukarkę
• Masowe skanowanie lub kopiowanie dużej liczby dokumentów w krótkim czasie
• Nieautoryzowane zmiany konfiguracji urządzenia

Zabezpieczenie drukarek i urządzeń MFP to element szerszej strategii bezpieczeństwa IT, obejmującej wszystkie urządzenia podłączone do sieci firmowej. Jeśli potrzebujesz wsparcia w audycie i konfiguracji infrastruktury, specjaliści NovaSys przeprowadzą kompleksową ocenę stanu bezpieczeństwa i wdrożą odpowiednie zabezpieczenia dostosowane do specyfiki Twojej firmy.