De flesta företag har outsourcat skrivarna och köper in färdiga utskriftstjänster från specialiserade leverantörer, så kallade managed print services, MPS. Prispressen gör att leverantörerna fokuserar mer på lågt pris än hög säkerhet, konstaterar vår amerikanska systersajt CSO.

Samtidigt är skrivarna uppkopplade till känsliga delar av företagens nätverk och därmed ett bra mål för den som vill starta en attack. Ironiskt nog är dagens skrivare ofta utrustade med sofistikerade säkerhetsfunktioner som kan anpassas till användarnas behov, men de är normalt avstängda för att förenkla fjärrstyrning för MPS-leverantören.

Vad är ens en skrivare?
Precis som ”telefon” nuförtiden betyder ”en superdator i fickstorlek som också kan användas för röstsamtal” är dagens skrivare en fax, kopiator, webbserver, e-postserver och en ftp-server med gigabit ethernet-anslutning till de känsligaste delarna av ditt kontorsnätverk som lagrar tidigare utskrivna hemliga dokument på en intern hårddisk i princip för alltid (tills MPS-leverantören skrotar printern och känsliga uppgifter på den okrypterade hårddisken hamnar hos någon annan). Ja, dessutom fixar den utskrifter.

Förresten, opatchad dessutom. Det är sällan skrivare patchas. Och de flesta stänger av nätverksövervakningen av trafik som rör skrivarna. ”Snart dags att fylla på toner” är inte ett meddelande som admins vill se i sina loggar så de vitlistar skrivarna.

Till skillnad från vanliga servrar hanteras skrivare ofta utanför it-avdelningen och tas inte med i it-säkerhetspolicyn. Det går knappast att överskatta risken skrivarna utgör och lösningen på problemet är organisatorisk snarare än teknisk.

Skrivare är sårbara för alla typer av attacker
Vad finns det för risker med osäkrade skrivare? Om du stoppar ett gäng webbapplikationer på en printer är det knappast någon någon överraskning att många av dem är sårbara för gamla godingar som CSRF- och XSS-attacker såväl som buffert overflow-attacker.

Skrivare använder proprietär kod
Tillverkarna använder ofta proprietär mjukvara i sina printrar för att låsa in kunderna. Olika typer av skrivare kan inte prata med varandra – eller med admin som använder standardprotokoll. Därför måste företagen antingen hålla sig till en enskild leverantör eller hitta (eller på egen hand utveckla) en plattformsneutral lösning.

Men vem ska hantera skrivarsäkerheten?
Säkerhetsansvariga måste såklart involveras tidigt i processen när nya skrivare ska upphandlas och säkerhetsaspekten måste vara med i anbudet. Men knäckfrågan är ändå: vem bestämmer? Ett otydligt läge där en handfull olika chefer kanske är ansvariga för är att be om problem.

Det klassiska uttrycket att säkerhet är en process, inte en produkt, talar för att it-säkerhetschefen, cso:n, bör äga frågan. Säkerhetsfunktionerna bör vara påslagna och fortsätta att vara det, även efter service (då servicetekniker kanske återställer defaultläget, till exempel)

Stäng alla oanvända portar och stäng av alla tjänster som inte används. Håll koll på nätverkstrafiken kontinuerligt på jakt efter avvikande aktiviteter.

Läs också: Marknaden som vägrar dö – utskrifter slukar ännu stor del av it-budgeten