Jak zabezpieczyć drukarki w sieci firmowej przed nieautoryzowanym dostępem

Przez
Jadwiga Zając
-
0
6
Rate this post
Nowoczesna drukarka biurowa z ekranem dotykowym w firmowym biurze
Źródło: Pexels | Autor: Jakub Zerdzicki

Drukarka jako „słaby punkt” sieci – dlaczego w ogóle się nią przejmować

Drukarka jako mały komputer w sieci firmowej

Współczesna drukarka sieciowa to nie proste urządzenie peryferyjne, lecz pełnoprawny komputer. Ma własny system operacyjny, procesor, pamięć masową, stos sieciowy, panel www do zarządzania, często moduł Wi‑Fi, a do tego integracje z chmurą i pocztą e‑mail. Z punktu widzenia bezpieczeństwa sieci firmowej niczym nie różni się od serwera aplikacyjnego lub routera, z jedną kluczową różnicą: zwykle jest dużo gorzej pilnowana.

Standardowy scenariusz w małej lub średniej firmie wygląda tak: drukarkę instaluje serwisant, wpisuje proste hasło lub zostawia domyślne, włącza „co się uda”, a potem wszyscy o urządzeniu zapominają. System operacyjny drukarki nie jest aktualizowany latami, panel administracyjny działa po HTTP bez szyfrowania, a dostęp z sieci Wi‑Fi dla gości jest „tymczasowo” otwierany i nikt go później nie zamyka. Tymczasowo często staje się stałym stanem.

Na to nakłada się fakt, że urządzenia drukujące rzadko są objęte formalnym procesem zarządzania zasobami IT. Znane są numery inwentarzowe laptopów i serwerów, ale nikt nie wie dokładnie, ile drukarek stoi w biurze, kto do nich drukuje i jakie dane przez nie przechodzą. To prosta droga do sytuacji, w której drukarka staje się najłatwiejszym wektorem ataku na całą infrastrukturę.

Realne scenariusze ataków przez drukarki

Ataki przez drukarki sieciowe nie są abstrakcją. Nie trzeba wyszukanych exploitów, często wystarczy odrobina wiedzy i cierpliwości. Typowe scenariusze obejmują:

  • Podsłuchiwanie dokumentów w tranzycie – gdy drukowanie odbywa się po niezaszyfrowanych protokołach (RAW/9100, LPR bez zabezpieczeń), osoba z dostępem do tej samej sieci może przechwytywać strumień danych i odtwarzać drukowane dokumenty. Dotyczy to m.in. raportów finansowych, danych kadrowych, wyników badań medycznych czy umów handlowych.
  • Dostęp do panelu administracyjnego – jeśli panel WWW drukarki dostępny jest bez hasła lub z domyślnymi danymi logowania, atakujący może przejąć kontrolę nad urządzeniem, zmienić ustawienia sieciowe, włączyć przekierowanie skanów na własny adres e‑mail, a nawet wgrać zmodyfikowany firmware (przy odpowiednich lukach).
  • Punkt wejścia do sieci – podatności w oprogramowaniu drukarki mogą umożliwić zdalne wykonanie kodu, a więc uruchomienie złośliwego oprogramowania „od wewnątrz” sieci. Z perspektywy firewalli ruch wychodzący z drukarki może wyglądać niewinnie.
  • Sabotaż procesów biznesowych – zdalne kasowanie kolejek wydruku, ciągłe restartowanie urządzeń, wysyłanie setek pustych stron lub blokowanie skanowania. Atak nie musi prowadzić do kradzieży danych; czasem wystarczy skutecznie sparaliżować pracę biura w kluczowym momencie (przetarg, rozliczenia, zamknięcie miesiąca).
  • Odczyt danych z pamięci – wiele urządzeń wielofunkcyjnych ma dyski lub pamięć flash, na których przechowywane są tymczasowo skany i wydruki. Bez odpowiednich mechanizmów czyszczenia można z nich odczytać wcześniejsze dokumenty, nawet po wymianie sprzętu lub jego odsprzedaży.

Najbardziej niepokojące jest to, że duża część takich incydentów może pozostać niewykryta. Jeśli ktoś tylko kopiuje skany wychodzące z drukarki lub od czasu do czasu przechwytuje cześć ruchu, nie ma wyraźnych symptomów ataku. Widzimy jedynie „działającą drukarkę”.

Drukarka jako zasób IT: MŚP kontra korporacje

W dużych organizacjach drukarki sieciowe są traktowane podobnie jak serwery: podlegają inwentaryzacji, mają przypisanych właścicieli, istnieją polityki bezpieczeństwa druku, centralne rozwiązania typu pull printing, audyty, a nawet dedykowane systemy do zarządzania flotą urządzeń. Tam problem jest znany i w miarę uporządkowany.

W małych i średnich firmach sytuacja wygląda zgoła inaczej. Drukarka to zwykle „mebel” – coś, co ma po prostu działać. To prowadzi do niekonsekwencji: z jednej strony rośnie świadomość w obszarze backupów, antywirusa, VPN‑ów, a z drugiej część krytycznych dokumentów przepływa przez urządzenie, którego nikt nie pilnuje. Ta asymetria jest szczególnie groźna w biznesach, gdzie drukuje się:

  • dane kadrowo‑płacowe (działy HR, biura rachunkowe),
  • dokumentację medyczną (przychodnie, gabinety),
  • dane finansowe i podatkowe klientów,
  • oferty przetargowe, kosztorysy, projekty techniczne.

Różnica podejścia wynika też z budżetu i zasobów. Korporacje mają zespoły bezpieczeństwa, narzędzia, standardy. MŚP musi często coś „dokręcić” przy okazji, wykorzystując istniejącą infrastrukturę i osoby, które nie są specjalistami od cyberbezpieczeństwa. Z tego powodu sensowne są tylko takie działania, które są realistyczne do wdrożenia – i to na nich warto się skupić.

Koszt zaniedbań: nie tylko RODO i kary

Najczęściej wymienianym ryzykiem przy wycieku danych z drukarek są kary administracyjne (RODO, przepisy branżowe). To oczywiście istotne, ale w praktyce bardziej bolesne bywają konsekwencje biznesowe i reputacyjne. Utrata zaufania klientów, którzy dowiadują się, że ich dane osobowe lub finansowe wyciekły, jest trudna do odrobienia. Jeszcze trudniejsza może być sytuacja, kiedy do konkurencji trafia pełna dokumentacja ofert, cenniki lub projekty.

Drukarka jest też elementem łańcucha dowodowego. Jeśli dochodzi do incydentu, a organizacja nie ma żadnych logów wydruków, informacji kto co i kiedy drukował, trudniej obronić się przed zarzutami „braku należytej staranności”. Z drugiej strony, rozsądnie skonfigurowany system druku i skanowania ułatwia wykazanie, że pewne działania były niemożliwe lub bardzo mało prawdopodobne.

Do tego dochodzą koszty operacyjne. Incydent z udziałem drukarek może wymagać:

  • przeglądu całej sieci,
  • aktualizacji firmware’u i sterowników,
  • przeglądów umów z dostawcami (outsourcing druku, serwis),
  • dodatkowych szkoleń dla personelu.

Robione pod presją czasu i „na już” kosztują zawsze więcej niż spokojna, zaplanowana praca wdrożeniowa.

Kiedy komplikowanie zabezpieczeń drukarek nie ma sensu

Jedną z częstszych pułapek jest próba wdrożenia w małej firmie modeli bezpieczeństwa żywcem przeniesionych z korporacji. Wymuszenie zaawansowanego IPsec na drukarce sprzed kilku lat, rozbudowane systemy uwierzytelniania, integracje z katalogiem użytkowników – to wszystko może na papierze wyglądać imponująco, ale w praktyce generować więcej problemów niż zysków.

Dla mikrofirm (kilka osób, jedna drukarka sieciowa) często lepszym rozwiązaniem jest redukcja powierzchni ataku zamiast dokładania złożonych warstw kontroli. Przykłady prostych, a skutecznych rozwiązań:

  • odłączenie drukarki od sieci Wi‑Fi i podpięcie jej wyłącznie kablem do routera,
  • zablokowanie dostępu do panelu administracyjnego z całej sieci poza jednym, zaufanym komputerem,
  • rezygnacja z funkcji „drukowania z chmury” oferowanej przez producenta, gdy nikt realnie z tego nie korzysta,
  • ustawienie drukarki w takim miejscu, by nikt z zewnątrz (goście, kurierzy, klienci) nie miał fizycznego dostępu do wydruków.

To nie oznacza, że temat bezpieczeństwa drukarek można zignorować. Oznacza raczej, że poziom komplikacji zabezpieczeń trzeba dopasować do rozmiaru i profilu ryzyka firmy. Często wyłączenie zbędnych funkcji i uporządkowanie podstaw przynosi wyraźnie większy efekt niż wdrażanie modnych „enterprise’owych” rozwiązań.

Dwóch pracowników obsługuje drukarkę w nowoczesnym biurze
Źródło: Pexels | Autor: Mikhail Nilov
Pracownik obsługuje drukarkę w nowoczesnym biurze
Źródło: Pexels | Autor: Mikhail Nilov

Inwentaryzacja i klasyfikacja urządzeń drukujących – punkt startowy

Spis wszystkich urządzeń: nie tylko „duże” drukarki

Żadne sensowne zabezpieczenie drukarek w sieci firmowej nie uda się bez rzetelnej inwentaryzacji. Chodzi nie tylko o duże, sieciowe urządzenia wielofunkcyjne, ale również:

  • małe drukarki USB podłączone do pojedynczych komputerów,
  • drukarki Wi‑Fi kupione ad hoc przez zespół handlowy,
  • urządzenia 3‑w‑1 (druk, skan, kopiarka) stojące „tymczasowo” w magazynie lub oddziale,
  • skanery sieciowe, które wysyłają dokumenty na e‑mail lub do folderów współdzielonych,
  • starsze kopiarki, które w praktyce pełnią rolę serwerów wydruku lub repozytorium skanów.

Dobrym podejściem jest przejście przez biuro z listą kontrolną i fizyczne odnotowanie każdego urządzenia, a następnie weryfikacja listy z pomocą skanowania sieci (np. prostym narzędziem do wykrywania urządzeń w danej podsieci). Różnice między „tym, co widać w biurze”, a „tym, co odpowiada w sieci” bywają zaskakujące.

Jakie dane zebrać o każdej drukarce

Aby z klasyfikacji sprzętu wyciągnąć praktyczne wnioski, warto zebrać minimalny zestaw informacji o każdym urządzeniu drukującym:

  • Model i producent – przyda się do sprawdzenia dostępności aktualizacji firmware’u, dokumentacji dotyczącej bezpieczeństwa oraz listy obsługiwanych protokołów.
  • Adres IP / sposób podłączenia – czy to urządzenie ma stały adres IP, korzysta z DHCP, jest podłączone przez USB do komputera, komunikuje się przez Wi‑Fi czy LAN.
  • Lokalizacja fizyczna – piętro, pokój, dział. Lokalizacja ma znaczenie przy ocenie ryzyka dostępu do wydruków przez osoby niepowołane.
  • Typ użytkowników – czy korzysta z niej cały dział, wybrane osoby, czy jest to sprzęt „dla wszystkich” (np. drukarka przy recepcji).
  • Charakter drukowanych/skanowanych dokumentów – ogólne (np. materiały marketingowe), poufne (umowy, oferty), wrażliwe (dane osobowe, medyczne, kadrowe).
  • Funkcje dodatkowe – skan na e‑mail, skan do folderu SMB/FTP, faksowanie, druk bezpośredni z USB, chmura producenta.

Nie trzeba tworzyć rozbudowanej bazy CMDB. Wystarczy zwykły arkusz, by mieć materiał do dalszych decyzji: które urządzenia wymagają priorytetowych działań, a które są mniej krytyczne.

Klasy ryzyka dla urządzeń drukujących

Na podstawie takiej inwentaryzacji można wprowadzić prosty, ale użyteczny podział na klasy ryzyka. Nie chodzi o skomplikowaną metodykę, lecz o jasne etykiety, które pomogą ustalić poziom wymaganego zabezpieczenia.

Klasa urządzeniaCharakterystykaPrzykłady
Niskie ryzykoDruk głównie materiałów ogólnych, brak stałego przechowywania skanów, ograniczony dostęp fizyczny.Drukarka w dziale marketingu drukująca ulotki, materiały szkoleniowe.
Średnie ryzykoMieszany charakter dokumentów, kilkuosobowy dostęp, sporadycznie dane poufne.Drukarka współdzielona przez dział sprzedaży, gdzie drukuje się oferty i umowy.
Wysokie ryzykoRegularne przetwarzanie danych osobowych, finansowych, medycznych lub strategicznych.Urządzenie w HR, sekretariacie zarządu, biurze rachunkowym, kancelarii.

Ten prosty podział pomaga uniknąć skrajności: z jednej strony nadmiernego „utwardzania” drukarki w dziale marketingu, z drugiej – pozostawienia urządzenia kadrowego z domyślnym hasłem i otwartym panelem WWW.

Wykrywanie „dzikich” drukarek i urządzeń Wi‑Fi

Częstym zjawiskiem w firmach bez formalnej polityki druku są „dzikie” drukarki – sprzęt kupowany przez działy na własną rękę, podłączany do sieci Wi‑Fi lub bezpośrednio do laptopów. Zwykle pojawiają się z dobrej woli: ktoś chciał przyspieszyć pracę, bo do jedynej firmowej drukarki stała kolejka.

Problem w tym, że takie urządzenia najczęściej:

  • działają na domyślnej konfiguracji bezpieczeństwa,
  • tworzą dodatkowe, nieautoryzowane punkty dostępu do sieci (np. Wi‑Fi Direct),
  • nie są objęte procesem aktualizacji firmware’u,
  • nie podlegają logowaniu i nadzorowi IT.

Ich wykrycie wymaga połączenia obserwacji „w terenie” z technicznym skanem sieci. Warto też przeprowadzić z pracownikami krótką, szczerą rozmowę: „Jakie urządzenia drukujące faktycznie wykorzystujecie? Czy ktoś używa prywatnej drukarki wpiętej do firmowego laptopa?”. Część informacji wypłynie dopiero wtedy.

Kiedy lepiej zrezygnować z części drukarek

Te artykuły też mogą Cię zaciekawić:

Poprzedni artykułJak wybrać drukarkę do małego biura na warszawskiej Woli
Jadwiga Zając
Jadwiga Zając
Jadwiga Zając od ponad dekady zawodowo zajmuje się drukiem biurowym i usługami ksero, ze szczególnym uwzględnieniem potrzeb małych firm z warszawskiej Woli. Na Grafline.pl odpowiada za treści dotyczące eksploatacji drukarek, doboru tuszu i papieru oraz optymalizacji kosztów druku. Zanim poleci konkretne rozwiązanie, testuje je w praktyce – zarówno na sprzęcie domowym, jak i w środowisku intensywnego użytkowania. W pracy redakcyjnej stawia na jasny język, sprawdzone źródła i aktualne dane techniczne, dzięki czemu jej poradniki pomagają uniknąć kosztownych błędów.