Sigurnost platforme – obezbeđivanje hardvera i firmvera računara, laptopova i štampača – često se zanemaruje, slabeći položaj cyber sigurnosti u godinama koje dolaze, prema HP-u.
Izvještaj, zasnovan na globalnoj studiji od 800+ osoba koje donose odluke o IT i sigurnosti (ITSDM) i 6000+ radnika koji rade sa bilo kojeg mjesta (WFA), pokazuje da sigurnost platforme predstavlja rastuću zabrinutost s 81% ITSDM-ova koji se slažu da hardver i Sigurnost firmvera mora postati prioritet kako bi se osiguralo da napadači ne mogu iskoristiti ranjive uređaje.
Međutim, 68% navodi da se ulaganje u sigurnost hardvera i firmvera često zanemaruje u ukupnim troškovima vlasništva (TCO) za uređaje. To dovodi do skupih sigurnosnih glavobolja, troškova upravljanja i neefikasnosti dalje u nizu.
Pet faza životnog ciklusa uređaja
Odabir dobavljača – Osim toga, 34% kaže da dobavljač računara, laptopa ili štampača nije prošao reviziju cyber sigurnosti u posljednjih pet godina, a 18% kaže da je kvar bio toliko ozbiljan da su raskinuli ugovor. 60% ITSDM-ova kaže da nedostatak IT i sigurnosnog angažmana u nabavci uređaja dovodi organizaciju u opasnost.
Uključivanje i konfiguracija – 53% ITSDM-ova kaže da su lozinke BIOS-a (osnovni ulaz/izlazni sistem) dijeljene, korišćene suviše široko ili da nisu dovoljno jake. Štaviše, 53% priznaje da retko menja BIOS lozinke tokom životnog veka uređaja.
Stalno upravljanje – 60% ITSDM-ova ne ažurira firmver čim postanu dostupni za laptope ili štampače. Daljnjih 57% ITSDM-ova kaže da se plaše ažuriranja u vezi sa firmverom. Ipak, 80% vjeruje da porast vještačke inteligencije znači da će napadači brže razvijati eksploatacije, zbog čega je od vitalnog značaja brzo ažuriranje.
Nadgledanje i sanacija – Svake godine izgubljeni i ukradeni uređaji koštaju organizacije oko 8,6 milijardi dolara. Svaki peti zaposlenik WFA izgubio je računar ili mu je jedan ukraden, a u prosjeku je trebalo 25 sati prije nego što obavijesti IT.
Second Life i prestanak rada – 47% ITSDM-ova kaže da su zabrinutosti za sigurnost podataka glavna prepreka kada je u pitanju ponovna upotreba, preprodaja ili recikliranje računara ili laptopa, dok 39% kaže da je to velika prepreka za štampače.
„Kupovina računara, laptopa ili štampača je sigurnasna odluka sa dugoročnim uticajem na infrastrukturu endpoints organizacije. Određivanje prioriteta, ili nedostatak istih, sigurnosnih zahtjeva hardvera i firmvera tokom nabavke može imati posljedice tokom cijelog životnog vijeka flote uređaja – od povećane izloženosti riziku, do povećanja troškova ili negativnog korisničkog iskustva – ako su postavljeni i zahtjevi sigurnosti i upravljanja nisko u poređenju sa dostupnim najnovijim dostignućima,” upozorava Boris Balacheff , glavni tehnolog za sigurnosna istraživanja i inovacije u HP Inc.
„Od suštinskog je značaja da infrastruktura uređaja krajnjih korisnika postane otporna na cyber rizike. Ovo počinje sa davanjem prioriteta sigurnosti hardvera i firmvera i poboljšanjem zrelosti načina na koji se njima upravlja tokom čitavog životnog ciklusa uređaja širom flote,” dodao je Balacheff.
Previdjeti u procesu odabira dobavljača
52% ITSDM-ova kaže da timovi za nabavku rijetko sarađuju s IT i sigurnošću kako bi provjerili sigurnosne tvrdnje dobavljača za hardver i firmver. 45% ITSDM-ova priznaje da moraju vjerovati da dobavljači govore istinu jer nemaju sredstva da potvrde sigurnosne tvrdnje hardvera i firmvera u RFP-ovima. 48% ITSDM-a čak kaže da su timovi za nabavku poput „jaganjca za klanje“ jer će vjerovati svemu što prodavci kažu.
IT profesionalci su takođe zabrinuti zbog ograničenja njihove sposobnosti da besprekorno ugrade i konfigurišu uređaje do nivoa hardvera i firmvera.
78% ITSDM-a želi ugradnju bez dodira putem cloud-a kako bi uključili sigurnosnu konfiguraciju hardvera i firmvera radi poboljšanja sigurnosti. 57% ITSDM-a osjeća se frustrirano zbog nemogućnosti ugradnje i konfiguracije uređaja putem oblaka.
48% WFA radnika kojima je uređaj dostavljen kući žalilo se da je proces ugradnje i konfiguracije ometajući.
“Uvijek ćete morati odabrati dobavljače tehnologije kojima možete vjerovati. Ali kada je u pitanju sigurnost uređaja koji služe kao ulazne tačke u vašu IT infrastrukturu, to ne bi trebalo biti slijepo povjerenje,” komentariše Michael Heywood , službenik za sigurnost poslovnih informacija, Cyber-sigurnost lanca nabave u HP Inc.
Izazovi oko tekućeg upravljanja, praćenja i sanacije uređaja
71% ITSDM-ova kaže da je porast modela rada sa bilo kojeg mjesta otežao upravljanje sigurnošću platforme, utječući na produktivnost radnika i stvarajući rizično ponašanje.
Svaki četvrti zaposleni radije bi podnio laptop sa lošim performansama nego tražio od IT-a da ga popravi ili zamijeni jer ne može priuštiti zastoj.
49% zaposlenih je poslalo svoj laptop na popravku i kaže da je za popravku ili zamenu uređaja bilo potrebno više od 2,5 dana, primoravajući mnoge da koriste svoj lični laptop za posao ili da ga pozajme od porodice ili prijatelja – brišući granice između ličnih i profesionalnu upotrebu.
12% je imalo neovlašćenog provajdera treće strane da popravi radni uređaj, što je potencijalno ugrozilo sigurnost platforme i zamračilo pogled IT-a na integritet uređaja.
Nadgledanje i ispravljanje pretnji hardvera i firmvera kako bi se sprečilo da hakeri pristupe osetljivim podacima i kritičnim sistemima je od vitalnog značaja. Međutim, 79% ITSDM-ova kaže da njihovo razumijevanje sigurnosti hardvera i firmvera zaostaje za njihovim znanjem o sigurnosti softvera. Štaviše, nedostaju im zreli alati koji bi im dali vidljivost i kontrolu koju bi željeli da upravljaju sigurnošću hardvera i firmvera u svojoj floti.
63% ITSDM-ova kaže da se suočavaju sa više endpoints-a oko ranjivosti hardvera i firmvera uređaja i pogrešnih konfiguracija. 57% ne može analizirati uticaj prošlih sigurnosnih događaja na hardver i firmver kako bi procijenilo uređaje u opasnosti.
60% kaže da je otkrivanje i ublažavanje napada na hardver ili firmver nemoguće, gledajući na sanaciju nakon provale kao jedini put.
„Remedijacija nakon provale je gubitnička strategija kada su u pitanju napadi na hardver i firmver,“ upozorava Alex Holland , glavni istraživač prijetnji u HP-ovoj laboratoriji za sigurnost.
Drugi život i prestanak rada
Sigurnosni problemi platforme takođe ometaju sposobnost organizacija da ponovo koriste, recikliraju ili preprodaju uređaje na kraju radnog veka.
59% ITSDM-ova kaže da je preteško dati uređajima drugi život i stoga često uništavaju uređaje zbog zabrinutosti za sigurnost podataka. 69% kaže da sjede na značajnom broju uređaja koji bi mogli biti prenamijenjeni ili donirani ako bi ih mogli dezinficirati. 60% ITSDM-ova priznaje da njihov neuspjeh u recikliranju i ponovnom korištenju savršeno upotrebljivih prijenosnih računala dovodi do epidemije e-otpada.
Što dodatno komplikuje stvar, mnogi zaposleni sjede na starim radnim uređajima. Ovo ne samo da sprečava prenamjenu uređaja, već takođe stvara rizike za sigurnost podataka oko uređaja bez roditelja koji još uvijek mogu nositi korporativne podatke.
70% zaposlenih u WFA ima najmanje 1 stari radni PC/laptop kod kuće ili u svom uredskom radnom prostoru. 12% radnika WFA napustilo je posao bez da su odmah vratili svoj uređaj – a skoro polovina njih kaže da nikada nije.
“IT timovi gomilaju uređaje na kraju životnog vijeka jer im nedostaje sigurnost da su svi osjetljivi podaci kompanije ili lični podaci potpuno izbrisani – što samo po sebi može predstavljati rizik za sigurnost podataka i negativno utjecati na ciljeve ESG-a. Ključno je pronaći uglednog dobavljača IT imovine koji koristi najnovije industrijske standardne procese brisanja ili uništavanja medija i koji daje certifikat za sanaciju podataka kako biste mogli ispuniti zahtjeve usklađenosti,” komentira Grant Hoffman , viši potpredsjednik operacija i portfelja, HP rješenja.
69% organizacija kaže da se njihov pristup upravljanju sigurnošću hardvera i firmvera uređaja odnosi samo na mali dio njihovog životnog ciklusa. Ovo ostavlja uređaje izloženim, a timovi ne mogu pratiti i kontrolisati sigurnost platforme od odabira dobavljača do stavljanja van pogona.
Izvor:Help Net Security