Παραβλέπουν την ασφάλεια hardware-firmware επτά στις 10 επιχειρήσεις

Η HP δημοσίευσε μια νέα έκθεση που υπογραμμίζει τις εκτεταμένες επιπτώσεις στην ασφάλεια στον κυβερνοχώρο από την αποτυχία να διασφαλιστούν οι συσκευές σε κάθε στάδιο του κύκλου ζωής τους. Τα ευρήματα δείχνουν ότι η ασφάλεια της πλατφόρμας - η διασφάλιση του hardware και του firmware των υπολογιστών, laptops και των εκτυπωτών - συχνά παραβλέπεται, αποδυναμώνοντας τη στάση της κυβερνοασφάλειας για τα επόμενα χρόνια.

Η έκθεση, η οποία βασίζεται σε παγκόσμια μελέτη 800+ υπευθύνων λήψης αποφάσεων στον τομέα της πληροφορικής και της ασφάλειας (ITSDMs) και 6000+ εργαζομένων που εργάζονται από παντού (WFA), δείχνει ότι η ασφάλεια πλατφόρμας αποτελεί αυξανόμενη ανησυχία, με το 81% των ITSDMs να συμφωνούν ότι η ασφάλεια του hardware και του firmware πρέπει να αποτελέσει προτεραιότητα, ώστε να διασφαλιστεί ότι οι επιτιθέμενοι δεν μπορούν να εκμεταλλευτούν ευάλωτες συσκευές. Ωστόσο, το 68% αναφέρει ότι η επένδυση στην ασφάλεια hardware και του firmware συχνά παραβλέπεται στο συνολικό κόστος ιδιοκτησίας (TCO) των συσκευών. Αυτό οδηγεί σε δαπανηρές επενδύσεις για την ασφάλεια, γενικά έξοδα διαχείρισης και αναποτελεσματικότητα στη συνέχεια.

Τα βασικά ευρήματα από τα πέντε στάδια του κύκλου ζωής των συσκευών περιλαμβάνουν:

• Επιλογή προμηθευτή - Το 34% δηλώνουν ότι ένας προμηθευτής PC, laptop ή εκτυπωτή δεν πληροί τα κριτήρια σε έλεγχο κυβερνοασφάλειας μέσα στα τελευταία πέντε χρόνια, ενώ το 18% δήλωσε ότι η έλλειψη κυβερνοασφάλειας ήταν τόσο σοβαρή ώστε να λήξουν τη σύμβασή τους. Το 60% των ITSDMs δηλώνουν ότι η έλλειψη συμμετοχής των τμημάτων πληροφορικής και ασφάλειας στην προμήθεια συσκευών θέτει τον οργανισμό σε κίνδυνο.
• Εισαγωγή και διαμόρφωση - Περισσότεροι από τους μισούς (53%) των ITSDMs λένε ότι οι κωδικοί πρόσβασης του BIOS μοιράζονται, χρησιμοποιούνται ευρέως ή δεν είναι αρκετά ισχυροί. Επιπλέον, το 53% παραδέχεται ότι σπάνια αλλάζουν τους κωδικούς πρόσβασης BIOS κατά τη διάρκεια ζωής μιας συσκευής.
• Συνεχής διαχείριση - Πάνω από το 60% των ITSDMs δεν προβαίνουν σε ενημερώσεις firmware μόλις αυτές είναι διαθέσιμες για laptops ή εκτυπωτές. Επιπλέον, το 57% των ITSDMs δηλώνουν ότι έχουν FOMU (Fear Of Making Updates) σε σχέση με το firmware. Παράλληλα, το 80% πιστεύει ότι η άνοδος της τεχνητής νοημοσύνης σημαίνει ότι οι επιτιθέμενοι θα αναπτύσσουν ταχύτερα τα exploits, καθιστώντας ζωτικής σημασίας την άμεση ενημέρωση.
• Παρακολούθηση και αποκατάσταση - Κάθε χρόνο, οι χαμένες και κλεμμένες συσκευές κοστίζουν στους οργανισμούς περίπου 8,6 δισ. δολάρια. Ένας στους πέντε υπαλλήλους της WFA έχει χάσει έναν υπολογιστή, με αποτέλεσμα να χρειάζονται κατά μέσο όρο 25 ώρες πριν ειδοποιήσουν το τμήμα IT.
• Δεύτερη ζωή και απόσυρση - Σχεδόν οι μισοί (47%) των ITSDMs λένε ότι οι ανησυχίες για την ασφάλεια των δεδομένων αποτελούν σημαντικό εμπόδιο όταν πρόκειται για επαναχρησιμοποίηση, μεταπώληση ή ανακύκλωση υπολογιστών ή laptops, ενώ το 39% λέει ότι είναι σημαντικό εμπόδιο για τους εκτυπωτές.

«Η αγορά υπολογιστών, laptops ή εκτυπωτών είναι μια απόφαση ασφαλείας με μακροπρόθεσμο αντίκτυπο στην υποδομή των τελικών σημείων ενός οργανισμού. Η ιεράρχηση, ή η έλλειψη αυτής, των απαιτήσεων ασφάλειας του hardware και του firmware κατά τη διάρκεια της προμήθειας μπορεί να έχει επιπτώσεις σε όλη τη διάρκεια ζωής ενός στόλου συσκευών - από την αυξημένη έκθεση σε κινδύνους, μέχρι την αύξηση του κόστους ή την αρνητική εμπειρία των καταναλωτών - εάν οι απαιτήσεις ασφάλειας και διαχειρισιμότητας τίθενται πολύ χαμηλά σε σύγκριση με τη διαθέσιμη κατάσταση της τεχνολογίας», προειδοποιεί ο Boris Balacheff, Chief Technologist for Security Research and Innovation της HP Inc. Ο Balacheff συνεχίζει: «Είναι απαραίτητο οι υποδομές των συσκευών των τελικών χρηστών να γίνουν ανθεκτικές στους κινδύνους στον κυβερνοχώρο. Αυτό ξεκινά με την ιεράρχηση της ασφάλειας του hardware και του firmware και τη βελτίωση του τρόπου διαχείρισής τους σε ολόκληρο τον κύκλο ζωής των συσκευών».

From Factory to Fingertips – οι παραβλέψεις στη διαδικασία επιλογής προμηθευτή και οι περιορισμοί στην εισαγωγή και τη διαμόρφωση επηρεάζουν την ασφάλεια της συσκευής σε όλο τον κύκλο ζωής της

Τα ευρήματα αναδεικνύουν την αυξανόμενη ανάγκη να συμμετέχουν τα τμήματα πληροφορικής και ασφάλειας στη διαδικασία προμήθειας νέων συσκευών, να θέτουν τις απαιτήσεις και να επαληθεύουν τους ισχυρισμούς του προμηθευτή για την ασφάλεια:

• Το 52% των ITSDMs δηλώνουν ότι οι ομάδες προμηθειών σπάνια συνεργάζονται με τις αντίστοιχες πληροφορικής και ασφάλειας για να επαληθεύσουν τους ισχυρισμούς των προμηθευτών για την ασφάλεια του hardware και του firmware.
• Το 45% των ITSDMs παραδέχονται ότι πρέπει να εμπιστεύονται ότι οι προμηθευτές λένε την αλήθεια, καθώς δεν έχουν τα μέσα για να επικυρώσουν τα επίπεδα ασφάλειας hardware και firmware στις προσκλήσεις υποβολής προσφορών.
• Το 48% των ITDMS δηλώνουν ακόμη ότι οι ομάδες προμηθειών είναι σαν «πρόβατα στη σφαγή», καθώς πιστεύουν οτιδήποτε λένε οι προμηθευτές.

Οι επαγγελματίες των τμημάτων πληροφορικής ανησυχούν για τους περιορισμούς της ικανότητάς τους να εισάγουν και να διαμορφώνουν απρόσκοπτα τις συσκευές μέχρι το επίπεδο hardware και του firmware.

• Το 78% των ITSDMs επιθυμεί το zero-touch onboarding μέσω cloud να περιλαμβάνει τη διαμόρφωση της ασφάλειας hardware και firmware για τη βελτίωση της ασφάλειας.
• Το 57% των ITSDMs αισθάνονται απογοητευμένοι που δεν μπορούν να διαμορφώσουν συσκευές μέσω του cloud.
• Σχεδόν οι μισοί (48%) εργαζόμενοι WFA που είχαν παραλάβει μια συσκευή στο σπίτι τους παραπονέθηκαν ότι η διαδικασία διαμόρφωσης ήταν αποδιοργανωτική.

«Θα πρέπει πάντα να επιλέγετε παρόχους τεχνολογίας που μπορείτε να εμπιστευτείτε, δίνοντας ιδιαίτερη προσοχή όταν πρόκειται για την ασφάλεια των συσκευών που χρησιμεύουν ως σημεία εισόδου στα συστήματα πληροφορικής σας», σχολιάζει ο Michael Heywood, Business Information Security Officer, Supply Chain Cybersecurity της HP Inc. «Οι οργανισμοί χρειάζονται αδιάσειστα στοιχεία - τεχνικές ενημερώσεις, λεπτομερή τεκμηρίωση, τακτικούς ελέγχους και μια αυστηρή διαδικασία επικύρωσης για να διασφαλιστεί ότι οι απαιτήσεις ασφαλείας πληρούνται και ότι οι συσκευές μπορούν να ενταχθούν με ασφάλεια και αποτελεσματικότητα».

Προκλήσεις και απογοητεύσεις σχετικά με τη συνεχή διαχείριση, παρακολούθηση και αποκατάσταση των συσκευών

Το 71% των ITSDMs δηλώνουν ότι η αύξηση των μοντέλων εργασίας από παντού έχει καταστήσει πιο δύσκολη τη διαχείριση της ασφάλειας των πλατφορμών, επηρεάζοντας την παραγωγικότητα των εργαζομένων και δημιουργώντας επικίνδυνες συμπεριφορές:

• Ένας στους τέσσερις υπαλλήλους προτιμά να κρατήσει το laptop του με κακή απόδοση παρά να ζητήσει από το Τμήμα Πληροφορικής να τον επιδιορθώσει ή να τον αντικαταστήσει, επειδή δεν έχει την πολυτέλεια για τον χρόνο αναμονής.
• Το 49% των εργαζομένων έχουν στείλει το laptop τους για επισκευή και δηλώνουν ότι πήρε πάνω από 2,5 ημέρες για να διορθωθεί ή να αντικατασταθεί η συσκευή, αναγκάζοντας πολλούς να χρησιμοποιούν το προσωπικό τους laptop για τη δουλειά ή να δανείζονται έναν από την οικογένεια ή τους φίλους τους – ξεπερνώντας τα όρια μεταξύ προσωπικής και επαγγελματικής χρήσης.
• Το 12% είχε έναν μη εξουσιοδοτημένο τρίτο πάροχο να επισκευάσει μια συσκευή εργασίας, θέτοντας ενδεχομένως σε κίνδυνο την ασφάλεια της πλατφόρμας και κάνοντας τον υπεύθυνο πληροφορικής να αμφιβάλει για την ακεραιότητα της συσκευής.

Η παρακολούθηση και αποκατάσταση των απειλών του hardware και του firmware για την αποτροπή της πρόσβασης φορέων απειλών σε ευαίσθητα δεδομένα και κρίσιμα συστήματα είναι ζωτικής σημασίας. Ωστόσο, το 79% των ITSDMs δηλώνουν ότι η κατανόηση της ασφάλειας hardware και firmware υστερεί σε σχέση με τις γνώσεις τους για την ασφάλεια του software. Επιπλέον, δεν διαθέτουν εργαλεία που θα τους έδιναν την παρακολούθηση και τον έλεγχο που θα ήθελαν για να διαχειριστούν την ασφάλεια hardware και firmware σε όλες τις συσκευές τους:

• Το 63% των ITSDMs δηλώνουν ότι αντιμετωπίζουν πολλαπλά τυφλά σημεία γύρω από τις ευπάθειες και τις λανθασμένες ρυθμίσεις hardware και firmware των συσκευών.
• Το 57% δεν μπορεί να αναλύσει τον αντίκτυπο προηγούμενων συμβάντων ασφαλείας στο hardware και firmware για να αξιολογήσει τις συσκευές που διατρέχουν κίνδυνο.
• Το 60% δηλώνει ότι η ανίχνευση και ο μετριασμός των επιθέσεων hardware ή firmware είναι αδύνατη, θεωρώντας την αποκατάσταση μετά την παραβίαση ως τη μόνη λύση.

«Η αποκατάσταση μετά την παραβίαση είναι μια χαμένη στρατηγική όταν πρόκειται για επιθέσεις hardware και firmware», προειδοποιεί ο Alex Holland, Principal Threat Researcher στο HP Security Lab. «Αυτές οι επιθέσεις μπορούν να παραχωρήσουν στους αντιπάλους πλήρη έλεγχο των συσκευών. Τα παραδοσιακά εργαλεία ασφαλείας δεν είναι εξοπλισμένα για αυτές τις απειλές, καθώς τείνουν να εστιάζουν στα επίπεδα λειτουργικού συστήματος και software, καθιστώντας την ανίχνευση σχεδόν αδύνατη. Η πρόληψη ή ο περιορισμός αυτών των επιθέσεων από την πρώτη στιγμή είναι ζωτικής σημασίας για να παραμείνουν μπροστά, διαφορετικά οι οργανισμοί κινδυνεύουν με μια απειλή που δεν μπορούν να δουν - και δεν μπορούν να απομακρύνουν».

Δεύτερη ζωή και απόσυρση - πώς οι ανησυχίες για την ασφάλεια των δεδομένων οδηγούν σε επιδημία ηλεκτρονικών αποβλήτων

Οι ανησυχίες για την ασφάλεια των πλατφορμών εμποδίζουν επίσης την ικανότητα των οργανισμών να επαναχρησιμοποιούν, να ανακυκλώνουν ή να μεταπωλούν τις συσκευές στο τέλος του κύκλου ζωής:

• Το 59% των ITSDMs δηλώνουν ότι είναι πολύ δύσκολο να δώσουν στις συσκευές μια δεύτερη ζωή και έτσι συχνά καταστρέφουν τις συσκευές λόγω ανησυχιών για την ασφάλεια των δεδομένων.
• Το 69% δηλώνει ότι διατηρεί ένα πολύ σημαντικό αριθμό συσκευών που θα μπορούσαν να επαναχρησιμοποιηθούν ή να δωριστούν εάν μπορούσαν να τις απολυμάνουν.
• Το 60% των ITSDM παραδέχονται ότι η αποτυχία τους να ανακυκλώσουν και να επαναχρησιμοποιήσουν λειτουργικά laptops οδηγεί σε επιδημία ηλεκτρονικών αποβλήτων.

Περιπλέκοντας περαιτέρω τα πράγματα, πολλοί εργαζόμενοι διατηρούν παλιές συσκευές εργασίας. Αυτό όχι μόνο εμποδίζει την επαναχρησιμοποίηση των συσκευών, αλλά δημιουργεί επίσης κινδύνους για την ασφάλεια των δεδομένων γύρω από τις συσκευές που εξακολουθούν να μεταφέρουν εταιρικά δεδομένα.

Το 70% των εργαζομένων WFA έχουν τουλάχιστον 1 παλιό υπολογιστή/laptop εργασίας στο σπίτι ή στο χώρο εργασίας του γραφείου τους.

Το 12% των εργαζομένων WFA έχει φύγει από μια θέση εργασίας χωρίς να επιστρέψει αμέσως τη συσκευή του - και σχεδόν οι μισοί από αυτούς δηλώνουν ότι δεν το έκαναν ποτέ.

«Οι ομάδες πληροφορικής κρατάνε συσκευές που δεν χρησιμοποιούν επειδή δεν είναι σίγουροι ότι όλα τα ευαίσθητα εταιρικά ή προσωπικά δεδομένα έχουν διαγραφεί πλήρως - κάτι που από μόνο του μπορεί να δημιουργήσει κινδύνους για την ασφάλεια των δεδομένων και να επηρεάσει αρνητικά τους στόχους της ESG. Η εύρεση ενός αξιόπιστου προμηθευτή διάθεσης περιουσιακών στοιχείων πληροφορικής που χρησιμοποιεί τις πιο πρόσφατες βιομηχανικά τυποποιημένες διαδικασίες διαγραφής ή καταστροφής μέσων και παρέχει πιστοποιητικό αποκατάστασης δεδομένων, ώστε να μπορείτε να ανταποκριθείτε στις απαιτήσεις συμμόρφωσης, είναι το κλειδί», σχολιάζει ο Grant Hoffman, SVP Operations and Portfolio της HP Solutions.

Απαιτείται μια νέα προσέγγιση του κύκλου ζωής της συσκευής για τη βελτίωση της ασφάλειας της πλατφόρμας

Περισσότερα από τα δύο τρίτα (69%) των οργανισμών δηλώνουν ότι η προσέγγισή τους για τη διαχείριση της ασφάλειας του hardware και του firmware των συσκευών αφορά μόνο ένα μικρό μέρος του κύκλου ζωής τους. Αυτό αφήνει τις συσκευές εκτεθειμένες και οι ομάδες αδυνατούν να παρακολουθούν και να ελέγχουν την ασφάλεια της πλατφόρμας από την επιλογή του προμηθευτή έως την απόσυρση.

Για τη διαχείριση της ασφάλειας της πλατφόρμας σε ολόκληρο τον κύκλο ζωής, οι συστάσεις της HP Wolf Security περιλαμβάνουν:

• Επιλογή προμηθευτή: Διασφάλιση της συνεργασίας των ομάδων πληροφορικής, ασφάλειας και προμηθειών για τον καθορισμό των απαιτήσεων ασφάλειας και ανθεκτικότητας για τις νέες συσκευές, την επικύρωση των ισχυρισμών ασφάλειας του προμηθευτή και τον έλεγχο της διακυβέρνησης ασφάλειας κατασκευής του προμηθευτή.
• Εισαγωγή και διαμόρφωση: Διερευνήστε λύσεις που επιτρέπουν την ασφαλή εισαγωγή συσκευών και χρηστών με μηδενική επαφή και την ασφαλή διαχείριση των ρυθμίσεων firmware που δεν βασίζονται σε αδύναμο έλεγχο ταυτότητας, όπως οι κωδικοί πρόσβασης στο BIOS.
• Συνεχής διαχείριση: Προσδιορίστε τα εργαλεία που θα βοηθήσουν τους υπεύθυνους πληροφορικής να παρακολουθεί και να ενημερώνει τις ρυθμίσεις των συσκευών από απόσταση και να αναπτύσσει γρήγορα ενημερώσεις firmware για να μειώσει την εκτεθειμένη επιφάνεια επίθεσης των συσκευών.
• Παρακολούθηση και αποκατάσταση: Εξασφαλίστε ότι οι ομάδες πληροφορικής και ασφάλειας μπορούν να βρίσκουν, να κλειδώνουν και να διαγράφουν δεδομένα από συσκευές εξ αποστάσεως - ακόμη και από εκείνες που είναι απενεργοποιημένες - για να μειωθεί ο κίνδυνος χαμένων και κλεμμένων συσκευών. Βελτιώστε την ανθεκτικότητα με την παρακολούθηση των αρχείων καταγραφής ελέγχου συσκευών για τον εντοπισμό κινδύνων ασφαλείας της πλατφόρμας, όπως η ανίχνευση μη εξουσιοδοτημένων αλλαγών hardware και firmware και ενδείξεων εκμετάλλευσης.
• Δεύτερη ζωή και απόσυρση: Δώστε προτεραιότητα σε συσκευές που μπορούν να διαγράψουν με ασφάλεια ευαίσθητα δεδομένα hardware και firmware, ώστε να καταστεί δυνατή η ασφαλής απόσυρση. Πριν από την επανατοποθέτηση συσκευών, επιδιώξτε τον έλεγχο του ιστορικού υπηρεσιών τους κατά τη διάρκεια της ζωής τους για να επαληθεύσετε την αλυσίδα φύλαξης και την ακεραιότητα του hardware και του firmware.

Για περισσότερες πληροφορίες, μπορείτε να δείτε την πλήρη έκθεση «Securing the Device Lifecycle: From Factory to Fingertips, and Future Redeployment’» εδώ.