HP vydalo tradiční zprávu shrnující výsledky nejnovější studie HP Wolf Security. Upozorňuje na závažné důsledky plynoucí z nedostatečného zabezpečení zařízení po celou dobu jejich životnosti.





Ukazuje se, že špatné nebo nedůsledné zabezpečení hardwaru a firmwaru počítačů, notebooků a tiskáren oslabuje kybernetickou bezpečnost firem na dlouhá léta.

Zpráva vychází z globální studie, které se zúčastnilo více než 800 profesionálů odpovědných za IT a bezpečnost (ITSDM) a více než 6000 zaměstnanců pracujících i na dálku (WFA). Upozorňuje na rostoucí význam zabezpečení systémů. Podle 81 % ITSDM je nezbytné zaměřit se na bezpečnost hardwaru a firmwaru, aby se předešlo možnosti zneužití zranitelných zařízení. Přesto 68 % respondentů přiznává, že investice do této oblasti jsou při plánování celkových nákladů na vlastnictví zařízení (TCO) často opomíjeny. Tato nedbalost si následně vyžádá nákladné řešení vzniklých bezpečnostních problémů.

Klíčová zjištění z jednotlivých fází životního cyklu zařízení:

Výběr dodavatele – ⁠⁠⁠⁠⁠⁠ 34 % respondentů přiznalo, že jejich dodavatel počítačů, notebooků nebo tiskáren v posledních pěti letech neprošel auditem kybernetické bezpečnosti. 18 % uvedlo, že v důsledku závažného selhání s dodavatelem ukončilo smlouvu. 60 % odborníků na IT a bezpečnost poukazuje na to, že opomíjení problematiky kyberbezpečnosti při nákupu zařízení je pro firmu rizikové.

Zapojení a konfigurace – ⁠⁠⁠⁠⁠⁠ více než polovina (53 %) ITSDM říká, že hesla systému BIOS jsou sdílena, používána plošně nebo nejsou dostatečně silná. Kromě toho 53 % z nich přiznává, že během celé doby, kdy zařízení využívají, mění hesla do BIOSu jen zřídka.

Průběžná správa – ⁠⁠⁠⁠⁠⁠ přes 60 % ITSDM neprovádí aktualizace firmwaru notebooků nebo tiskáren okamžitě, jakmile jsou k dispozici. Dalších 57 % přiznává, že u nich aktualizace firmwaru vyvolávají FOMU (strach z nestihnutí a vynechání). Přesto 80 % věří, že s rozvojem umělé inteligence bude rychlejší i vývoj útoků, což zvyšuje význam rychlých aktualizací.

Monitorování a náprava – ⁠⁠⁠⁠⁠⁠ ztráty a krádeže zařízení stojí organizace každoročně odhadem 8,6 miliardy dolarů. Každý pátý WFA počítač ztratil nebo mu byl odcizen, a trvalo v průměru 25 hodin, než bylo IT oddělení o této skutečnosti informováno.

Druhý život a vyřazování z provozu – ⁠⁠⁠⁠⁠⁠ téměř polovina (47 %) % ITSDM uvádí, že obavy o bezpečnost dat jsou hlavní překážkou opětovného použití, prodeje nebo recyklace počítačů či notebooků. U tiskáren je to překážka pro 39 % respondentů.

„Nákup PC, notebooků nebo tiskáren je rozhodnutí s dlouhodobým dopadem na bezpečnost. Zanedbání požadavků na zabezpečení hardwaru a firmwaru při nákupu může působit problémy po celou dobu životnosti zařízení.

Nízké požadavky na bezpečnost a možnost správy mohou způsobit zvýšené bezpečnostní riziko, vyšší náklady i negativní uživatelskou zkušenost,“ varuje Boris Balacheff, hlavní technolog divize HP Security Research and Innovation. „

Zařízení koncových uživatelů musejí být odolná vůči kybernetickým hrozbám. Základem je kvalitní zabezpečení a efektivní správa hardwaru a firmwaru po celou dobu životnosti zařízení a napříč celou firmou.“

Od výroby po uživatele – chyby při výběru dodavatelů a nastavení narušují bezpečnost zařízení

Výsledky průzkumu ukazují potřebu zapojit experty na IT a bezpečnost do procesu zadávání zakázek, a to jak při stanovování požadavků, tak při ověřování deklarovaného zabezpečení kupovaných produktů:

52 % ITSDM uvádí, že nákupní týmy jen zřídka spolupracují s oddělením IT a kyberbezpečnosti, když si ověřují tvrzení dodavatelů

45 % ITSDM přiznává, že musí věřit tvrzením dodavatelů o zabezpečení hardwaru a firmwaru, protože nemají prostředky k jejich ověření

48 % ITSDM dokonce tvrdí, že nákupní týmy často působí jako „bezbranné oběti“, protože věří všemu, co dodavatelé uvádějí

IT profesionálové mají také obavy z omezených možností instalovat a konfigurovat zařízení až na úroveň hardwaru a firmwaru.

78 % ITSDM chce, aby bezkontaktní onboarding prostřednictvím cloudu zahrnoval konfiguraci zabezpečení hardwaru a firmwaru, což by zvýšilo úroveň zabezpečení

57 % ITSDM cítí frustraci z toho, že nemohou připojovat a konfigurovat zařízení prostřednictvím cloudu

Téměř polovina (48 %) WFA si stěžovala, že proces instalace a konfigurace po doručení počítače narušoval jejich práci

„Je třeba vybrat takové dodavatele technologií, kterým můžete důvěřovat. V případě zabezpečení zařízení, která slouží jako vstupní body do vaší IT infrastruktury, to nesmí být slepá důvěra,“ komentuje Michael Heywood, Business Information Security Officer v oddělení HP Supply Chain Cybersecurity. „Organizace potřebují jasné důkazy – technické přehledy, podrobnou dokumentaci, pravidelné audity a důsledný validační proces, aby zajistily splnění bezpečnostních požadavků a možnost bezpečné a efektivní implementace zařízení.”

Problémy spojené s průběžnou správou, monitorováním a nápravou zařízení

71 % odborníků na IT a bezpečnost tvrdí, že nárůst práce na dálku ztěžuje zabezpečení, odráží se na produktivitě pracovníků a umožňuje rizikové chování:

Každý čtvrtý zaměstnanec se raději smíří se špatně fungujícím notebookem, než aby požádal IT oddělení o jeho opravu nebo výměnu, protože si nemůže dovolit prostoje

49 % zaměstnanců, kteří nechali svůj notebook opravovat, uvedlo, že zásah trval déle než 2,5 dne. Proto mnozí museli používat k práci svůj osobní notebook, čímž se stírá hranice mezi osobním a pracovním využitím

12 % zaměstnanců si nechalo opravit pracovní zařízení neautorizovaným poskytovatelem, což mohlo ohrozit bezpečnost systému a ztížit IT oddělení kontrolu nad stavem zařízení

Monitorování a náprava hrozeb pro hardware a firmware jsou klíčové pro ochranu citlivých dat a kritických systémů. Přesto 79 % odborníků odpovědných za IT bezpečnost přiznává, že jejich znalosti zabezpečení hardwaru a firmwaru zaostávají za povědomím o softwarové bezpečnosti. Navíc jim chybí pokročilé nástroje pro získávání přehledu a kontroly nad zabezpečením zařízení.

63 % ITSDM tvrdí, že se potýkají s mnoha slepými místy ve zranitelnosti a se špatnými konfiguracemi zařízení

57 % nedokáže analyzovat dopad dřívějších bezpečnostních událostí na hardware a firmware, a určit tak ohrožená zařízení

60 % respondentů tvrdí, že detekce a zmírnění hardwarových nebo firmwarových útoků je nemožné, a za jedinou možnou cestu považují nápravu až po průniku

„V případě útoků na hardware a firmware je náprava po průniku neudržitelná strategie,“ varuje Alex Holland, hlavní výzkumník hrozeb v laboratoři HP Security Lab. „Tyto útoky mohou protivníkům poskytnout plnou kontrolu nad zařízením, mohou se také usadit se hluboko v systémech. Tradiční bezpečnostní nástroje jsou vůči těmto hrozbám slepé, protože se obvykle zaměřují na operační systém a software. Prevence nebo okamžité omezení těchto útoků je klíčem k udržení náskoku, jinak je tu skryté riziko, které nelze efektivně eliminovat.“

Druhý život a vyřazování zařízení – obavy o bezpečnost dat zvyšují množství elektronického odpadu

Obavy o bezpečnost systémů také brání firmám v opakovaném použití, recyklaci nebo dalšímu prodeji vyřazených zařízení:

59 % ITSDM tvrdí, že je příliš těžké dát zařízením druhý život, a proto je často ničí z obav o bezpečnost dat

69 % respondentů tvrdí, že mají na skladě značné množství zařízení, která by mohla být znovu využita nebo darována, pokud by je dokázali bezpečně vymazat

60 % ITSDM přiznává, že jejich neschopnost recyklovat a znovu používat dokonale použitelné notebooky vede k nárůstu množství elektronického odpadu

Další komplikací je, že mnoho zaměstnanců si ponechává starou pracovní techniku. Tím znemožní její další využití, ale také vzniká riziko zcizení dat, protože tato „osiřelá“ zařízení mohou stále obsahovat firemní informace.

70 % WFA má doma nebo ve své kanceláři alespoň jeden starý pracovní počítač nebo notebook

12 % WFA opustilo zaměstnání, aniž by své zařízení ihned vrátili, a téměř polovina z nich tvrdí, že tak neučinili nikdy

„IT týmy často hromadí zařízení po skončení jejich životnosti, protože nemají jistotu, že z nich důkladně odstranili všechna citlivá firemní nebo osobní data – což samo o sobě může představovat riziko pro bezpečnost dat a negativně ovlivnit ESG cíle.

Klíčem je najít spolehlivého partnera pro likvidaci IT zařízení, který využívá nejnovější postupy pro mazání nebo ničení médií a poskytuje certifikát o vyčištění dat v souladu s platnými předpisy,“ komentuje Grant Hoffman, senior viceprezident a generální manažer HP Renew Solutions.

Podmínkou lepšího zabezpečení systémů je nový přístup k životnímu cyklu zařízení.

Více než dvě třetiny (69 %) organizací tvrdí, že jejich přístup ke správě zabezpečení hardwaru a firmwaru zařízení řeší pouze malou část jejich životního cyklu. Doporučení HP Wolf Security pro správu zabezpečení platformy v celém životním cyklu zahrnují:

Výběr dodavatele: zajistěte spolupráci nákupního oddělení s IT a bezpečnostními týmy při stanovování požadavků na zabezpečení a odolnost nových zařízení, ověřování tvrzení dodavatelů a ověřování standardů bezpečnosti u dodavatelů.

Onboarding a konfigurace: hledejte řešení, která umožňují bezpečné bezkontaktní nasazení zařízení a připojení uživatelů, zajistěte bezpečnou správu firmwaru bez spoléhání na slabou autentizaci.

Průběžná správa: najděte nástroje, které IT oddělení pomohou vzdáleně monitorovat a upravovat konfiguraci zařízení a rychle nasadit aktualizace firmwaru, aby se snížil prostor pro útoky.

Monitoring a náprava: zajistěte, aby IT a bezpečnostní týmy mohly vzdáleně najít, zablokovat a vymazat data ze zařízení – dokonce i z těch, která jsou vypnutá – a tím snížit riziko spojené se ztracenými nebo odcizenými zařízeními. Zvyšte odolnost sledováním protokolů o auditu zařízení, abyste identifikovali bezpečnostní rizika, jako odhalování neoprávněných změn hardwaru či firmwaru a příznaků zneužití.

Druhý život a vyřazení z provozu: upřednostňujte zařízení, která umožňují důkladné vymazání citlivých dat, aby mohla být bezpečně vyřazena. Před opětovným použitím zařízení zkontrolujte jejich historii používání, abyste zajistili transparentnost správy a integritu hardwaru i firmwaru.