Stefan Berglund Affärsområdeschef print, HP
Stefan Berglund är affärsområdeschef för print på HP.

I vårt samhälles ökande sårbarhet för it-attacker vidtar både företag och myndigheter alltfler säkerhetsåtgärder. Trots det missas ofta en viktig länk i kedjan – skrivaren. I dag är en skrivare så mycket mer än något som återger dokumentets innehåll på papper och så mycket mer än ”bara en skrivare”.

Skrivare har i dag tekniska specifikationer som i många fall liknar en pc eller server vilket gör dem precis lika utsatta för säkerhetsrisker. Via skrivaren kan obehöriga ta sig in i systemen, sprida skadlig kod och starta program, kort sagt åstadkomma precis lika mycket skada som vid intrång via nätverk och datorer.

Läs också: Debatt: ”Därför har FRA fel om outsourcing och molntjänster”

Trots denna kunskap saknar många säkerhetspolicys rutiner för hantering av skrivare. I en global undersökning av Ponemon Institute uppgav hela 44 procent att organisationens it-säkerhetspolicy inte omfattade nätverkets skrivare. Ofta förekommer lösningar som fokuserar på själva dokumenten och som skyddar uthämningen genom passerkortskrav och låsta fack, men som lämnar själva skrivarenheten helt oskyddad. Många it-chefer känner heller inte till att även skrivare omfattas av PUL, personuppgiftslagen.

Nu införs en Lex Maria för it-händelser
Med start i april i år gäller rapporteringsskyldighet för it-säkerhetsincidenter, ett slags ”Lex Maria” för it-relaterade händelser. Inledningsvis berörs endast statliga myndigheter, men framöver kan reglerna komma att utökas till även kommuner, landsting och vissa privata företag. Kan svenska företag och organisationer hantera detta och hur är de rustade för detta? Regeringen fattade beslutet bland annat efter en statlig utredning som pekade på obligatorisk it-incidentsrapportering som en av de viktigaste åtgärderna att genomföra.

Även från Riksrevisionen kom en rapport om att it-hoten mot Sverige ökar men att regeringens och myndigheters skyddsåtgärder inte är tillräckliga. Omfattande slarv och därmed hög sårbarhet i samhällsviktiga funktioner har vid flera tillfällen beskrivits i media. I en undersökning från Myndigheten för samhällsskydd och beredskap uppgav 170 kommuner av 241 svarande att de inte arbetar systematiskt med informationssäkerhet.

Det här är en artikel från IDG Opinion

Vill du också tycka till om något? Så här gör du.


Skärpta policys behövs
Sedan länge finns effektiva möjligheter för ökad säkerhet för skrivare tillgängliga, men utmaningen är att se till att de används. Säkerhetshot riktas ofta mot enskilda enheter och med fler typer av uppkopplad utrustning utöver datorer, servrar och skrivare såsom ventilationsanläggningar, bilar och hushållsmaskiner, så ökar riskerna. Moderna skrivare får alltfler funktioner som syftar till att hindra skadlig kod att få fäste. Många upplever att man gjort tillräckligt när man med olika mjukvarulösningar och kortsystem måste identifiera sig vid skrivaren för att få ut sin utskrift men dessa skyddar bara dokumentet.

Läs också: ”IoT-branschen struntar i säkerheten”

Att hanteringen av skrivare ännu inte är ett självklart inslag i it-säkerhetspolicys visar att vi fortfarande har lång väg att gå. Förhoppningsvis leder de nya kraven på it-säkerhetsrapportering till en allmän skärpning av policys både i offentlig och privat verksamhet. En naturlig konsekvens bör också vara att offentliga upphandlingar av skrivare skiftar sitt nuvarande fokus från antalet utskrifter och utformningen av pappersmagasin till prioritering av skrivarens säkerhetsfunktioner.

Att samhällsviktiga funktioner har ett fullgott it-säkerhetsskydd som även omfattar skrivare borde vara en självklarhet. Låt oss gemensamt arbeta systematiskt med informationssäkerhet som skyddar både vårt samhälle och det privata näringslivet mot onödiga attacker och säkerhetsrisker.

Stefan Berglund
Affärsområdeschef print, HP