Private printere kan være IT-kriminelles bagdør til arbejdsgiveren

Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.

I 2022 infiltrerede cybersecurity-eksperter på vegne af IT-mediet Cybernews 27.944 printere over hele verden i et forsøg på at understrege et gabende sikkerhedshul på printerområdet. Mediet nøjedes pænt med at udskrive en sikkerhedsguide om korrekt beskyttelse af virksomheders data på de pågældende printere. Men havde der været tale om cyberkriminelle, kunne disse med stor lethed have fået adgang til virksomhedernes netværk og dermed et hav af følsomme oplysninger.

Eksemplet er bekymrende, men ikke desto mindre retvisende for tilstanden på området. Også blandt danske virksomheder. Der er ganske enkelt ikke nok fokus på den sikkerhedsrisiko, som ubeskyttede printere udgør. Og dem er der vel at mærke mange af – særligt i disse år, hvor en meget stor gruppe medarbejdere har fået smag for fleksibelt arbejde og derfor har indrettet hjemmekontorer.

Faktisk er det min klare oplevelse, at der aldrig tidligere har været så mange private printere i brug i Danmark som netop nu. Og at mange virksomheder ikke ved eller ikke tænker over, at printere kræver beskyttelse på lige fod med en PC – uanset om de er placeret i virksomheden eller på diverse hjemmekontorer.

Hoveddøren står på vid gab

Lad mig slå fast med det samme – og inden du går helt i panik: En korrekt installeret printer udgør som udgangspunkt ikke nogen sikkerhedsrisiko. Problemet er blot, at rigtig mange printere ikke er nærheden af at være korrekt installeret. Det står klart for mig og mine kolleger på nærmest daglig basis.

Sikkerheden er størst, når printeren befinder sig inden for virksomhedens vægge. Her er der som regel kompetente IT-medarbejdere til at tage hånd om opsætningen. Men selv her er printsikkerhed ofte et overset område.

Problemerne er størst på hjemmekontorerne, hvor det ofte er medarbejderne selv, der står for printerinstallationen. Og hvor definitionen af en korrekt installeret printer i vidt omfang synes at være en printer, der virker.

Problemet er kort fortalt, at vi åbner porte til henholdsvis firewall, router og selve netværket, når vi installerer både ny software og ny hardware, såsom en printer. Bliver portene efterfølgende ikke lukket, står døren til både dine og virksomhedens data åben. At nå så langt kræver end ikke en reel hacking af printeren, for ofte er det ikke nødvendigt, når hoveddøren alligevel står åben, og man som it-kriminel blot kan gå indenfor og boltre sig.

Den nedslående besked herfra er således, at den gængse printer er så ubeskyttet, at selv den mest dovne og uduelige IT-kriminelle kan få adgang til den. Og selv i de tilfælde, hvor printeren er beskyttet med et password, er det ofte så svagt og generisk, at det ikke tager meget mere end en time at nedbryde det. Lister over de mest benyttede passwords ligger vel at mærke fortsat frit tilgængeligt på nettet. Og det mest benyttede password i Danmark er ifølge sikkerhedsselskabet NordPass stadig ”123456789”.

Plantegninger til atomkraftværk lå frit tilgængeligt

Hele situationen bliver ikke bedre af, at forsigtigheden typisk daler betragteligt, når vi arbejder hjemmefra i stedet for på kontoret. Derudover er sikkerheden udfordret af, at vores børn ofte benytter samme netværk, som vi selv bruger til vores arbejde. Og deres adfærd ved vi er klart mindre forsigtig end vores egen.

Skrækhistorierne fra hele verden er ganske mange. Og alligevel forbliver situationen mere eller mindre uændret. Jeg talte forleden med en etisk hacker, som fortalte om et atomkraftværk, hvis plantegninger var blevet stjålet og delt, fordi de engang var blevet udskrevet på en ubeskyttet printer. Et vanvittigt scenario.

Via ubeskyttede printere kan IT-kriminelle sågar få adgang til hele virksomhedens netværk. Når det sker, er alt muligt, og de ubudne gæster bliver kun sjældent opdaget, fordi de altså er vadet direkte ind i virksomhedens allerhelligste uden at bryde noget ned og dermed uden at efterlade sig nogen spor på vejen.

I tilfældet, hvor Cybernews fik adgang til 27.944 printere verden over, havde mediet via simple søgninger på internettet identificeret flere end 800.000 ubeskyttede printere. Af dem forsøgte de at kun inficere et udsnit på 50.000. Og projektet lykkedes altså i flere end halvdelen af tilfældene. Antallet af inficerede printere kunne altså have været langt højere.

Så pas på derude. Og husk altid at involvere IT-afdelingen, når en printer skal tilsluttes – uanset om det sker i virksomhedens egne fysiske rammer eller på en medarbejders hjemmekontor. Alene det initiativ nedsætter risikoen for cyberangreb betragteligt.