Keamanan Printer: Imperatif IT yang BaruPenelitian Menunjukkan Bahwa "Printer" Tetap Menjadi Titik Lemah Keamanan

Daftar Isi

Pengantar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

Risiko Bisnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

Permasalahan Persepsi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

Praktik Saat Ini . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

Menuju Keamanan Printer Yang Komprehensif . . . . . . . . . . . . . . . .11

Tentang Survei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

3PENGANTAR

Pengantar

Bahkan ketika ancaman keamanan IT semakin meningkat, upaya keamanan perangkat lunak sering kali tidak mampu mengimbanginya . Mungkin tidak ada yang lebih jelas daripada printer .Walaupun para profesional IT semakin menyadari akan bahayanya printer yang tak terlindungi yang terhubung ke jaringan, printer masih saja menjadi titik lemah keamanan, yang sebagian besar beroperasi tanpa adanya perlindungan .

“Kelemahan bisa terjadi di semua perangkat yang terhubung ke jaringan, termasuk printer jaringan sederhana," kata Ben Vivoda, direktur sistem pencetakan untuk HP Pasifik Selatan . “Biasanya, kita melihat printer ditinggalkan, diabaikan, dan dibiarkan terbuka . Kini bisnis tidak bisa lagi mengabaikan printer ketika menyangkut strategi keseluruhan keamanan cyber IT .”1

Faktanya, menurut survei yang baru-baru ini dilakukan oleh Spiceworks, printer merupakan sumber ancaman keamanan yang kini semakin meningkat angkanya . Saat ini, 68% kemungkinan printer menjadi sumber ancaman atau pelanggaran eksternal dibandingkan dengan tahun 2016; dan 118% kemungkinan menjadi sumber ancaman atau pelanggaran internal .

Tapi hanya 30% profesional IT yang mengetahui bahwa printer bisa menimbulkan risiko keamanan . Meskipun angka ini telah meningkat dua kali lipat sejak 2016, ini masih terlalu rendah dan mencerminkan realitas yang berbahaya . Banyak profesional IT yang masih memiliki pandangan kuno mengenai keamanan printer, mungkin masih berpegangan pada persepsi lama bahwa printer aman di dalam perimeter jaringan .

Bahkan bagi para profesional IT yang mengakui risiko tersebut, mengamankan perangkat pengguna akhir sering kali menjadi prioritas utama, membiarkan printer terbuka lebar dan jaringan menjadi rentan .2 Sementara sangat dipahami jika keamanan printer berada di urutan akhir dibanding yang lainnya di masa lalu, sangatlah penting bagi organisasi IT untuk mulai menangani risiko printer yang tidak aman terhadap keseluruhan infrastruktur IT dan tata kelola risiko perusahaan .

Risiko Bisnis

4RISIKO BISNIS

Apakah printer benar-benar bisa menimbulkan masalah? Cukup satu kata, ya . Di era ketika ancaman keamanan baru muncul setiap jamnya, printer bisa menjadi target yang mudah . “Printer modern pada dasarnya sudah canggih, dibuat khusus untuk menampung jaringan, dan karena itulah harus diberi perhatian yang sama akan masalah keamanan seperti halnya komputer tradisional”, kata Kevin Pickhardt pada Entrepreneur .2 “Printer kantor tidak hanya menjadi sumber utama kehilangan data dan masalah kerahasiaan, tapi juga menjadi vektor serangan yang bisa dimanfaatkan para peretas .” Contoh kasus: Tahun lalu seorang peretas dilaporkan menggunakan skrip otomatis untuk mengakses 150 .000 printer yang dapat diakses publik, termasuk sejumlah besar printer untuk tanda terima, dan memerintahkannya untuk menjalankan pencetakan yang tidak seharusnya dilakukan .3

Analis industri setuju . Menurut IDC, “Kebanyakan printer memiliki akses yang luas ke jaringan internal . Penyerang yang merusak printer bisa memiliki akses tak terbatas ke jaringan, aplikasi, dan aset data organisasi” .4

Seperti apa tampilan printer jaringan yang tidak terlindungi? Tidak ada pengamanan sistem karena itu dibiarkan terbuka lebar terhadap berbagai protokol jaringan . Tidak membutuhkan kontrol akses (bahkan pengaturan kata

sandi admin pun sering kali diabaikan) . Membiarkan dokumen sensitif tercetak tanpa autentikasi, sehingga dibiarkan berada di baki output sepanjang hari . Bisa mengirimkan data yang tidak terenkripsi ke jaringan . Berjalan dengan firmware usang atau tidak dimonitor dari adanya ancaman keamanan .

Berbagai kegagalan keamanan ini akan mendatangkan konsekuensi . Gartner meramalkan bahwa pada 2020, lebih dari setengah proyek Internet of Things (IoT) akan mengungkap informasi sensitif akibat kegagalan dalam memanfaatkan fitur keamanan perangkat keras, meningkat dari yang saat ini tidak lebih dari 5% .4

Tingkat Risiko Keamanan yang Diterima

Total Amerika Utara EMEA APAC

Desktop/ Laptop

Perangkat seluler

30%

22%

35%

33%

71%

71%

75%

68%

67%

68%

69%

64%

Printer

5PERMASALAHAN PERSEPSI

Permasalahan Persepsi

Terlepas dari penelitian, profesional IT masih tertinggal dalam mengetahui risiko yang dihadapi printer . Di Amerika Utara, bahkan tidak lebih dari seperempat profesional IT (22%) yang menyadari printer sebagai risiko keamanan, dan di Eropa, Timur Tengah, dan Afrika (EMEA), angka tersebut masih hampir lebih dari sepertiga, di 35% .

Sebaliknya, profesional IT memeringkatkan ancaman pada desktop dan laptop sebesar 71%, dan ancaman pada perangkat seluler 67% .

6PERMASALAHAN PERSEPSI

Penelitian Spiceworks lebih lanjut mengungkapkan bahwa profesional IT yang mengambil langkah-langkah pencegahan memiliki pendekatan yang terpecah-pecah . Tidak heran, mengingat luasnya persyaratan keamanan . Tidak ada solusi tunggal yang cukup; firewall saja tidaklah cukup, contohnya . Dan untuk perangkat jaringan lainnya, keamanan printer harus dijalankan dari berbagai sudut . Dan dengan strategi keamanan lainnya, solusi paling efektif adalah yang terintegrasi, otomatis, mudah digunakan dan dikelola .

Tantangan yang memperparah adalah kenyataan bahwa setiap merek printer memiliki perangkat lunak dan sistem operasi patennya sendiri . Banyak profesional IT tidak memiliki pengetahuan yang cukup untuk mengkonfigurasi perangkat lunak printernya yang memenuhi kebijakan keamanan mereka .

Persentase responden yang saat ini memiliki praktik keamanan berikut untuk printer mereka

Keamanan dokumen

Keamanan jaringan

Kontrol akses

42%

40%

39%

Keamanan perangkat

Monitoring keamanan

Perlindungan data

31%

30%

28%

Menutup port terbuka yang

tidak digunakan

25%

Mengaktifkan fitur "dikirim

dari"

25%

Mengamankan akses perbaikan

printer

25%

Mengimple-mentasikan pencetakan

privasi ("tarik")

24%

Secara rutin menghapus hard

drive printer

21%

Praktik Saat Ini

Profesional IT mengambil berbagai pendekatan untuk keamanan printer mereka, menciptakan gabungan praktik dan fitur keamanan dibuat berdasarkan peralatan yang dimiliki dan pemahaman mereka akan peralatan tersebut . Secara garis besar, pendekatan keamanan printer saat ini ada enam .

Penelitian mengungkapkan bahwa profesional IT mengambil sejumlah langkah keamanan yang penting dalam kategori berikut, tapi sayangnya masih rendah .

8PRAKTIK SAAT INI

Bahkan lebih sedikit jumlah profesional IT yang membersihkan pekerjaan secara berkala, mewajibkan akses admin untuk perubahan konfigurasi, atau pengelolaan sertifikasi otomatis .

Profesional IT kini melakukan monitoring keamanan printer lebih sering dibandingkan aktivitas lainnya, namun jumlahnya masih rendah, hanya sekitar 39% profesional IT yang mengatakan mereka secara rutin meninjau catatan printer, dan hanya 31% di Amerika Utara . Adapun untuk menghubungkan printer ke peralatan SIEM, hanya 13% laporan yang melakukan itu . Tidak memonitoring catatan printer dan mengintegrasikan printer dengan SIEM membuat para profesional IT berada di dalam kegelapan, tidak sadar akan bahaya kriminal cyber yang mungkin menggunakan infrastruktur tidak termonitor untuk bersembunyi di jaringan dan data tak terfilter .

Monitoring Printer

Meninjau catatan keamanan printer Menghubungkan ke Peralatan SIEM

31%39% 43% 43%

9%13% 13% 17%

Total Amerika Utara EMEA APAC

9PRAKTIK SAAT INI

Penelitian mengungkapkan perbedaan geografis lainnya di area spesifik keamanan printer, di mana Amerika Utara lagi-lagi ketinggalan . Ini benar terjadi terutama untuk kontrol akses dan enkripsi . Profesional IT di APAC lebih menyadari dibandingkan mereka yang di Amerika Utara mengenai enkripsi data di transit, kebutuhan autentikasi pada perangkat, dan penyebaran kontrol akses berdasarkan peran pengguna .

Penyebaran Praktik Keamanan Printer54%

42%

59%

61%

42%

34%

44%

49%

Autentikasi pengguna

Data enkripsi di transit

Kontrol akses berdasarkan peran

40%

46%

46%

27%

Total Amerika Utara EMEA APAC

10PRAKTIK SAAT INI

Pemeriksaan sistem integritas

Keamanan fisik

Proses keamanan dokumen

Perlindungan intrusi

Langkah pencegahan

untuk serangan berbahaya

Analisis dan pelaporan audit

Penilaian kerentanan

Pembaruan perangkat keras/lunak

Compliance Controls dalam Penggunaan

Pada akhirnya, ketika berhubungan dengan memenuhi peraturan privasi data, profesional IT lagi-lagi bergantung pada berbagai pendekatan, dengan beberapa kontrol printer yang dimasukkan dalam strategi kepatuhan IT secara keseluruhan . Survei Spiceworks menanyakan kepada profesional IT tentang compliance controls apa yang sudah diimplementasikan, berdasarkan Center for Internet Security’s “CIS Controls V7 .”5

Data ini menunjukkan bahwa profesional IT sering mengabaikan tindakan pencegahan keamanan printer yang paling dasar, seperti memperbarui firmware, hanya sepertiga yang melakukannya secara rutin sebagai aktivitas mengikuti peraturan mereka . Riset industri pun sependapat . Menurut IDC, printer biasanya tidak terbarui dengan firmware terkini karena organisasi sering kali meremehkan risiko yang ada .4 Selain itu, mereka mungkin tidak memiliki waktu untuk meninjau kembali, menguji, dan menerima firmware baru untuk printer di seluruh perusahaan .

Pelajari Lebih Lanjut

Menuju Keamanan Printer yang Komprehensif

11MENUJU KEAMANAN PRINTER KOMPREHENSIF

Dari 84% profesional IT yang melaporkan memiliki kebijakan keamanan, hanya 64% yang mengatakan bahwa pencetakan termasuk dalam kebijakan tersebut. Untuk Amerika Utara, hanya 52% yang melakukannya. Ini merupakan salah satu alasan mengapa sangat penting untuk mencari kontrol keamanan printer yang terintegrasi dan otomatis, dan benar-benar mengimplementasikannya . Printer dengan fitur keamanan bawaan dapat membantu meminimalkan risiko sekaligus memaksimalkan pengeluaran IT Anda .

Analis IDC juga membenarkannya: “Printer jauh lebih sulit diperkuat sistemnya begitu sudah dikirim, menekankan pentingnya pemilihan printer yang kaya dalam fitur utama dan keamanan tingkat lanjut .”4 Gartner mengatakan, "Untuk memanfaatkan dinamika pasar pencetakan yang sedang berkembang, perencanaan strategi teknologi harus membangun portofolio solusi keamanan cetak yang komprehensif dengan menggunakan tingkatan solusi yang melampaui praktik terbaik industri keamanan . Integrasikan solusi tersebut dengan ekosistem solusi keamanan yang lebih luas ."6

Penyedia Layanan Cetak Terkelola melebarkan layanan untuk membantu mencakup departemen IT yang tidak memiliki sumber daya staf pengetahuan untuk menangani keamanan printer . Dikatakan oleh a IDC, “Vendor menawarkan perluasan layanan perlindungan level data dan perangkat, banyak di antaranya yang didesain untuk mengintegrasikan dengan manajemen dokumen yang ada dan sistem Enterprise Content Management (ECM) untuk menyediakan perlindungan lebih lanjut dan menangani masalah kepatuhan tata kelola dan peraturan .”7

Untungnya untuk para profesional IT, printer canggih saat ini menawarkan banyak fitur keamanan untuk portofolio keamanan cetak Anda, termasuk pendeteksi ancaman, perlindungan, notifikasi, dan pembetulan sendiri, membuatnya lebih mudah untuk memperkuat salah satu titik akhir yang paling rentan di jaringan Anda, yaitu printer .

Waktunya untuk memperkuat keamanan cetak Anda.

Tentang SurveiHP menugaskan Spiceworks untuk melakukan survei di bulan Mei 2018 . Survei ini ditujukan bagi para pembuat keputusan IT, termasuk direktur, manajer, dan staf IT lainnya, untuk lebih memahami praktik keamanan printer saat ini dan mengidentifikasikan area-area yang berisiko. Hasil survei mencakup respons dari sekitar 500 partisipan di Amerika Utara, EMEA, dan APAC yang bekerja di organisasi dengan karyawan berjumlah 250 orang atau lebih .

Sumber1 McLean, Asha, “Unsecured printers a security weak point for many organisations: HP,” ZDNet, 18 April 2017 . https://www .zdnet .com/article/ unsecured-printers-a-security-weak-point-for-many-organisations-hp/

2 Pickhardt, Kevin, “Why Your Innocent Office Printer May Be a Target For Hackers,” Entrepreneur, 31 Januari 2018 . https://www .entrepreneur .com/ article/308273

3 Peyser, Eve, “Hacker Claims He Hacked 150,000 Printers to ‘Raise Awareness’ About Hacking,” Gizmodo, 6 Februari 2017 . https://gizmodo .com/ hacker-claims-he-hacked-150-000-printers-to-raise-aware-1792067012

4 Brown, Duncan, et al., “IDC Government Procurement Device Security Index 2018,” IDC, Mei 2018 .

5 “CIS Controls,” Center for Internet Security, Maret 2018 . https://www .cisecurity .org/controls/

6 Von Manowski, Kristin Merry dan Deborah Kish, “Market Insight: IoT Security Gaps Highlight Emerging Print Market Opportunities,” Gartner, 31 Oktober 2017 https://www .gartner .com/doc/reprints?id=1-4OCKFKG&ct=180110&st=sb

7 Palmer, Robert dan Allison Correia, “IDC MarketScape: Worldwide Security Solutions and Services Hardcopy 2017 Vendor Assessment, IDC, 2017 .