A nyomtatója és a kamerarendszere lehet a legnagyobb GDPR kockázata

A legtöbb cégvezető fejében a kibervédelem még mindig ezek körül forog, pedig a valóság sokszor sokkal csendesebb, kevésbé látványos rendszerekben rejti a valódi kockázatot. Olyan eszközökben, amelyek ott vannak minden irodában, folyamatosan működnek, és éppen ezért már senki nem tekint rájuk külön kockázati tényezőként.

• a központi nyomtató
• a kamerarendszer (NVR)

És pontosan ezért veszélyesek.

A cég működik.
Az IT „rendben van”.
Van vírusvédelem, van tűzfal, van mentés.

Papíron minden adott egy működő informatikai környezethez, és első ránézésre valóban az a benyomás alakul ki, hogy a rendszerek kontroll alatt vannak, a működés stabil, és nincs különösebb kockázat.

Közben azonban a folyosón ott áll egy multifunkciós nyomtató, amely szkennel, másol, e-maileket küld, és gyakorlatilag minden dokumentumon áthalad, ami a cégen belül mozog.

A raktárban és az irodákban kamerák működnek, a felvételek pedig egy rögzítőre (NVR) kerülnek, amely sok esetben távolról is elérhető, mert „így egyszerűbb ránézni, ha szükséges”.

És itt történik meg a törés a látszat és a valóság között.

Minden működik.

Egészen addig, amíg valaki más is el nem kezdi használni ezeket az eszközöket.

A modern nyomtatók és kamerarögzítők nem egyszerű eszközök.

Valójában teljes értékű, hálózatra kötött számítógépek, amelyek ugyanúgy futtatnak szoftvereket, kezelnek adatokat és biztosítanak távoli hozzáférést, mint bármely más IT rendszer a szervezetben.

• operációs rendszerrel rendelkeznek
• webes felületen keresztül menedzselhetők
• gyakran távolról is elérhetők
• és sok esetben… nem frissülnek rendszeresen

Ez önmagában még nem feltétlenül jelentene problémát, ha ezek az eszközök ugyanazt a biztonsági figyelmet kapnák, mint a szerverek vagy a munkaállomások. A valóság azonban az, hogy sok szervezetben ezek „másodlagos eszközöknek” számítanak, amelyekre nem ugyanazok a szabályok vonatkoznak.

És itt kezdődik a kockázat.

Sőt.
Gyakran itt válik igazán veszélyessé.

A legtöbb szervezetben ezek az eszközök nem tartoznak a kritikus IT rendszerek közé. Nem kapnak rendszeres biztonsági felülvizsgálatot, sokszor nincs rájuk naplózás, és az is előfordul, hogy a hozzáférésük sincs megfelelően korlátozva.

És ami talán a legkritikusabb: ki vannak engedve az internetre

Mert így egyszerűbb. Így gyorsabb. Így nem kell belső hálózaton vagy VPN-en keresztül elérni őket.

Ez a döntés üzleti szempontból érthetőnek tűnhet, technikai szempontból azonban egy olyan nyitott kaput hoz létre, amelyet nem csak a jogos felhasználók használnak.

És itt válik a kockázat valósággá.

Egy modern nyomtató nem csupán nyomtat.

Ez egy olyan eszköz, amely folyamatosan dokumentumokat kezel, és ezek az adatok sokkal érzékenyebbek, mint azt elsőre gondolnánk.

• dokumentumokat tárol ideiglenesen vagy tartósan
• szkennelt anyagokat továbbít
• e-maileket kezel
• gyakran belső üzleti információkat is érint

Ha egy ilyen eszköz kompromittálódik, a következmények messze túlmutatnak egy egyszerű technikai hibán.

Érzékeny dokumentumok szivároghatnak ki.
Belső kommunikáció válhat láthatóvá.
Vagy akár hozzáférési információk is illetéktelen kezekbe kerülhetnek.

És mindez sokszor teljesen észrevétlenül történik.

A kamerarendszer — különösen az internetre kiengedett NVR — már egy teljesen más szintet képvisel.

Itt már egyértelműen személyes adatokról beszélünk.

Arcok.
Mozgások.
Munkavállalói jelenlét.
Ügyfélforgalom.

Ezek az adatok a GDPR hatálya alá tartoznak, és különösen érzékeny kategóriát jelentenek, mivel közvetlenül természetes személyekhez köthetők.

Ha egy ilyen rendszerhez illetéktelen hozzáfér, az már nem pusztán IT incidens.

Ez adatvédelmi incidens.

És innen kezdve a kérdés már nem technikai, hanem jogi és vezetői szintre kerül.