Securitate, Studii — December 13, 2024 at 12:51 pm

Lacunele de securitate care amenință companiile, în fiecare etapă a ciclului de viață al dispozitivelor pe care le folosesc

by

HP Inc. (NYSE: HPQ) a publicat un nou raport care evidențiază implicațiile uriașe asupra securității cibernetice ale faptului că dispozitivele nu sunt securizate în fiecare etapă a ciclului lor de viață. Constatările arată că securitatea platformei – securizarea hardware-ului și firmware-ului PC-urilor, laptopurilor și imprimantelor – este adesea neglijată.

Raportul, bazat pe un studiu global realizat pe un eșantion de peste 800 de manageri în domeniul IT și al securității și peste 6.000 de angajați, arată că securitatea platformei este o preocupare din ce în ce mai mare. 81% dintre acești manageri sunt de acord că securitatea hardware și firmware trebuie să devină o prioritate, pentru a se asigura că infractorii cibernetici nu pot exploata dispozitivele vulnerabile. Cu toate acestea, 68% raportează că investițiile în securitatea hardware și firmware sunt adesea trecute cu vederea în costul total de proprietate pentru dispozitive. Acest lucru duce la probleme de securitate costisitoare și la cheltuieli de administrare.

Imagine1

Principalele constatări din cele cinci etape ale ciclului de viață al dispozitivelor:

1. Alegerea furnizorilor – 34% dintre managerii în domeniul IT și al securității spun că un furnizor de PC-uri, laptopuri sau imprimante nu a trecut un audit de securitate cibernetică în ultimii cinci ani, iar 18% spun că problemele au fost atât de mari încât au reziliat contractul.
2. Integrarea în rețea și configurarea – Mai mult de jumătate (53%) dintre manageri spun că parolele BIOS sunt partajate, utilizate pe scară prea largă sau nu sunt suficient de puternice. În plus, 53% recunosc că rareori schimbă parolele BIOS pe durata de viață a unui dispozitiv.
3. Gestionarea continuă – Peste 60% dintre managerii în domeniul IT și al securității nu fac actualizări de firmware imediat ce acestea sunt disponibile pentru laptopuri sau imprimante. 57% mai spun că se tem să actualizeze firmware-ul. Cu toate acestea, 80% consideră că inteligența artificială îi va ajuta pe hackeri să planifice mai repede atacuri cibernetice, ceea ce face vitală actualizarea rapidă.
4. Monitorizarea și remedierea – În fiecare an, dispozitivele pierdute și furate costă organizațiile aproximativ 8,6 miliarde de dolari . Unul din cinci angajați a pierdut un PC sau i-a fost furat unul, având nevoie în medie de 25 de ore înainte de a anunța departamentul IT.
5. Second Life și scoaterea din uz – Aproape jumătate (47%) dintre managerii în domeniul IT și al securității spun că problemele legate de securitatea datelor reprezintă un obstacol major în ceea ce privește reutilizarea, revânzarea sau reciclarea PC-urilor sau laptopurilor, în timp ce 39% spun că este un obstacol major pentru imprimante.

„Achiziționarea de PC-uri, laptopuri sau imprimante este o decizie de securitate cu impact pe termen lung asupra infrastructurii de puncte terminale a unei organizații. Prioritizarea, sau lipsa acesteia, a cerințelor de securitate hardware și firmware în timpul achiziției poate avea ramificații pe întreaga durată de viață a unei flote de dispozitive – de la creșterea expunerii la risc, până la creșterea costurilor sau experiența negativă a utilizatorilor – dacă cerințele de securitate și gestiune sunt stabilite la un nivel prea scăzut în comparație cu stadiul actual al tehnologiei”, avertizează Boris Balacheff, Chief Technologist for Security Research and Innovation la HP Inc.

Onboarding & configuration

Constatările studiului evidențiază nevoia tot mai mare ca experții în IT și securitate să fie implicați în procesul de achiziție a noilor dispozitive, pentru a stabili cerințele și a verifica declarațiile de securitate ale furnizorilor.

• 52% dintre managerii în domeniul IT și al securității spun că echipele de achiziții colaborează rareori cu departamentele IT și de securitate pentru a verifica furnizorii în ceea ce privește securitatea hardware și firmware.
• 45% recunosc că trebuie să aibă încredere că furnizorii spun adevărul, deoarece nu au mijloacele necesare pentru a le valida informațiile din cererile de ofertă.
• 48% spun chiar că echipele de achiziții sunt nepregătite, deoarece ar crede orice spun furnizorii.

„Întotdeauna va trebui să alegeți furnizori de tehnologie în care puteți avea încredere. Dar când vine vorba de securitatea dispozitivelor care servesc ca puncte de intrare în infrastructura IT, această încredere nu ar trebui să fie oarbă”, comentează Michael Heywood, Business Information Security Officer, Supply Chain Cybersecurity la HP Inc. „Organizațiile au nevoie de dovezi concrete – informări tehnice, documentație detaliată, audituri periodice și un proces de validare riguros – pentru a se asigura că cerințele de securitate sunt îndeplinite, iar dispozitivele pot fi integrate în mod sigur și eficient.”

Este necesară o nouă abordare a ciclului de viață al dispozitivelor pentru a îmbunătăți securitatea platformei

Pentru a gestiona securitatea platformei de-a lungul întregului ciclu de viață, recomandările HP Wolf Security includ:

Alegerea furnizorilor: Asigurați-vă că echipele IT, de securitate și de achiziții colaborează pentru a stabili cerințele de securitate și reziliență pentru noile dispozitive, pentru a valida declarațiile de securitate ale furnizorilor.
Integrare și configurare: Căutați soluții care să permită integrarea securizată zero-touch a dispozitivelor și a utilizatorilor și gestionarea securizată a setărilor firmware care nu se bazează pe autentificarea slabă, cum ar fi parolele BIOS.
Gestionare continuă: Identificați instrumentele care vor ajuta departamentul IT să monitorizeze și să actualizeze configurația dispozitivelor de la distanță și să implementeze rapid actualizările firmware, pentru a reduce posibilitățile de atac cibernetic.
Monitorizare și remediere: Asigurați-vă că echipele IT și de securitate pot găsi, bloca și șterge datele de pe dispozitive de la distanță – chiar și pe cele care sunt oprite – pentru a reduce riscul care apare în caz de pierdere sau furt.
Second life și scoaterea din uz: Acordați prioritate dispozitivelor care pot șterge în siguranță datele sensibile din hardware și firmware pentru a permite scoaterea din uz în siguranță. Înainte de redistribuirea dispozitivelor, analizați istoricul lor de funcționare pe întreaga durată de viață pentru a verifica integritatea hardware și firmware.