A cégek szerint a felhasználón műlik a biztonság

A szakmai körök mellett a laikusok körében is élénk érdeklődés fogadta májusi cikkünket, melyben arról írtunk, hogy az amerikai CBS televízió egy riportban mutatta be: a kereskedőknél használt többfunkciós fénymásolók – melyekben gyakorlatilag már egy komplett PC található – merevlemezéről sikerrel nyerhetőek vissza adatok; nevezetesen: elő lehet hívni azokat a dokumentumokat, melyeket a készülékeken sokszorosítottak.

A hír közlése után úgy döntöttünk, igyekszünk felderíteni azt, hogy hazánkban mi a helyzet e téren: létezik-e a probléma, s ha igen, mennyire ismert ez a lehetőség, és milyen módon viszonyulnak ehhez a gyártók és a terjesztők.

A vizsgálat hónapokig elhúzódott, egyrészt mert hetekig tartott begyűjteni a gyártói, terjesztői nyilatkozatokat, ám nem is ez volt a legnagyobb gond, hanem az, hogy igen nehéznek bizonyult tesztgépeket találni. Az IT café anyagi lehetőségei nem engedték meg az amerikai módszert, mely szerint bemegyünk egy áruházba, veszünk három használt gépet, majd egy szakember megvizsgálja ezeket. Ráadásul ha mindez nem is lett volna gond, akkor is más a helyzet nálunk: a multifunkciós fénymásolók még az Egyesült Államokban is csak körülbelül 2002 óta terjedtek el nagy számban, Magyarországon pedig néhány év késéssel jelentek meg mérhető mennyiségben, ezért jelenleg még viszonylag kevés található belőlük a „second hand” kereskedésekben. Így valójában csak olyan gépeket vehettünk célba, melyek valahol ma is aktív használatban vannak, ám – érthető indokokból következően – az üzemeltetők, tulajdonosok nem rajongtak az ötletért, azt hallván, hogy a fénymásoló merevlemezének tartalmát szeretnénk megnézni. De e nehézségek ellenére is sikerült minimális eredményeket elérnünk. A gyártók véleményének ismertetése után bemutatjuk, mi mire jutottunk saját minitesztünk során.

Piaci körkép és gyártói vélemények

Első lépésként azt szerettük volna megtudni, hogy vajon a probléma ismert-e egyáltalán az érintettek körében. Nem reprezentatív felmérésünk – a cikkünk hatására megnövekedett érdeklődést le- és beszámítva – azt mutatja, hogy minél magasabb szintre lépünk, annál nagyobb a tájékozottság, annál inkább tekintik élőnek és fontosnak azt, hogy foglalkozzanak vele. Azt tapasztaltuk, hogy például a fénymásoló szalonokban, ahol naponta ezrével gyártják a duplikátumokat, nem is hallottak még ilyesmiről, és nem is nagyon érdekli őket. A kisebb vállalkozásoknál, akik fénymásolószervizzel, -karbantartással, esetleg alkatrészellátással vagy kisebb mértékű kereskedéssel foglalkoznak, szintén meglepetéssel fogadták a kérdéseinket, de ezeken a helyeken az ott dolgozók legalább értették, hogy miről is van szó. Amint még feljebb léptünk, vagyis az egy várost vagy régiót ellátó, hivatalos képviseleteken érdeklődtünk, ott már azt láthattuk, hogy igen, tudnak róla, s bár még nem túl gyakoriak az ilyen jellegű kérdések, kérések, foglalkoznak velük – az egyik nagy márkaképviselő elmondta, hogy épp a közelmúltban érkezett hozzájuk egy kérés egy banktól, hogy a leselejtezendő fénymásolókat vizsgálják át ilyen, adatbiztonsági szempontból is.

Ezek után igyekeztünk kikérni a Magyarországon jelen lévő gyártók hivatalos állásfoglalását. Mindenkitől nem kaptunk választ, de sok helyről igen.

A Xerox képviselete arról tájékoztat, hogy a multifunkcionális készülékek azért vannak merevlemezzel ellátva, hogy minél több felhasználói igényt ki tudjanak szolgálni, ám a gyártó cég már a kezdet kezdetén tisztában volt azzal, hogy ez sebezhetőséget is jelenthet, ha illetéktelen kezekbe kerülnek a tárolt adatok. A cég szakemberei ezért az ilyen gépek esetében mindig ellátják a készülékeket olyan funkciókkal, melyek segíthetik a személyes adatok védelmét. A vállalat tisztában van azzal, hogy minderről a fogyasztókat is tájékoztatni kell, ezért az e célra létrehozott weboldalon az érdeklődők részletes tájékoztatást kaphatnak arról, hogy a nagy tudású készülékek esetében mik a veszélyforrások, és hogyan lehet mérsékelni a kockázatokat: ezen az oldalon típus és funkció szerint részletes útmutatások olvashatóak, laikus felhasználóknak és szakembereknek egyaránt. A cég elismeri, hogy létező probléma a merevlemezeken található adatokkal való visszaélés lehetősége, kaptak visszajelzéseket ez ügyben, amiket szakembereik feldolgoznak, majd ezekre alapozva tájékoztatják ügyfeleiket arról, hogy milyen biztonsági beállításokat kell alkalmazni a megelőzés érdekében (többek között: titkosítás – AES 128 bites kódolással –, alkalomszerű felülírás, a dokumentumkezelési folyamatok lezárulása után az adatok automatikus felülírása, ütemezett felülírás alkalmazása).

A Sharp helyi képviselete nevében Fábián István ügyvezető igazgató nyilatkozott, aki felhívta a figyelmet rá – ahogy azt az IT café cikke is megemlítette –, hogy erre az adatbiztonsági problémára a Sharp már évekkel ezelőtt figyelmeztetett. Ők megoldásokat is kínálnak, fogalmazott az ügyvezető, mivel a hálózati eszközöknél elengedhetetlen az, hogy a készülék a nyomtatott vagy szkennelt fájlokat átmenetileg a beépített háttértáron tárolja. Erre a Sharp megoldása az, hogy a készülék automatikusan véletlenszerű adatokkal írja felül a szükségtelenné vált fájlokat. De a helyzet nem ennyire egyszerű: „… a mai multifunkciós készülékekben a beépített merevlemez funkciója nemcsak az átmeneti tárolásra korlátozódik. Például nagyban növelheti a hatékonyságot és a kényelmet, ha bizonyos fájlokat közvetlenül az MFP-n tárolunk, így ezeknek a nyomtatásához nem kell a számítógép és a nyomtató között ingáznunk. A Sharp-készülékek általában képesek arra, hogy felhasználói azonosításhoz kössék a gép használatát, ezáltal a tárolt fájlokhoz való hozzáférést is. Emellett különböző adattitkosítási eljárások (Kerberos, IPSEC és SSL) is garantálják a bizalmas információk védelmét, ráadásul a gépen tárolt fájlok életciklusa nyomon követhető a beolvasástól a nyomtatásig. Biztonsági csomagunk hatékonyságát igazolja, hogy a BERTL nevű független amerikai minősítő cég számos egymást követő évben a Sharp MFP-inek ítélte a »Legbiztonságosabb MFP-termékcsalád« díját. Azonban a gyártók minden elővigyázatosságának ellenére fontos, hogy a készülékek leselejtezése, illetve eladása előtt az üzemeltető meggyőződjön arról, hogy a gépek semmilyen bizalmas adatot nem tartalmaznak, hasonlóan a számítógéppark lecserélésekor szükséges intézkedésekhez.”

Visszanyert dokumentum I.

A Canon képviselője levelében kifejtette, hogy az általuk gyártott multifunkciós eszközök merevlemezén is lehetnek tárolt adatok, „…azonban ezek mennyisége számos faktortól függ: Postaláda: minden olyan nyomtatási feladatot, amelyet a postaládában hagyunk, egyúttal a HDD is tárol. Amennyiben a postaládából nem távolítják el az adatokat, dokumentumokat, akkor azok a merevlemezen is megmaradnak. Címjegyzék: a készüléken tárolt címjegyzékadatok, pl. e-mail címek egészen addig a merevlemezen maradnak, míg nem törlik őket a címjegyzékből. Rendszerfeldolgozás: A merevlemez rendszerterülete eltárol minden olyan feladatot, amely megköveteli, hogy a multifunkciós készülék adatokat dolgozzon fel. Azonban, ha a merevlemez kapacitása eléri a maximumot, akkor a legrégebbi információ törlődik.” A cég minden felhasználóját tájékoztatja a biztonsági beállításokról. Ugyanakkor a Canonnál nem látják igazán súlyos gondnak a visszaélés lehetőségét: „A Canon nem tartja igazi problémának az ügyet, hiszen vannak olyan opcionális megoldások is, mint a merevlemezen tárolt adatok végleges törlése, a titkosítás, vagy éppen a cserélhető merevlemez használata. Továbbá lehet olyan szolgáltatásokat is bevezetni az ügyfelek számára, melyek az adataik megsemmisítését, eltávolítását célozzák meg.” Ezt a felfogást erősíti Quentyn Taylornak, a Canon Europe információbiztonsági igazgatójának korlátozott számban kiadott tájékoztatója is, melyben egyrészt elismeri a felmerülő adatbiztonsági veszélyeket, ám úgy véli, hogy a Canon minden technológiai és egyéb segítséget megad ügyfeleinek a biztonságos üzemeltetéshez, de mivel ezeket a technológiákat, beállításokat stb. alkalmazni is kell, ezért elengedhetetlen a cégeknél dolgozó informatikai vezetők felelősségteljes hozzáállása.

A nyomtatásfelügyeleti megoldásokkal is foglalkozó Y Soft Magyarország Kft. ügyvezető igazgatója, Wolf Péter úgy vélekedik, hogy a leselejtezett merevlemezek kapcsán felmerült probléma a vállalatok számára ma már nem jelent igazi veszélyt: „Bár a régebbi gépeknél előfordulhat ilyesmi, az utóbbi években a gyártók komoly fejlesztéseket vittek végbe a biztonság terén. Az YSoft SafeQ megoldásnak egyébként a költségfigyelés és a kényelem mellett a biztonság az egyik legfontosabb alappillére. A CBS által ismertetett probléma nálunk alapvetően fel sem merülhet, hiszen a nyomtatási feladatok és a beszkennelt dokumentumok nem az MFP-n, hanem a SafeQ szerveren tárolódnak, ahol csak a megfelelő jogosultsággal rendelkezők férhetnek hozzájuk. Természetesen mindig felhívjuk ügyfeleink figyelmét arra, hogy végezzék el a megfelelő beállításokat a készülékeken az ilyen problémák elkerülése érdekében, illetve igény szerint partnereink is elvégzik a szükséges adatbiztonsági intézkedéseket.”

Megkeresésünkre készséggel válaszolt Kökényesi Miklós, a Kyocera termékeivel foglalkozó Global Union Kft. képviseletében, aki nem sokkal cikkünk után írt egy részletes tájékoztatót a lehetséges gondokról, illetve azokról a megoldásokról, melyeket cége kínál az adatszivárgás megakadályozására. Ennek lényege: az első lehetőség az összes, a merevlemezen átmenetileg vagy hosszabb távon tárolt adat titkosítása (ezt a funkciót csak bizonyos, fejlettebb firmware-rel rendelkező típusok támogatják), a második lépcső a felülírás lehet, ám ez „még így sem jelenthet 100%-os védelmet, csakis a titkosítással kiegészítve. Természetesen a többszöri felülírás időt vesz igénybe, ezért ilyenkor a készülék, az adott munkamenet végeztével még egy bizonyos ideig a törléssel fog foglalkozni, és csak ezután engedi majd új munkamenet indítását. Ez a biztonság ára – egy kicsit várni kell majd. […] Ez a két eljárás együtt már ellehetetleníti az ideiglenesen tárolt adatok részletekben vagy egészben történő visszanyerését bárki számára.” A Kyocera gépein létezik egy ilyen opció (Data Security Kit).

A cikk még nem ért véget, kérlek, lapozz!