Stampanti e GDPR: mettere in sicurezza le (vecchie) periferiche per proteggere i nostri dati

È importante rispettare le prescrizioni del GDPR anche con le stampanti, soprattutto quelle non di ultima generazione. Ogni qualvolta si manda in stampa un documento, infatti, vengono elaborate (e spesso archiviate) moltissime informazioni riservate e dati personali che devono essere opportunamente protetti.

Nonostante ciò, le stampanti sono generalmente oggetto di scarsa attenzione nell’analisi dei rischi delle imprese, pur rappresentando uno dei punti più vulnerabili negli attacchi informatici sferrati sempre più spesso a danno delle aziende.

Qualsiasi dispositivo in grado di connettersi alla rete aziendale centrale – il cosiddetto endpoint – è, infatti, un potenziale punto di ingresso per le minacce alla sicurezza informatica e deve, di conseguenza, essere protetto in modo efficace per non costituire l’anello debole della sicurezza di rete.

In un cortometraggio di qualche anno fa con protagonista Christian Slater (nella parte di “the wolf”), l’attore violava una rete aziendale attraverso una semplice stampante d’ufficio e, mentre realizzava il proprio disegno criminoso, dichiarava: “prima ho ottenuto il controllo delle stampanti, poi il controllo della rete, infine il controllo dei loro dati… E grazie a quanto ho rubato qui, queste persone stanno per passare una gran brutta giornata”.

Stampanti e GDPR: le criticità per la sicurezza dei dati

Oltre ad essere un tassello importante delle reti IT, le stampanti conservano anche moltissimi dati: alcune includono funzionalità per la scansione e la stampa da remoto; la maggior parte è dotata di hard disk simili a quelli dei PC, in cui vengono archiviate copie digitali di tutti i documenti sottoposti a scansione, copiati, inviati tramite email e, naturalmente, anche stampati.

Molte aziende non sono consapevoli che i dati personali vengono trasferiti in modo visibile, e non cifrato, sulla rete, per essere stampati; oppure vengono salvati in chiaro sui server (o, addirittura, sui dischi delle stampanti); spesso non vengono definiti workflow alternativi che rappresenterebbero uno strumento fondamentale per evitare che informazioni, anche molto sensibili, possano finire nelle mani sbagliate. Senza workflow alternativi, ogni dato personale può, potenzialmente, essere inviato a stampanti non sicure. Senza contare, poi, che anche un documento dimenticato nel cassetto di uscita di una stampante costituisce un caso di dati non protetti in modo adeguato.

È, d’altra parte, quasi superfluo ricordare che nei documenti che passano attraverso le stampanti sono contenuti moltissime informazioni e dati personali: nomi e informazioni varie sui dipendenti, numeri di carte di credito, copie di documenti di identità, cartelle sanitarie e documenti riservati di ogni genere e tipo.

Se consideriamo le dimensioni medie delle nostre aziende, è sicuramente più facile che le nostre imprese siano dotate di una o più stampanti, piuttosto che di sofisticati dispositivi IoT: quindi, anche in assenza di sofisticati strumenti tecnologici, proteggere le stampanti diventa una parte fondamentale dell’innalzamento dei livelli di sicurezza di un’azienda.

Ma quali sono i punti deboli nella sicurezza di stampa? Ve ne sono di vario genere: da problematiche di natura squisitamente tecnologica fino a banali errori umani.

Da una recente statistica a livello globale è emerso che il 61% delle organizzazioni ha segnalato almeno una violazione dei dati correlata alle stampanti, collegata a uno o più dei seguenti fattori:

• i dispositivi forniti da alcuni produttori non offrono impostazioni di sicurezza appropriate;
• le aziende non applicano gli aggiornamenti per la protezione, che spesso richiedono l’installazione manuale;
• la protezione della stampante non viene attivata per banale noncuranza o sottovalutazione del rischio;
• le stampanti si trovano all’esterno del firewall di rete;
• i documenti vengono intercettati da un hacker;
• gli hacker controllano in remoto la stampante, interferendo con la protezione aziendale.

Alcuni dei più comuni indici, rivelatori di un problema alle stampanti, possono essere:

• modifiche impreviste/non autorizzate alle impostazioni di configurazione;
• i dispositivi richiedono più tempo del normale per funzionare o occupano più larghezza di banda di rete del consueto;
• i timestamp non sono allineati o risultano apparentemente illogici;
• si manifesta un aumento anomalo delle comunicazioni con IP o indirizzi email sconosciuti.

Cosa prevede il GDPR

L’art. 25 del Regolamento UE 679/2016 (GDPR) prevede che “il titolare del trattamento (debba) mette(re) in atto misure tecniche ed organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.”

Il principio sopra riportato di “privacy by default” – fondato sull’idea che le misure di sicurezza prescelte dal titolare del trattamento devono essere predisposte in via preventiva per garantire la selezione dei soli dati realmente necessari da trattare per il conseguimento delle finalità stabilite – imporrà, nel futuro, a tutti i produttori di pensare e creare stampanti “più virtuose” di quelle attuali, già nella fase di progettazione.

I produttori, cioè, dovranno garantire che le loro stampanti, per impostazione definita, siano in grado di applicare in modo rigoroso il principio di minimizzazione previsto dal GDPR in relazione a qualsiasi loro utilizzo da parte dell’utente, così da impedire ex ante, al di là del comportamento specifico del singolo individuo, la massima protezione possibile dei dati personali che vengono trattati tramite questo strumento, impedendo, ad esempio, che la traccia delle copie realizzate resti memorizzata all’infinito nei processori di stampa.

In attesa di questa nuova generazione di macchine, il GDPR impone, comunque, fin da ora alle imprese l’adozione di misure tecniche ed organizzative idonee a mitigare il rischio, soprattutto in presenza di stampanti di uso quotidiano non ancora progettate secondo i predetti canoni di privacy by default.

Stampanti e GDPR: le misure tecniche e organizzative adottabili

Come possiamo, quindi, tutelare i dati personali in possesso delle aziende da indebite diffusioni (interne e/o esterne) tramite le nostre attuali stampanti?

Sotto il profilo tecnico, per garantire un’adeguata protezione, le aziende dovrebbero, perlomeno, ottimizzare il loro “parco stampanti” sulla base dei criteri seguenti:

1. le stampanti devono sempre trovarsi dietro il firewall aziendale;
2. i dispositivi non aziendali non devono essere autorizzati, in linea generale, alla connessione per la stampa (a meno che il responsabile IT abbia autorizzato la stampa dopo aver verificato l’assenza di rischi);
3. pianificare la revisione e l’implementazione degli aggiornamenti del firmware delle stampanti;
4. le opzioni di configurazione della protezione contro gli attacchi informatici offerte dal dispositivo di endpoint devono essere attentamente riesaminate nel corso del tempo e, cioè, sia in fase di acquisto sia in fase di manutenzione periodica della periferica, implementando le protezioni ogni volta che sia possibile.

Sotto il profilo organizzativo, dovranno essere tenute in attenta considerazione soprattutto le minacce interne all’azienda, sempre possibili a causa dell’uso distratto e/o inconsapevole che gli utenti, di norma, fanno di queste macchine.

Un documento stampato senza accorgimenti di sicurezza, magari dimenticato per lungo tempo nel vassoio di una stampante accessibile a tutti, può divenire una seria ipotesi di data loss ad alto rischio, soprattutto se il documento contiene informazioni confidenziali e/o particolari.

Per minimizzare il rischio connesso a queste situazioni, è opportuno (se non, addirittura, imprescindibile) che l’azienda adotti un’adeguata policy che specifichi in modo dettagliato quali siano le corrette modalità di utilizzo delle proprie stampanti (e, naturalmente, anche degli altri strumenti ICT).

Il titolare del trattamento, in base alle concrete modalità di svolgimento del lavoro nella propria azienda, dovrà stabilire:

1. quando si può stampare fuori dall’orario di lavoro?
2. cosa si può stampare?
3. chi può stampare determinate tipologie di file?
4. cosa fare dei documenti abbandonati nelle stampanti a fine giornata?

Sarà, comunque, indispensabile porre in atto una serie di misure di protezione dei dati contenuti nei documenti stampati, prevedendo quantomeno che:

1. non si possa procedere alla stampa immediata, dotando la stampante di un sistema di holding che impedisca il rilascio del documento fino a che l’utente non si sia autenticato davanti alla macchina, ad esempio con un pin personale (che deve, naturalmente, essere custodito dall’utente e non divulgato a terzi);
2. la stampante identifichi in modo univoco l’utente aziendale che ha proceduto ad una determinata stampa;
3. il sistema tenga traccia, per un tempo ragionevole ma non eccessivo, di tutti i lavori di stampa degli utenti (chi ha stampato, nome del documento, pc utilizzato, stampante di output, data e timestamp della stampa, etc.), elevando, in questo modo, anche la responsabilità dell’individuo che immette l’input di stampa in merito alla effettiva opportunità di stampare quel documento;
4. vi sia la possibilità per il responsabile IT di disporre del controllo degli accessi alle stampanti e di visualizzare i record delle vecchie stampate;
5. si possano proteggere ulteriormente i documenti attraverso sistemi avanzati di identificazione quali il watermarking (che consente di inserire una filigrana al momento della stampa con le informazioni dell’utente che ha stampato, la data e l’ora e la stampante utilizzata) o la firma digitale;
6. si provveda, sia durante il periodo di utilizzo sia all’atto della dismissione della macchina, a fare dei reset della memoria della stampante, ripulendola dai vecchi contenuti.

Solo adottando queste basilari misure di sicurezza di natura tecnica ed organizzativa si potrà ambire a rispettare le prescrizioni del GDPR anche con stampanti non di ultima generazione, tutelando gli interessati anche nell’esercizio dei propri diritti garantendo ad esempio, la cancellazione dalle memorie delle stampanti di tutti i dati non più necessari o attuali o pertinenti con le finalità per le quali erano stati oggetto di trattamento.