Architektura nadzoru: czyli jak wojownik IT włącza drukarki w system obrony zgodny z NIS2, DORA i zasadami cyberdojo

W poprzedniej części omówiliśmy utwardzanie drukarek i urządzeń wielofunkcyjnych (MFP) – zamykanie bram, wyłączanie niepotrzebnych usług i hartowanie konfigu…

Niebezpiecznik

W poprzedniej części omówiliśmy utwardzanie drukarek i urządzeń wielofunkcyjnych (MFP) – zamykanie bram, wyłączanie niepotrzebnych usług i hartowanie konfiguracji. Jeśli przegapiłeś tę część – warto do niej wrócić. Jeśli masz to za sobą – czas na kolejny krok.

Tym razem skupimy się na zbudowaniu architektury ciągłego nadzoru (monitorowanie ustawień, dokumentowanie zmian). To ważne nie tylko operacyjnie. Unijne regulacje NIS2 i DORA wzmacniają wymóg traktowania bezpieczeństwa jako procesu, który trzeba kontrolować, dokumentować i utrzymywać.

SPIS TREŚCI

Nie masz czasu na lekturę całości artykułu? Zacznij od filmu! Zobacz, jak patrzymy na to zagadnienie, a po konkrety i przykłady – kontynuuj lekturę artykułu.

Wyobraź sobie twierdzę: mury stoją, bramy zamknięte, most zwodzony uniesiony. Wszystko wygląda bezpiecznie.

A teraz wyobraź sobie, że straże nie pełnią warty. Nikt nie chodzi po murach. Nikt nie sprawdza, co zmieniło się od wczoraj. Nikt nie zauważa, że od strony rzeki ktoś właśnie przeciąga linę przez niewielką szczelinę w palisadzie.

Tak właśnie wygląda firmowa sieć z drukarkami, które zostały utwardzone, ale pozostawione bez nadzoru. A nadzór to proces, a nie pojedyncze zdarzenie.

Czas zatem zbudować Architekturę Nadzoru. Trzy narzędzia, trzy role, jeden cel: bezpieczeństwo.

1. Zabbix – Strażnik Bram i Mistrz Obserwacji

Każda szanująca się twierdza feudalnej Japonii miała strażników na wieżach. Nie żeby walczyli – żeby czuwali i w razie potrzeby podnosili alarm.

W świecie IT tę rolę odgrywa Zabbix – open-source’owy system monitoringu, który nie śpi, nie bierze L4 i nie wychodzi wcześniej w piątek. Ale jest jeden warunek, od którego nie ma odwołania: SNMP v3. Nie v1. Nie v2. v3!!!

Używanie starszych wersji SNMP to jak wysyłanie zaszyfrowanego raportu… gońcem, który głośno czyta go po drodze na każdym skrzyżowaniu. Brak autentykacji, brak szyfrowania – klasyczne zaproszenie do podsłuchu.

Zabbix z SNMP v3 potrafi:

  • Wyłapać usługi niezgodne z polityką;
    Ktoś (albo coś) włączył HTTP tam, gdzie powinien być wyłącznie HTTPS? Alarm. Natychmiast.
  • Monitorować parametry sieciowe
    Nagła zmiana DNS? Brama domyślna wskazuje na nieznany adres? To może być atak typu ManintheMiddle. Ninja próbuje przekierować ruch przez własny posterunek.
  • Alarmować o błędach sprzętowych.
    Problemy z dyskiem, TPM, modułami kryptograficznymi – Zabbix poinformuje Cię zanim przestanie działać drukarka, zanim przerwie się proces biznesowy, zanim ktoś wpadnie do Twojego biura z pytaniem „dlaczego nic nie działa”.

– Dla środowisk produkcyjnych i biurowych infrastruktura druku i skanowania staje się integralnym, niepomijalnym elementem łańcucha bezpieczeństwa. Monitoring umożliwia szybką reakcję i zapewnia, że środowisko jest pod kontrolą (zarówno w zgodzie z politykami jak i na potrzeby audytów zewnętrznych) – komentuje Darek Szwed, ekspert Canon Polska w obszarze bezpieczeństwa danych.

Zabbix stoi na murach i patrzy. To jego jedyne zadanie. I jest w tym nieludzko dobry.

2. Wazuh – Zwiadowca w cieniu

Strażnik na murach widzi to, co dzieje się otwarcie. Ale ninja rzadko wybiera bramę. Wchodzi, gdy nikt nie patrzy – o nietypowej porze, nietypową ścieżką, w przebraniu kogoś, kto wygląda „jak swój”.

Do wyłapania takich ruchów potrzebujesz zwiadowcy, który potrafi łączyć ślady. Kogoś, kto nie tylko zauważy pojedyncze zdarzenie, ale zrozumie, co ono oznacza w kontekście całej twierdzy.

Tą rolę pełni Wazuh – opensource’owy SIEM/XDR, który zbiera logi z urządzeń MFP przez zaszyfrowany Syslog (TLS 1.3) i skleja je w jedną mapę zdarzeń.

Co konkretnie demaskuje?

  • Ataki brute-force: seria błędnych logowań w krótkim czasie to klasyczny sygnał: ktoś testuje, czy przypadkiem nie zostawiłeś otwartej furtki. Wazuh to zauważy i podniesie alarm, zanim napastnik trafi na właściwe hasło.
  • Aktywność poza godzinami
    Logowanie o 02:37? Skanowanie portów w środku nocy? Zmiana ustawień „gdy nikt nie patrzy”? To klasyczny sygnał, że ktoś próbuje działać w cieniu.
  • Zmiany polityk bezpieczeństwa
    Ktoś zmodyfikował polityki bezpieczeństwa, które sam wcześniej ustawiłeś? Wazuh wyśle Ci alert, zanim zdążysz zaparzyć kawę. Żadnych cichych nadpisań.
  • Nieoczekiwane operacje czyszczenia logów urządzeń, sugerujące że ktoś czyści ślady po nieautoryzowanych działaniach.

Wazuh nie zastępuje Zabbiksa, ale go uzupełnia.
Zabbix regularnie sprawdza i alarmuje, że coś się zmieniło. Wazuh NATYCHMIAST raportuje: co, kiedy, skąd i czy to wrogie działania.

3. iWEMC – Zarządca twierdzy

Zabbix widzi. Wazuh analizuje. Ale ochroną twierdzy trzeba jeszcze zarządzać.

Tę rolę w szeregach klanu Canon pełni iW Enterprise Management Console (iWEMC) – centrum dowodzenia dla całej floty MFP. Daje coś, czego większość administratorów IT skrycie pożąda: jeden punkt kontroli dla setek urządzeń jednocześnie.

Wyobraź sobie, że zamiast chodzić od drukarki do drukarki i ręcznie klikać w ustawienia (bo tak się „zawsze robiło”), tworzysz jeden wzorcowy profil konfiguracji:

  • porty: co niepotrzebne – wyłączone,
  • protokół: SMB v3 wymuszony,
  • uwierzytelnianie sieciowe: 802.1x ustawione,
  • certyfikaty: wdrożone.

Jednym ruchem. Jak wykucie pierwszego ostrza – a potem hartowanie wszystkich pozostałych według tej samej formy.

Oczywiście iWEMC to sprawny wykonawca zleconych działań, natomiast jak każdy efektywny pracownik będzie działał tam, gdzie jest to niezbędne – w tym zakresie jego funkcje wykraczają poza oferowane przez otwarte rozwiązania klasy Zabbix. Realizuje to poprzez procedury zarządzania i konfiguracji zastrzeżone dla rozwiązań producenckich. W tym przede wszystkim zarządzanie aktualizacją oprogramowania układowego.

Zarządzanie firmware – aktualizacja całej (lub wybranego fragmentu) floty jednym poleceniem.

Planowanie aktualizacji dla dziesiątek czy setek urządzeń, kiedyś żmudne i rozproszone, staje się ustawieniem jednej linii szyku: Planowanie terminów i listy urządzeń pozwala na wdrożenie polityk pilotażowych, weryfikujących zgodność nowej wersji oprogramowania z politykami i standardami firmy. Zarządca wyznacza termin, politykę i zakres – a cała flota wykonuje ten sam manewr w tym samym czasie.

Kontrola zgodności, czyli dyscyplina bez wyjątków

Każda zmiana, każdy odchył, każdy nieoczekiwane zdarzenie, każda „twórcza interpretacja” zasad przez administratora lub serwisanta albo użytkownika zostanie wykryta. System (a w zasadzie zestaw narzędzi) natychmiast wskaże różnicę bądź podejrzane wydarzenie, a Zarządca może przywrócić właściwe ustawienia jednym ruchem.

Żadnych niespodzianek. Żadnych „nie wiem skąd to się wzięło”.

To właśnie dyscyplina.
To właśnie Droga Samuraja:

– Utwardzenie urządzenia to jedno. Utrzymanie go w tym stanie – to prawdziwa sztuka. A świadomość krytycznych zdarzeń to najwyższy poziom czujności i ochrony.

NIS2, DORA – Kodeksy Imperium, którym Samuraj musi sprostać

Wymogi unijne są jak prawa shōguna – nie podlegają dyskusji, tylko wykonaniu.

Dobrze ustawione trio Zabbix + Wazuh + iWEMC gwarantuje, że twierdza działa według kodeksu, nie legendy. Kiedy wszystkie elementy obrony są odpowiednio ustawione, Samuraj może nie tylko skutecznie odpychać ataki, ale też przewidywać, zarządzać i utrzymywać porządek, zanim pierwszy ninja w ogóle podejdzie pod bramę.

Dzięki właściwej architekturze nadzoru:

  • urządzenia przestają żyć własnym życiem,
  • flota zaczyna działać jak zorganizowany oddział,
  • a każdy element infrastruktury ma swoją rolę, ścieżkę i granice

a Ty podczas audytu możesz spokojnie pić kawę.

Co dalej?

W kolejnej odsłonie sagi o bezpieczeństwie urządzeń drukujących spojrzymy dalej niż mury warowni: na architekturę sieci druku, segmentację, izolację floty i fundamenty Zero Trust w świecie dokumentów.

– Skuteczny monitoring to nie tylko dane o systemie. To przede wszystkim kontrola tego, dokąd płyną dane i kto ma do nich dostęp – podsumowuje Darek Szwed.

Pójdź z nami dalej drogą bezpieczeństwa.
Ninja nie śpią.
Samuraj – też nie.

Autorem niniejszego artykułu jest Canon Polska, producent i dostawca rozwiązań do druku i obiegu dokumentów, w których bezpieczeństwo jest elementem architektury, a nie dodatkiem. Artykuł jest artykułem sponsorowanym i za jego publikację otrzymaliśmy wynagrodzenie.Rozwiązania do druku od Canon Polska stawiają na bezpieczeństwo, co widać zarówno w zaawansowanych urządzeniach wielofunkcyjnych z serii imageFORCE, tworzonych z myślą o środowiskach o podwyższonych wymaganiach bezpieczeństwa, jak i laserowych drukarkach Canon iSENSYS, które już w podstawowej konfiguracji oferują szyfrowanie danych, silne mechanizmy uwierzytelniania i nowoczesne standardy sieciowe.
Czytaj artykuł na stronie źródłowej

Katalog Polskich Firm z Sektora Cyberbezpieczeństwa

Cyber Katalog to niezależna platforma gromadząca zweryfikowane polskie firmy specjalizujące się w cyberbezpieczeństwie. Naszą misją jest wspieranie decydentów w wyborze rzetelnych partnerów do ochrony zasobów cyfrowych.

Copyright © 2026 Cyber Katalog. Wszelkie prawa zastrzeżone.

Projekt i wykonanie: Silesian Solutions

Zespół Cyber Katalog nie świadczy usług doradczych przy wyborze dostawców. Naszą misją jest rozwój polskiej branży cybersecurity. Tworzymy niezależną przestrzeń, w której decydenci mogą łatwo nawiązywać kontakt ze sprawdzonymi firmami. To specjaliści oferujący zaawansowane usługi z zakresu ochrony cyfrowej i bezpieczeństwa IT.

Zwiększ widoczność w branży cyberbezpieczeństwa

Dodaj swoją firmę