Значительная часть инцидентов информационной безопасности происходит с «участием» бумажных документов, изготовленных с помощью офисных печатающих устройств. Типичная ситуация: конфиденциальная информация отправляется на принтер общего пользования и попадается на глаза или в руки тех, кто не должен получать доступ к ней. Другая ситуация: порты USB в организации жестко контролируются, поэтому инсайдер умышленно распечатывает конфиденциальные документы, после чего уносит с собой или их фотографирует.
Риски, связанные с информационной безопасностью печатных документов, оказывают заметное влияние на картину ИБ в целом. Так, по данным глобального исследования утечек конфиденциальной информации в I полугодии 2013 года, подготовленного аналитическим центром компании InfoWatch, на долю бумажных документов в мире приходится 25,4% инцидентов, связанных с утечкой информации (большее количество инцидентов происходит только при краже и потере оборудования — 29,2%). В России в 2012 году конфиденциальная информация уходила через бумажные документы чаще, чем по любому другому каналу, — в 28,4% случаев.
По данным исследования Canon, в 78% компаний конфиденциальные документы печатаются не на персональных принтерах, а на общедоступных устройствах, при этом никаких мер к защите фактически не предпринимается. Лишь менее 5% руководителей учитывают такой фактор, как безопасность, при принятии решения о покупке печатающих устройств. Около 25% всех инцидентов ИБ в корпоративном документообороте приходится на утечки информации на бумажных носителях. Чаще всего посторонние лица получают несанкционированный доступ к конфиденциальной информации случайно, из-за разгильдяйства сотрудников. Нередко сотрудники даже не подозревают, что данные, с которыми они работают, конфиденциальные.
«Проблема в том, что современные печатные устройства ушли далеко за пределы простой печати — сегодня это полноценные компьютеры, — отмечает Александр Щелканов, менеджер по программным решениям компании Ricoh Rus. — Даже размещение и конфигурация конкретного устройства влияют на уровень безопасности. Например, для локально подключенных печатных устройств достаточно локальной (внутренней) аутентификации пользователей, тогда как сетевым устройствам могут потребоваться более надежные методы аутентификации. Принтеры и МФУ с внутренними жесткими дисками для долгосрочного хранения информации требуют более серьезного уровня защиты данных по сравнению с настольными принтерами, которые используют только оперативную память для временного хранения заданий печати».
Меры предосторожности
Можно ли обеспечить недорогую, но эффективную защиту от рисков ИБ при использовании печатных устройств? Да, это возможно, считает Евгений Моржевилов, руководитель консалтинга Canon в России. В первую очередь нужно четко определить, какая информация является конфиденциальной. Если такое определение есть, то можно выстроить полноценную стратегию защиты конфиденциальных документов, проанализировав их жизненный цикл в компании и выявив возможные угрозы.
«Чтобы упорядочить и в дальнейшем контролировать процессы печати, организации нужны правила, зафиксированные во внутреннем документе — политике печати. Она описывает требования к безопасности офисной печати, на основании которых подбираются те или иные организационные и программно-аппаратные решения», — рассказывает Игорь Ежак, руководитель проектов компании «АРТИ».
По словам Андрея Прозорова, ведущего эксперта по ИБ компании InfoWatch, чтобы снизить риски, но при этом не потратить много денег, следует начать с простых, но важных мероприятий: помимо формулирования требований по работе с копировально-множительной техникой (обычно это часть документа «Политика допустимого использования») и бумажными документами (обычно это часть документа «Положение об обработке информации ограниченного доступа»), нужно обеспечить автоматическое проставление грифов конфиденциальности на документах и, по возможности, проставление фамилии и имени того, кто печатает документы (владельца копии). «Если сотрудники видят такие метки, то начинают бережнее относиться к документам», — поясняет Прозоров. Третья мера — установка шредеров вблизи копировально-множительной техники, чтобы уничтожать лишние и ненужные копии. Четвертая — проанализировать необходимость в принтерах для сотрудников, по возможности исключить «зоопарк» устройств, оценить необходимость в персональных принтерах, спланировать подключение и физическую установку принтеров.
Также Прозоров рекомендует размещать оборудование внутри контролируемой зоны, устанавливать видеокамеры, использовать системы контроля печати (анализа содержимого документов), DLP-системы, сервисы безопасной печати (с вводом пароля на принтере или предъявлением смарт-карты). И конечно, следует повышать осведомленность персонала и проводить его обучение.
«Для минимизации рисков необходимо в первую очередь обеспечить защиту каналов передачи данных с использованием шифрования, разграничение доступа к возможности печати тех или иных документов, к тем или иным устройствам или к тем или иным функциям устройства, а также сбор и анализ статистики печати как на уровне пользователей, так и на уровне печатных устройств», — считает Ежак.
«Одна из ключевых мер защиты — это внедрение в компании персонализированного доступа к печатающим устройствам, — добавляет Моржевилов. — Персонализация позволяет контролировать контент, с которым работает каждый конкретный сотрудник, и при необходимости блокировать операции с ним. «Продвинутое» ПО позволяет производить автоматический анализ документа по ключевым словам при его печати, сканировании или копировании».
Еще один важный, по мнению Моржевилова, момент — персонализация при сканировании документов в облачные сервисы и различные приложения. Эта мера позволяет отследить и предотвратить отправку конфиденциальной информации во внешнюю незащищенную среду. Персонализировать печать можно и более простыми методами — например, путем использования PIN-кодов или карточного доступа к устройствам.
Снижению риска утечек способствует общее сокращение объема бумажных документов в компании. «Чем меньше документов будет напечатано, тем меньше вероятность потери информации», — поясняет Моржевилов.
Как отмечает Эммануэль Жан, генеральный директор компании «Лексмарк Интернэшнл Рус», снизить объемы распечатываемых документов и вероятность попадания их в чужие руки помогает и аутсорсинг обслуживания печатающих устройств: «До внедрения такой услуги вокруг печатающих устройств заказчика скапливается огромное количество невостребованных документов. После внедрения услуги проблема забытых документов попросту исчезает. Кроме того, появляется возможность отслеживать процессы печати внутри организации и идентифицировать потенциально опасные задания на печать».
По словам Жана, сейчас существуют средства, в том числе и собственные разработки вендоров устройств, обеспечивающие практически любой уровень безопасности данных. К примеру, процесс офисной печати может быть как полностью открытым для пользователей, когда каждый из них может печатать что угодно и где угодно, так и чрезмерно контролируемым, когда пользователь ограничен одним-двумя устройствами, ему запрещен доступ к цветной печати и вся отправляемая им на печать информация проходит контроль и авторизацию службы безопасности. Можно остановиться и где-то посередине, когда специализированное ПО в фоновом режиме просматривает все документы, отправленные на печать, и сигнализирует службе безопасности, если в документах содержатся ключевые слова, такие как «конфиденциально», «для внутреннего пользования» и т. д.
Возможности для расследований
Помогут ли при расследовании инцидентов с печатающими устройствами «водяные знаки», системные журналы, видеонаблюдение за устройствами коллективного пользования и другие популярные средства?
«Конечно, и «водяные знаки», и системные журналы способны помочь, но при условии, что в офисе настроен персонализированный доступ к печатающим устройствам, — отмечает Моржевилов. — Однако само по себе наличие таких средств — еще не гарантия защищенности. В компании должна быть выработана единая стратегия их применения, они должны грамотно управляться и контролироваться».
По мнению Щелканова, каждый из широкого спектра инструментов обеспечения безопасности (от инструментов защиты данных при передаче по сети до обеспечения снятия теневых копий заданий пользователя в процессе печати или копирования) имеет определенную эффективность. Можно сформировать портфолио инструментов, обеспечивающих надежную защиту данных от возможных утечек.
«При расследовании помогут любые доступные средства, — считает Ежак. — «Водяные знаки» позволяют определить виновника утечки по его идентификационным данным. Это удобный инструмент маркировки. Вопрос в другом: система безопасности должна предупреждать и предотвращать подобные инциденты».
Как видим, информационную безопасность при работе с печатающими устройствами обеспечить можно. Для этого главное — не пренебрегать такой, казалось бы, мелочью, как аккуратность при обращении с бумажными документами.