Печать и утечка информации

Аналитические возможности
DLP-системы

Печать документов необходима многим компаниям и гражданам. Но мало кто предполагает, что она является одним из серьезных источников утечки информации. Помощь компаний, оказывающих полиграфические услуги, или использование обычных офисных принтеров равно могут оказаться зонами серьезного риска. Основными источниками угроз являются сотрудники компаний, внешние угрозы в виде перехвата информации, направляемой на МФУ, путем использования специального программного обеспечения встречаются существенно реже. Системы борьбы включают в себя и возможности построения защищенных корпоративных полиграфических систем, и разработку политик допуска сотрудников к использованию МФУ.

Утечка информации и офисные устройства

В бизнес-среде все больше распространяется электронный документооборот, множество счетов, накладных, договоров подписываются не обычной, а электронной подписью, взаимодействие между контрагентами, между бизнесом и налоговыми органами происходит в электронном виде. Но, как показывает практика, количество бумажных документов не уменьшается, а иногда и увеличивается. Причин для этого несколько:

  • особенности взаимодействия с государственными организациями и судами требуют подачи документов в бумажном виде;
  • претензионная и судебная работа, официальная переписка ведутся в бумажном виде;
  • рекламные материалы, данные для презентаций, отчеты должны существовать в виде бумажного документа;
  • потребитель информации лучше воспринимает данные, считывая их с листа, а не с экрана.

Распечатка бумаг проходит через принтеры, копирование производится на копировальных устройствах, многие важные бумаги дополнительно сканируются. Каждое из электронных устройств при этом становится потенциальным источником утечки конфиденциальной информации. Для этого используются вирусные программы, способные перенаправить трафик электронной информации при ее отправке на печать внешнему пользователю. Достаточно сложный и дорогостоящий механизм внедрения таких программ сужает сектор возможного риска, но забывать об их существовании нельзя. Хакерскими атаками получить сведения с устройств печати также возможно, но такие действия обычно нацелены на хищение массы конфиденциальной информации, а не съем частных данных. Гораздо серьезнее задача блокировки съемных накопителей, на которые может быть записана снятая с принтеров и сканеров информация, и несанкционированная печать документов, содержащих коммерческую тайну, при этом предотвратить их вынос из офиса практически невозможно.

Как говорит практика, популярность твердых копий не уменьшается. Согласно данным опросов еще 10 лет назад, именно на них приходится 60% случаев утечек. Связано это с усилившимся мониторингом электронных каналов, блокировкой возможностей отправки файлов по электронной почте или с использованием мессенджеров. Простота нажатия на кнопку «Распечатать» вводит в искушение многих сотрудников, может быть, ранее даже не намеревавшихся похищать документы.

Корпоративные центры печати

Многие предприятия пренебрегают возможностями контроля над запросами на печать, и в итоге распечатываются или конфиденциальные документы, или тысячи страниц информации, не имеющей отношения к профессиональной деятельности. Основная зона риска находится на промежутке от компьютера пользователя-инсайдера к закрепленному за ним принтеру. Сознавая это, крупные компании стремятся перейти от офисных принтеров, закрепленных за отдельным пользователем или их группами, к созданию центров печати, объединяющих все МФУ в единую корпоративную сеть. Это позволяет решить две задачи:

  • существенно снизить расходы на офисную технику, ее ремонт и обслуживание;
  • усилить контроль над безопасностью сведений.

Процесс создания таких центров достаточно сложен как с технологической, так и с организационной точки зрения. Целесообразность их должна быть обоснована и с точки зрения бюджета, при этом иногда выделение дополнительных структурных единиц, таких как корпоративные полиграфические группы, создает бюрократические препоны, замедляет работу, и компаниям приходится вернуться к обычной практике и к ее проблемам.

Утечка и полиграфия

Полиграфические фирмы используются многими. Они полезны для того, чтобы:

  • срочно подготовить иллюстративный материал для презентаций и бизнес-тренингов;
  • издать корпоративные обучающие материалы;
  • подготовить материалы к собраниям акционеров, которые часто требуют сотен тысяч листов;
  • распечатать диссертации, рефераты, другие научные исследования.

В каждом из этих типов задач скрыты возможности для получения конфиденциальной информации, которая может заинтересовать некоторых лиц. Даже знание тезисов материалов презентации за день до нее может помочь сорвать мероприятие и перехватить ключевых клиентов. Сотрудники таких компаний не связаны никакими обязательствами и с легкостью предоставят любому заинтересованному лицу возможность ознакомления с документами, если этому не будут противодействовать принятые политики безопасности. Поэтому при принятии решения о сотрудничестве с такими компаниями необходимо соблюдение повышенных мер безопасности.

Кто в зоне риска?

В зоне риска традиционно находятся все компании, представляющие интерес для конкурентов. Хищение сведений с применением возможностей инсайдеров становится одним из излюбленных средств конкурентной борьбы. Также использование печати для причинения вреда компании может стать целью обиженных или ущемленных в своих правах сотрудников, имеющих доступ к конфиденциальной информации. Таким образом, в зоне риска находятся:

  • любые организации, в которых контроль над использованием печатных устройств, подсоединенных к персональным компьютерам, не налажен;
  • организации, передающие документы, в которых содержатся конфиденциальные данные, в полиграфические компании;
  • частные лица, носители важных для третьих лиц сведений, также передающие свои документы в полиграфические компании.

Ущерб для бизнеса, создаваемый при утечках такого рода, может быть существенно меньше, чем при хакерских атаках, похищающих сотни файлов, но в конкурентной борьбе при верном нацеливании удара даже одна страница, оказавшаяся в поле зрения СМИ, может уничтожить репутацию компании.

Профилактика утечек

Зная о существовании риска, можно предпринимать профилактические меры для его избегания.

В офисе можно осуществить одновременно следующие мероприятия:

  • объединить все станции в единый контур, установив контроль над его периметром при помощи систем защиты информации. Для этого часто используются современные DLP-системы и SIEM-системы, предотвращающие выход информационных пакетов за пределы охраняемого периметра;
  • убрать с рабочих станций устройства для копирования электронной информации (порты USB, картридеры), механически закрыть их или использовать профессиональные программные продукты, обеспечивающие запрет на копирование. Простое закрытие портов не приводит к успешному результату, при необходимости в помещении, не оборудованном камерами видеонаблюдения, сотрудник может скрыть корпус компьютера и разместить там еще один жесткий диск, на который и будут записаны необходимые ему сведения;
  • ограничение доступа к МФУ из устройств локальной сети, настроив его политики безопасности так, чтобы принтер мог получать задания только от единственного компьютера;
  • оборудование зоны у лотка выдачи готовых документов видеокамерами, позволяющими зафиксировать интерес непричастных сотрудников к чужим распечаткам.

Самостоятельной точкой утечки данных является жесткий диск МФУ, содержащий информацию о последних заказах на распечатку. Необходим контроль над ним. Некоторые устройства Canon позволяют реализовать два механизма, при помощи которых можно обезопасить данные:

  • шифрование всех электронных данных, накопленных на диске;
  • использование методик затирания всех данных по стандарту, соответствующему требованиям Министерства Обороны США. Простое уничтожение не снимает риска их последующего восстановления.

Закрытие путей похищения электронных данных не снимает риск снятия их с бумажного документа другим путем – фотографированием или физическим выносом за пределы офиса. Часто именно таким путем становятся известными материалы, которые должны быть скрыты от глаз широкой общественности. Только комплексная архитектура работы с корпоративной печатью обезопасит бизнес от утечек на 90%. В самых критических случаях опасность выноса распечатанных документов можно предотвратить, обязав в конце рабочего дня всех сотрудников сдавать все бумажные носители информации, с которыми они работали, в закрытые шкафы руководителей подразделений.

Как обезопасить бизнес?

Отказаться от печати документов невозможно, необходимо максимально снизить риски утечки, происходящей благодаря каналам печати. Если идти по пути не только принятия драконовских организационных мер, но и по технологическому (создание грамотной инфраструктуры), то необходимо будет следующее:

  • разработать корпоративные стандарты и методики, определяющие доступ к устройствам печати;
  • создать корпоративное облако-драйвер, принимающее заказы на распечатку. Сотрудник с его компьютером в этом случае не связан с определенным принтером и не знает, кто сможет проконтролировать распечатываемые им документы;
  • фактически распечатать и получить документы можно, только пройдя идентификацию при помощи электронного чипа в карточке или иными способами. Это помогает снизить риск перехвата, прочтения или фотографирования лежащих в лотке бумаг третьими лицами;
  • установить программы, автоматически шифрующие передаваемые на принтер документы: заинтересованное лицо не сможет увидеть даже их название и выходные данные в электронном реестре МФУ;
  • внедрить систему управления контентом, которая позволит присваивать отдельным файлам коды, запрещающие вывод их на принтер;
  • использовать uniFLOW (Secure Audit Management) – опцию, которая автоматически оповестит сотрудников безопасности о попытке распечатать документы, относящиеся к категории конфиденциальных;
  • при необходимости воспользоваться документами в командировке задание на печать можно отправить со своего рабочего места, а распечатать документы после идентификации уже в филиале или обособленном подразделении.

Для реализации такой схемы необходимо использование МФУ с изначально заданными параметрами, а его могут в России предложить далеко не все производители. При этом стоимость его недоступна для компаний среднего и малого бизнеса. Модифицировать модель для конкретного офиса поможет аудит потребностей данной компании, проводимый на стадии конструирования корпоративной системы. Пристальное внимание необходимо уделить разработке политик, в которых должны быть изложены права сотрудников при обращении с МФУ. Должно быть определено, сотрудники какой категории имеют право:

  • посылать документы на печать с обязательным ранжированием категорий документов;
  • сканировать документы;
  • пользоваться цветной печатью;
  • направлять отсканированные документы по внешним каналам связи;
  • копировать документы.

Все эти данные прописываются в политиках работы многофункциональных устройств и в электронных карточках сотрудников. Такой механизм поможет не только обезопасить компанию от утечек, но и существенно снизить ее затраты от распечатки документов в личных целях. Нарушение политик должно стать основанием для применения дисциплинарных взысканий или лишения премии, вне зависимости от факта причинения вреда компании забывчивостью или халатностью.

На этап выбора оборудования следует обратить особое внимание. Наиболее современные устройства используют древние как мир техники борьбы с размножением документов – уникализацию каждой копии в зависимости от владельца запроса. Каждый сотрудник получает индивидуальный код, и при распечатке документов он отражается на бумажном листе. В дальнейшем при анализе распечатки при помощи специализированных программных средств можно будет установить, кем именно, когда и на каком устройстве документ был распечатан. Использование этого механизма поможет установить точный источник инсайда внутри компании, и при необходимости с его помощью можно доказать в судебном процессе, что именно это лицо отвечает за утечку. Это позволит впоследствии взыскать с него ущерб в полном объеме.

Стоимость оборудования такого уровня недоступна для небольшого бизнеса, стоимость защиты одного рабочего места может превышать 500 и более долларов, поэтому придется работать с менее сложными средствами, ограничивая доступ потенциальных инсайдеров к документам, содержащим коммерческую тайну. Организационные меры, жесткая регламентация возможных действий, регулярные профилактические беседы с сотрудниками помогут снизить риск утраты информации до минимума.

Задача предотвращения утраты конфиденциальной информации через полиграфические компании решается проще. Для этого необходимо:

  • полностью отказаться от сотрудничества с новыми и непроверенными фирмами;
  • наладить системное взаимодействие с одной крупной типографией;
  • заключить с ней соглашение, предусматривающее защиту коммерческой тайны и финансовую ответственность за ее разглашение;
  • передавать информацию только электронным путем и в зашифрованном виде или в защищенных паролями архивах любыми способами, исключающими возможность дешифровки и перехвата.

Ответственность за предотвращение утечек конфиденциальной информации через печать должна быть равномерно поделена между тремя подразделениями компании: IT-департаментом, службой экономической безопасности и подразделением по работе с персоналом. Также в зоне ответственности административной и корпоративной дирекции останется разработка методик и политик.

Такая системная защита и создание нескольких уровней ответственности позволят снизить риск утраты данных до допустимых значений.

ИБ-ИНСТРУМЕНТЫ ДЛЯ БИЗНЕСА

Выберите нужно решение: DLP, SIEM или систему контроля рабочего времени – и получите бесплатно версию для тестирования.

 

 

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.