Печать документов необходима многим компаниям и гражданам. Но мало кто предполагает, что она является одним из серьезных источников утечки информации. Помощь компаний, оказывающих полиграфические услуги, или использование обычных офисных принтеров равно могут оказаться зонами серьезного риска. Основными источниками угроз являются сотрудники компаний, внешние угрозы в виде перехвата информации, направляемой на МФУ, путем использования специального программного обеспечения встречаются существенно реже. Системы борьбы включают в себя и возможности построения защищенных корпоративных полиграфических систем, и разработку политик допуска сотрудников к использованию МФУ.
В бизнес-среде все больше распространяется электронный документооборот, множество счетов, накладных, договоров подписываются не обычной, а электронной подписью, взаимодействие между контрагентами, между бизнесом и налоговыми органами происходит в электронном виде. Но, как показывает практика, количество бумажных документов не уменьшается, а иногда и увеличивается. Причин для этого несколько:
Распечатка бумаг проходит через принтеры, копирование производится на копировальных устройствах, многие важные бумаги дополнительно сканируются. Каждое из электронных устройств при этом становится потенциальным источником утечки конфиденциальной информации. Для этого используются вирусные программы, способные перенаправить трафик электронной информации при ее отправке на печать внешнему пользователю. Достаточно сложный и дорогостоящий механизм внедрения таких программ сужает сектор возможного риска, но забывать об их существовании нельзя. Хакерскими атаками получить сведения с устройств печати также возможно, но такие действия обычно нацелены на хищение массы конфиденциальной информации, а не съем частных данных. Гораздо серьезнее задача блокировки съемных накопителей, на которые может быть записана снятая с принтеров и сканеров информация, и несанкционированная печать документов, содержащих коммерческую тайну, при этом предотвратить их вынос из офиса практически невозможно.
Как говорит практика, популярность твердых копий не уменьшается. Согласно данным опросов еще 10 лет назад, именно на них приходится 60% случаев утечек. Связано это с усилившимся мониторингом электронных каналов, блокировкой возможностей отправки файлов по электронной почте или с использованием мессенджеров. Простота нажатия на кнопку «Распечатать» вводит в искушение многих сотрудников, может быть, ранее даже не намеревавшихся похищать документы.
Многие предприятия пренебрегают возможностями контроля над запросами на печать, и в итоге распечатываются или конфиденциальные документы, или тысячи страниц информации, не имеющей отношения к профессиональной деятельности. Основная зона риска находится на промежутке от компьютера пользователя-инсайдера к закрепленному за ним принтеру. Сознавая это, крупные компании стремятся перейти от офисных принтеров, закрепленных за отдельным пользователем или их группами, к созданию центров печати, объединяющих все МФУ в единую корпоративную сеть. Это позволяет решить две задачи:
Процесс создания таких центров достаточно сложен как с технологической, так и с организационной точки зрения. Целесообразность их должна быть обоснована и с точки зрения бюджета, при этом иногда выделение дополнительных структурных единиц, таких как корпоративные полиграфические группы, создает бюрократические препоны, замедляет работу, и компаниям приходится вернуться к обычной практике и к ее проблемам.
Полиграфические фирмы используются многими. Они полезны для того, чтобы:
В каждом из этих типов задач скрыты возможности для получения конфиденциальной информации, которая может заинтересовать некоторых лиц. Даже знание тезисов материалов презентации за день до нее может помочь сорвать мероприятие и перехватить ключевых клиентов. Сотрудники таких компаний не связаны никакими обязательствами и с легкостью предоставят любому заинтересованному лицу возможность ознакомления с документами, если этому не будут противодействовать принятые политики безопасности. Поэтому при принятии решения о сотрудничестве с такими компаниями необходимо соблюдение повышенных мер безопасности.
В зоне риска традиционно находятся все компании, представляющие интерес для конкурентов. Хищение сведений с применением возможностей инсайдеров становится одним из излюбленных средств конкурентной борьбы. Также использование печати для причинения вреда компании может стать целью обиженных или ущемленных в своих правах сотрудников, имеющих доступ к конфиденциальной информации. Таким образом, в зоне риска находятся:
Ущерб для бизнеса, создаваемый при утечках такого рода, может быть существенно меньше, чем при хакерских атаках, похищающих сотни файлов, но в конкурентной борьбе при верном нацеливании удара даже одна страница, оказавшаяся в поле зрения СМИ, может уничтожить репутацию компании.
Зная о существовании риска, можно предпринимать профилактические меры для его избегания.
В офисе можно осуществить одновременно следующие мероприятия:
Самостоятельной точкой утечки данных является жесткий диск МФУ, содержащий информацию о последних заказах на распечатку. Необходим контроль над ним. Некоторые устройства Canon позволяют реализовать два механизма, при помощи которых можно обезопасить данные:
Закрытие путей похищения электронных данных не снимает риск снятия их с бумажного документа другим путем – фотографированием или физическим выносом за пределы офиса. Часто именно таким путем становятся известными материалы, которые должны быть скрыты от глаз широкой общественности. Только комплексная архитектура работы с корпоративной печатью обезопасит бизнес от утечек на 90%. В самых критических случаях опасность выноса распечатанных документов можно предотвратить, обязав в конце рабочего дня всех сотрудников сдавать все бумажные носители информации, с которыми они работали, в закрытые шкафы руководителей подразделений.
Отказаться от печати документов невозможно, необходимо максимально снизить риски утечки, происходящей благодаря каналам печати. Если идти по пути не только принятия драконовских организационных мер, но и по технологическому (создание грамотной инфраструктуры), то необходимо будет следующее:
Для реализации такой схемы необходимо использование МФУ с изначально заданными параметрами, а его могут в России предложить далеко не все производители. При этом стоимость его недоступна для компаний среднего и малого бизнеса. Модифицировать модель для конкретного офиса поможет аудит потребностей данной компании, проводимый на стадии конструирования корпоративной системы. Пристальное внимание необходимо уделить разработке политик, в которых должны быть изложены права сотрудников при обращении с МФУ. Должно быть определено, сотрудники какой категории имеют право:
Все эти данные прописываются в политиках работы многофункциональных устройств и в электронных карточках сотрудников. Такой механизм поможет не только обезопасить компанию от утечек, но и существенно снизить ее затраты от распечатки документов в личных целях. Нарушение политик должно стать основанием для применения дисциплинарных взысканий или лишения премии, вне зависимости от факта причинения вреда компании забывчивостью или халатностью.
На этап выбора оборудования следует обратить особое внимание. Наиболее современные устройства используют древние как мир техники борьбы с размножением документов – уникализацию каждой копии в зависимости от владельца запроса. Каждый сотрудник получает индивидуальный код, и при распечатке документов он отражается на бумажном листе. В дальнейшем при анализе распечатки при помощи специализированных программных средств можно будет установить, кем именно, когда и на каком устройстве документ был распечатан. Использование этого механизма поможет установить точный источник инсайда внутри компании, и при необходимости с его помощью можно доказать в судебном процессе, что именно это лицо отвечает за утечку. Это позволит впоследствии взыскать с него ущерб в полном объеме.
Стоимость оборудования такого уровня недоступна для небольшого бизнеса, стоимость защиты одного рабочего места может превышать 500 и более долларов, поэтому придется работать с менее сложными средствами, ограничивая доступ потенциальных инсайдеров к документам, содержащим коммерческую тайну. Организационные меры, жесткая регламентация возможных действий, регулярные профилактические беседы с сотрудниками помогут снизить риск утраты информации до минимума.
Задача предотвращения утраты конфиденциальной информации через полиграфические компании решается проще. Для этого необходимо:
Ответственность за предотвращение утечек конфиденциальной информации через печать должна быть равномерно поделена между тремя подразделениями компании: IT-департаментом, службой экономической безопасности и подразделением по работе с персоналом. Также в зоне ответственности административной и корпоративной дирекции останется разработка методик и политик.
Такая системная защита и создание нескольких уровней ответственности позволят снизить риск утраты данных до допустимых значений.
Выберите нужно решение: DLP, SIEM или систему контроля рабочего времени – и получите бесплатно версию для тестирования.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных