Как покончить с неявными слабыми звеньями в системе обеспечения безопасности печатной среды

Администраторы службы безопасности должны учитывать так много внешних угроз, что легко могут не заметить внутреннюю угрозу безопасности от плохо управляемых многофункциональных продуктов.  К счастью, новое поколение устройств, а также помощь экспертных компаний могут успешно закрыть эту брешь.

Вредоносная программа, программа-шантажист, социотехника. Внимательные ИТ-менеджеры и руководители по информационной безопасности принимают меры предосторожности против большого количества угроз, грозящих важным корпоративным данным. Но одна область часто выходит из обозрения. Она есть даже в самых защищенных лабиринтах сети. Неправильно управляемые многофункциональные продукты (МФУ), подсоединенные в сеть,  могут подвергаться существенной угрозе безопасности. Как со стороны предприимчивых хакеров, так и со стороны сотрудников в виде неумышленных утечек информации  Причина: для полной защиты устройства нуждаются в универсальном подходе, который принимает во внимание не только конфигурации сети и сопротивляемость облачных служб.

 К счастью, комплекс новейших технологий, управляемых служб, а также наработанных методик могут заполнить бреши в системе безопасности без уменьшения производительности для конечных пользователей. Вот те параметры, на которые нужно обратить внимание при оценке МФУ и экспертизе служб безопасности потенциальных  поставщиков управляемых услуг.

Выбор устройств, разработанных для безопасности

Функции защиты данных должны быть встроены в МФУ с самого начала, вместо того, чтобы в последствии устанавливать дополнительное оборудования и программное обеспечение. Как можно это определить? Сфокусироваться на жестком диске, который является первостепенным пунктом для защиты данных. Диск должен поддерживать федеральные протоколы шифрования информации для вводимых и хранимых данных. Рекомендации по применению в Усовершенствованном стандарте шифрования (Advanced Encryption Standard),  используемом для государственных конфиденциальных документов.

Кроме того, МФУ должен быть оснащен программным обеспечением для стирания данных с жесткого диска, чтобы гарантировать, что конфиденциальная информация не задержалась после выполнения задания на печать или когда жесткий диск окажется списанным.   Но удаления данных иногда не достаточно, если прерывается печать или не доступна очистка диска. Данные все еще будут подвергаться опасности.

Протоколы шифрования защищают данные, когда они хранятся или перемещаются по сети, но информация может быть уязвима и в других местах. Не упускайте из виду риски, связанные с документами, остающимися на выходных лотках. Если МФУ обработает задание на печать до того, как отправитель заберет документы, то финансовые данные, личные файлы и другая конфиденциальная информация подвергается рискам со стороны неавторизованных лиц, оказавшихся рядом.  Во избежание этого,  ПО МФУ для безопасной печати (follow-me printing) создает задание на печать в режиме ожидания до того момента, пока авторизованный получатель отсканирует именной бейджик, введет пароль или сделает и то, и другое, в зависимости от политики компании.  

Авторизациями наиболее эффективно могут управлять администраторы в том случае, когда они централизованно хранятся в системе Active Directory компании, а не на самом устройстве.   Не следует забывать о безопасном подключении между корпоративной средой Active Directory и считывателем бейджев на устройстве. Прямое подключение, которое зашифровывает данные, является самым безопасным путем для создания условий передачи информации. К тому же, централизованное управление печатью документов способствует усилению безопасности,  потому что информация не хранится на жестком диске устройств.

ИТ-менеджеры для дальнейшего укрепления безопасности могут рассмотреть вариант отправки файлов напрямую с ПК на принтеры без вмешательства серверов печати. Это важный момент, потому что многие организации не зашифровывают информацию, ожидающую печати на серверах, делая ее потенциально доступной для хакеров. Шифрование ожидающих печати файлов — это дополнительная опция, однако, она может ограничить способность организации использовать систему безопасной печати (follow-me printing).  Таким образом, ответственные лица должны противопоставлять различные альтернативы, основанные на важности обрабатываемой информации, а также соображений производительности, чтобы убедиться в том, что каждое решение соответствует специфическим требованиям.  

МФУ могут нарушать условия корпоративной безопасности, если настройки по умолчанию устройств были некорректно установлены. Таким образом,  процесс конфигурации должен включать в себя настройки, которые определяют лимит для сканирования на электронную почту, отправки факса, печати, а также копирования для определенных рабочих групп и отдельных сотрудников. 

Для устройств, которые обрабатывают конфиденциальную информацию такую, как медицинская документация и страховые номера, рассматривается возможность утилит защит от потери данных (DLP), которые могут предупредить об опасности администраторов и даже заблокировать задания на печать, содержащих такую информацию. 

В довершение всего, другие особенности конфигураций — это задачи конечных пользователей, связанных с определенными устройствами.  Например, не каждое устройство поддерживает файлы с защитой от потери данных (DLP) или двухфакторную аутентификацию. Принуждение сотрудников следовать необязательным жестким протоколам провоцирует их идти в обход установленных процедур во имя производительности,  что создает дополнительную незащищенность данных.

Не забудьте о безопасности при оценке поставщиков управляемых услуг печати

Поставщики управляемых служб печати имеют огромное значение для крупных организаций. Они систематически обслуживают и администрируют каждое устройство для предотвращения механических неисправностей и инцидентов. Например, когда падает производительность из-за нехватки тонера в принтере или недостатка бумаги.   Такие специалисты также поддерживают надлежащие функции безопасности и делают корректировки к программному обеспечению для защиты от хакерских атак, использующих уже известные ошибки. Главное выяснить какие провайдеры имеют необходимую степень безопасности для защиты корпоративной информации.

В силу того, что поставщики услуг в основном выполняют управленческие задания удаленно, узнайте как происходит сетевое подключение кандидата к линейке печатающих устройств. Проанализируйте насколько данные каналы безопасны, включая использование провайдером выделенных каналов и VPN-соединений для связи с устройствами.

Так как каждой рабочей группе необходимы индивидуальные настройки устройства (не важно слишком они простые или слишком сложные), убедитесь, что потенциальный поставщик услуг не предлагает решения по обеспечению безопасности на любой случай. 

Восполните пробел

 Администраторы службы безопасности должны учитывать так много внешних угроз, что легко могут не заметить внутреннюю угрозу безопасности от плохо управляемых МФУ. К счастью, новое поколение устройств, а также помощь экспертных компаний могут успешно закрыть эту брешь.  Окружающий мир может быть небезопасным, но, по крайней мере, ИТ-директорам и руководителям по информационной безопасности не нужно будет просыпаться среди ночи,  беспокоясь о своих МФУ.