Защита бумажного документооборота с помощью безопасной печати
Угрозы безопасности простой печати
Безопасность корпоративного документооборота является одной из фундаментальных основ успешного ведения бизнеса в современных условиях высокотехнологичных информационных угроз. Утечка конфиденциальных данных приводит к существенным финансовым потерям, а нередко и краху целых компаний. Поэтому вопрос защиты критически важной для бизнеса информации давно уже не вызывает сомнений при построении или обновлении корпоративной инфраструктуры.
Но если для документооборота в цифровом виде электронная подпись, шифрование самих данных и каналов их передачи уже являются стандартами де-факто практически в любой компании, в которой существует обмен закрытой информацией, то защита печатных версий конфиденциальных документов до сих пор, к сожалению, нередко решается лишь на уровне регламента, а технологические средства ограничены только встроенными возможностями принтеров и, как максимум, обычными сервисами печати от Microsoft.
Традиционный процесс печати в компании
Всем знакома типичная картина организации процессов печати в рядовой компании. У персонала на рабочих системах настроено несколько десятков принтеров, и хорошо, если на уровне бизнес-процессов четко прописано, кто на какой принтер должен выводить свои документы. В случае печати конфиденциальной информации, электронная версия которой, как отмечалось выше, скорее всего, надежно защищена, сотрудник вынужден выводить документы строго на определенный принтер и позаботиться, чтобы к распечатке, которая, как правило, сразу появляется на целевом принтере, никто не получил нелегального визуального доступа.
Но в регулярной офисной работе невозможно всегда аккуратно следовать инструкциям безопасности, а одного беглого взгляда на свеженапечатанный лист со стороны заинтересованного лица достаточно для кражи инсайдерской информации. Кроме того, из-за периодического обслуживания и обновления парка принтеров названия устройств в рабочей среде сотрудников постоянно меняется, возникает путаница, которая значительно повышает риск несанкционированного доступа к приватным распечаткам.
Иными словами, любой, даже самый строгий регламент, несмотря на угрозы взысканий за его нарушения, основан исключительно на человеческом факторе и в контексте общего построения корпоративной инфраструктуры должен рассматриваться, как обязательная, но всё-таки дополнительная мера к технологическим средствам должного уровня. Более того, опасность попадания содержимого печати не в те руки не ограничивается только человеческим фактором. При обычной сетевой печати все данные передаются на принтер в открытом виде в одном из понятых ему стандартных форматов и, соответственно, могут быть, в принципе, перехвачены и декодированы с помощью специальных технических средств.
Иными словами, система печати, состоящая только из открытых для общего доступа сетевых принтеров в локальной сети, хотя и позиционируется как самая простая и, к сожалению, до сих пор самая распространенная, но, по сути, не является контролируемой и защищенной в достаточной мере. Поэтому, рано или поздно в любой компании, где утечка конфиденциальной информации может привести к критическим последствиям для бизнеса, наступает момент, когда вопрос комплексной защиты печати не просто встаёт на повестке дня, но и требует оперативного практического решения с помощью представленных на рынке продуктов.
Безопасная печать
Три функциональных требования
Исходя из описанных угроз безопасности, в современной практике предъявляются три основных функциональных требования к подобным продуктам – это предотвращение несанкционированного доступа к напечатанным документам, защита сетевых каналов их передачи и совместимость как можно с более широким парком моделей принтеров и МФУ.
Эти задачи эффективно решаются продвинутым сервером печати, который становится промежуточным звеном между рабочими станциями персонала и конечными сетевыми принтерами, что исключает прямую печать на них. У всех пользователей, в этом случае, настроен единый корпоративный принтер на их клиентских системах и, соответственно, не возникает вопроса, куда печатать. После отправки документов на печать, все задания аккумулируются в общей очереди на принт-сервере, ожидая идентификации инициировавшего печать сотрудника на любом удобном для него или подходящем для формата печати (размер, цветность, дуплекс) принтере.
В самом эффективном сценарии, эта идентификация выполняется простым прикладыванием к принтеру собственной карты, которая уже используется для прохода в офис, после чего пользователь на терминале выбирает из списка своих заданий что печатать. Можно сказать, что распечатки при этом попадают прямо в руки своему владельцу в удобные для него время и место, практически лишая потенциального злоумышленника возможности нелегального просмотра конфиденциальной информации.
Мобильность решения
Причем, отправить документы на печать можно из одного офиса или даже в поездке со своего смартфона или планшета, а забрать распечатку в другом, после успешной идентификации по карте или паролю. Сотрудникам также предоставляется доступ в личный кабинет системы печати через обычный браузер, где можно удалить свои ошибочные или устаревшие задания. Или, при необходимости, делегировать их вывод на своего коллегу, который после автоматического уведомления по Email получит доступ к непосредственной печати документов уже по своей карте, даже находясь в другом офисе компании. Офисы при этом могут располагаться в разных городах и странах, но где бы не находились связанные серверы-узлы системы печати и сами конечные принтеры, предусмотрено, что все сетевые взаимодействия между ними защищены с помощью надежных криптоалгоритмов (SSL), так что даже в случае хакерского перехвата данных печати в канале, содержимое самих заданий невозможно будет расшифровать.
Гибкая конфигурация политик безопасности и правил печати
Разумеется, универсальный сервер печати должен поддерживать гибкую конфигурацию политик безопасности и правил печати, а именно, каким группам пользователей, какого рода документы (название, формат, цветность и др.) разрешено или запрещено распечатывать на конкретных моделях или группах принтеров. Также должна настраивается реакция системы на определенные события процессов инициации печати на клиентских системах, идентификации пользователей на целевых принтерах и непосредственного вывода на них распечаток, что является незаменимым элементом комплексной защиты бумажного документооборота. Это может быть, например, запрет печати с одновременным автоматическим уведомлением службы безопасности о попытке получения страниц со словом «счёт» в названии со стороны бухгалтера на принтере в зоне секретариата.
Администрирование решения
Со стороны технических администраторов осуществляется не только комплексное централизованное обслуживание сервера печати, но и полное управление заданиями и их прямой просмотр в браузере (разрешено для определенной группы операторов); настройка квот и, опционально, стоимости на печать по группам пользователей и принтеров; полнофункциональный аудит событий и мониторинг печатающих устройств.
Совместимость с МФУ
Универсальность решения подразумевает совместимость почти со всеми моделями сетевых принтеров и МФУ практически от любого известного производителя. Даже самые простые сетевые принтеры, на которые нет возможности установить специальное клиентское ПО и подключить USB-считыватель бесконтактных карт, не должны быть исключены из архитектуры продукта. Предполагается, что рядом с такими принтерами могут быть размещены дополнительные портативные сетевые устройства, прикладывая к которым свои карты, сотрудники сразу получают все распечатки из собственной очереди заданий.
Дополнительные бизнес-выгоды
Надежная защита бумажного документооборота является основным принципом построения комплексной системы управления процессами корпоративной печати, без которой все остальные сильные стороны описанной модели могут просто потерять всякий смысл из-за вероятности критических последствий для компании после потенциальной утечки важной инсайдерской информации. Но это не значит, что дополнительные преимущества описанной модернизации инфраструктуры печати малопривлекательны для бизнеса. Обозначим лишь самые интересные из них.
- Экономия – посланные на печать документы выводятся только после непосредственной идентификации сотрудников на самом принтере, поэтому исключен напрасный расход бумаги и тонера из-за так и не попавших с своим владельцам страниц и ошибочной печати. Также, благодаря квотам (раздельно для цветных и ч/б страниц) и контролю за стоимостью печати для каждого формата вывода и модели принтера, нерациональная печать сводится к минимуму
- Практичность – сотрудники не выбирают, на какой принтер отправлять задание в своей рабочей системе, и забирают свои распечатки в удобное время на расположенном рядом или подходящем для формата документа принтере, не переживая о предстоящем поиске или потере свои страниц. В случаях сбоя печати (например, замятие бумаги), задания не пропадают, а остаются в очереди для повторной печати уже на исправном принтере
- Мобильность – сотрудники могут отправлять свои документы на печать прямо со своих смартфонов и планшетов (например, в командировке), а готовые распечатки забирать уже в любом офисе компании на подходящем принтере после успешной идентификации на нем по своей карте доступа. Также разделены события постановки документов на печать и непосредственного получения их бумажных версий – как между офисами (в т. ч. в разных городах), так и между разными сотрудниками с помощью опции делегирования
- Контроль – благодаря полному аудиту всего цикла печати, опциональному архивированию заданий на сервере (даже после их вывода на принтере), детализированным отчетам и оперативному мониторингу печатающих устройств, а также автоматизированному функционалу уведомлений, обслуживающий и административный персонал имеет полное преставление о всех событиях печати в компании
Выводы
В наше время активной конкурентной борьбы строгая защита критически важной инсайдерской информации и конфиденциальной служебной документации является неотъемлемой частью успешного ведения бизнеса. Поэтому инвестиции в организацию комплексной безопасности документооборота в целом и процессов печати в частности должны быть сразу заложены в основные расходы на построение или обновление базовой инфраструктуры компании. А учитывая дополнительные бизнес-выгоды продвинутой системы управления корпоративной печати, нет сомнения, что эти затраты окупятся в краткосрочной перспективе, особенно в крупных компаниях.
Михаил АШАРИН, технический консультант TerraLink
Опубликовано в журнале «Директор по безопасности», #7 2016