Всем известная присказка, что нет полностью здоровых людей, есть лишь недообследованные, как никогда актуальна сегодня в применении к ИТ-инфраструктуре.

Рост угроз кибербезопасности продолжает опережать ранее прогнозируемые темпы. И, конечно же, это затрагивает все сегменты ИТ-сферы: и ПО, и аппаратные компоненты, и дополнительное оборудование. И если в части защиты программного обеспечения или сетевой безопасности все давно разработано и внедрено, то в сегменте так называемого допоборудования еще есть над чем работать.

Что же входит в подобное понятие? Это, по сути, все устройства, находящиеся за периметром стандартных рабочих станций, сети или серверов. Среди них есть класс, которому зачастую не так пристально уделяют внимание — принтеры, сканеры и прочая аппаратура. Каковы же на сегодня современные тренды в обеспечении их безопасности?

Возвращаясь к аналогии со здоровьем, тут мы имеем дело с легкой простудой на фоне глобальных сложностей с сердцем или легкими. Но так ли незначительна эта проблема и можно ли ей пренебречь? И даже если можно — как долго стоит закрывать на нее глаза?

Известный многим пример с атакой хакера на 50 000 принтеров несколько лет назад поражает легкостью получения доступа к большому числу устройств и простотой реализации. А ведь в случае именно таких инцидентов компания может потерять важные и конфиденциальные сведения или документы, например договоры, нежелательные для раскрытия посторонним лицам. И это не говоря о многочисленных случаях открытия конфиденциальной информации внутри организации (кадровые документы и пр.).

Также нельзя недооценивать действия мошенников, которые могут выдавать себя за руководителя организации и попросить сотрудника забрать некий распечатанный документ из принтера, тем самым получив несанкционированный доступ к информации.

Чем же помочь? На самом деле инструменты уже давно созданы и активно применяются на практике. Это так называемые системы печати, которые делают процесс печати быстрее, безопаснее и функциональнее. Давайте рассмотрим ключевые факторы, которые должна обеспечивать эта система.

Начнем с обеспечения безопасности печати, ведь это не только защита физического устройства, но и построение логически выстроенной системы, которая учитывает весь жизненный цикл документа: от отправки задания до его физической распечатки. Ключевыми архитектурными принципами, на которых должна базироваться такая система, являются:

  1. Авторизация пользователя перед печатью — любой печатающий должен подтвердить свою личность. Это позволит исключить случайную или преднамеренную печать чужих заданий. Способы могут быть разными:
    • сканирование QR-кода с принтера в мобильном приложении;
    • ввод PIN-кода;
    • Аутентификация по карте/СКУД.
  2. Отложенная печать — основной метод предотвращения «зависания» документов в лотке и как следствие утечку данных. Возможный сценарий при этом:
    • пользователь отправляет задание в виртуальную очередь;
    • документ физически не печатается, пока сотрудник не подтвердит выполнение на устройстве;
    • система хранит задание на сервере и выдает его только после авторизации.
  3. Централизованное управление — обеспечение управляемости и наблюдаемости состояния устройств без физического доступа к каждому устройству. В такой ситуации администратор управляет всеми принтерами, пользователями и заданиями через единый веб-интерфейс. Именно там происходит назначение прав и квот на уровне отделов, групп или сотрудников.
  4. Изоляция пользовательских данных — документы не должны передаваться в облако или сторонние сервис, допустима передача только метаданных и токенов, а контент остается в корпоративной сети.
  5. Аудит и логирование — вся активность должна фиксироваться: кто, когда и с какого устройства отправил или выполнил задание. Дополнительным плюсом являются отчеты, которые помогают в удобном виде получать данные, например, для планирования бюджета.
  6. Принцип наименьших привилегий — пользователь видит и может отправлять задания только на принтеры, доступ к которым ему разрешён. При этом, нельзя обойти и иные ограничения: например, печатать в цвете, если это запрещено политикой.
  7. Минимизация зависимости от оборудования — многие системы требуют установки NFC-считывателей и поддержку их со стороны SDK принтеров. В идеале система не должна требовать установки внешних терминалов, а предлагать это как одну из опций — это серьезно расширяет возможный парк оборудования, ведь такое решение позволяет использовать даже простые принтеры без SDK.
  8. Интеграция в корпоративную инфраструктуру — система должна поддерживать интеграции с корпоративными средствами авторизации и SSO, иметь интеграцию с Service Desk для обработки ошибок и создания автоматических инцидентов по оборудованию (мало тонера, бумаги и т. д.). Если для организации важна авторизация по пропуску — необходима интеграция со СКУД. Дополнительным плюсом будет наличие Open API для интеграции с корпоративными системами, в том числе и самописными.

Современные системы управления печатью, должны отвечать принципам масштабируемости и универсальности применения. Они должны быть подходящими как для локальных офисов, так и для распределённых предприятий с десятками филиалов и тысячами пользователей.

Безусловно, для больших предприятий особенно важна поддержка распределённой и гибридной инфраструктуры. Если для малых и средних компаний система работает в единых сетях, то для большой организации актуальна распределённая архитектура — между офисами/филиалами и даже в разных городах. Возможный сценарий в такой ситуации: инженер работает с ноутбуком в удалённом регионе, отправляет задание на печать, и печатает документ только после прибытия в штаб-квартиру, отсканировав QR-код на МФУ.

Возвращаясь к масштабированию, оно зачастую появляется не только при росте бизнеса, а уже и на этапе внедрения. Например, можно начать с пилотной зоны (один отдел, одна локация), а затем масштабировать систему по подразделениям. Такое масштабирование дает гибкость и поддержку «плавной миграции» с существующих или неорганизованных решений.

Пример дорожной карты внедрения системы безопасной печати

Масштабируемость — это не просто возможность работать с большим числом пользователей. Ключевые преимущества при таком подходе это: способность адаптироваться к разным топологиям и темпам роста, гибкость архитектуры, отсутствие зависимости от конкретных устройств и удобство пошагового внедрения.

Как же посчитать пользу от внедрения подобного решения?

В первую очередь это:

  • снижение расходов на печать;
  • возможность ставить лимиты на печать различным подразделениям внутри компании, ограничение цветной печати или обязательная двухсторонняя печать;
  • отсутствие утечек конфиденциальной информации с устройств печати;
  • снижение обращений в службу технической поддержки пользователей;
  • повышение эффективности использования парка устройств печати;
  • поддержка всех моделей принтеров, что дает возможность закупать любые устройства без изменения внедренной системы печати.

Использование специализированных систем для обеспечения безопасной печати позволяет сделать по-настоящему защищенным процесс печати документов, а значит обеспечить здоровье как этого небольшого элемента бизнес-процесса, так и всей организации в целом.

В текущих реалиях не стоит пренебрегать обеспечением безопасности всех без исключения ресурсов и систем компании, включая самые мелкие. Злоумышленники ждут лишь момента, чтобы сломать защиту и получить доступ к данным, крайне нежелательным для разглашения. И в этом случае та самая «легкая простуда», которой не уделили должного внимания, перейдет в серьезнейшие проблемы для большого организма всей компании.

Александр Чемоданов, технический директор “Айкон софт”