Обзор подготовлен

версия для печати
МФУ: удобство использования несет ИБ-угрозы

МФУ: удобство использования несет ИБ-угрозы

Подключенное к корпоративной сети оборудование, получившее дополнительные возможности, одновременно становится источником новых рисков. Современные печатающие устройства подвержены всем угрозам ИБ - и внутренним, и внешним. Однако далеко не всегда это учитывается компанией в общей политике ИТ-безопасности.

Майкл Ховард (Michael Howard) и Стив Эндрюс (Steve Andrews), менеджеры по развитию бизнеса и решениям по обеспечению ИБ Hewlett-Packard, отмечают, что организации по всему миру далеко не всегда учитывают печатающие устройства в своей политике ИТ-безопасности. А ведь это стандартная практика по управлению рисками, связанными с администрированием паролей, отключением неиспользуемых протоколов, политик по сканированию и отправке электронной почты, шифрованию данных на жестких дисках и аутентификации. Многие организации, по данным Digital Publishing Solutions, даже не устанавливают пароль администратора на интерфейс устройств. Известны даже случаи попытки рассылки спама с использованием МФУ.

Главная цель злоумышленников – это информация, хранящаяся на жестких дисках печатающих устройств. Рон Нево (Ron Nevo), менеджер по безопасности продуктов и приложений Sharp, объясняет: "После копирования или сканирования файлы на жестком диске МФУ хранятся до тех пора, пока на их место не будут записаны другие данные. Диски делятся на две части: одна для данных, необходимых для управления устройством, вторая для хранения информации, предназначенной для печати. И когда пользователи удаляют файлы, они стирают их только из административной части, а реальная информация при этом остается нетронутой". Понятно, что без принятия мер по защите этих данных, ни о какой сертификации организации, например, по SOX и речи быть не может.

Кроме того, есть другая проблема. В крупных корпорациях, насчитывающих сотни и тысячи МФУ, крайне трудно уследить за тем, где они стоят, кто именно ими пользуется, и какое ПО на них установлено. CNews уже приводил результаты исследования Xerox, касающиеся соответствия уровня защищенности данных у 350 крупнейших клиентов с положениями Sarbanes-Oxley Act и USA Patriot Act. Выяснилось, что средний возраст сетевых устройств печати составил 5,6 лет, а во многих случаях — от 8 и выше лет. То есть, они были куплены еще до вступления в силу этих законодательных норм и, соответственно, не имеют достаточных встроенных средств защиты информации.

Иными словами проблема делится на три составляющие. Во-первых, необходимы средства встроенной безопасности МФУ. И, во-вторых, периферийные устройства должны поддерживать системы управления конфигурациями и обновлениями, а также быть совместимыми с автоматизированными средствами обеспечения соответствия нормативными актами и политиками безопасности.

У большинства вендоров имеется собственное решение для первого пункта. Например, в Canon разработан механизм конвертации отсканированного материала в PDF формат с разрешением на прочтение через пароль. Кроме того, предлагается ПО imageWARE Secure Audit Manager для контроля над утечками и распространением документов.

Panasonic использует Network Accounting Manager - ПО с размещением на сервере, которое собирает и анализирует логи от сетевых печатающих устройств. У HP имеется решение Security framework, которое решает сразу три задачи – защищает устройство и информацию в сети, а также осуществляет мониторинг и управление процессами ИБ. Konica Minolta предлагает пакет HDD Security Kit and Biometrics Authentication Unit, название которого говорит само за себя. Инженеры Kyocera-Mita кроме безопасных карт сетевого интерфейса (secure network interface card) задействовали протокол LDAP и KYOcapture сервер аутентификации. Есть решения от Ricoh:(RHD и DOSS), Sharp: (Security Suite) и т. д.

Сфера информационной безопасности, по понятным причинам, достаточно жестко регламентирована и закрыта. Для информирования широкой общественности существуют лишь несколько ресурсов, отражающих мнение тех или иных регуляторов или ведомств и зачастую являющихся стандартами в своей сфере. Одним из таких регуляторов является Common Criteria Certification, отражающий, в том числе, мнение Министерства обороны США - (Trusted Computer Security Evaluation Criteria - TCSEC). Этот документ еще известен, как ISO 15408. Согласно "Общим критериям…", Xerox предлагает, как стандартные, так и опциональные механизмы для офисных и промышленных устройств по перезаписи графических файлов на накопителях МФУ и факсов, а также внешнему аудиту, сетевой аутентификации, безопасному режиму печати, поддержке съемный жесткий дисков и управлению процессами ИБ, и что самое интересное, базовый режим аутентификации.

Унификация повышает безопасность

Как бы то ни было, для МФУ-вендоров обеспечение ИТ-безопасности – непрофильный вид бизнеса. Поэтому здесь наблюдается тенденция перехвата инициативы со стороны классических ИБ-вендоров. В частности, можно подробнее остановиться на двух решениях от Symantec. Одно из них - Data Loss Prevention 9.0 – продукт для защиты от утечек конфиденциальной информации (DLP). Второе - Control Compliance Suite 9.0 – платформа для управления соответствием нормативным актам и корпоративным политикам.

"В деле борьбы с утечками важно создать правильную основу, причем не только на инфраструктурном уровне, но и на организационном, а также охватить как можно большее колличество устройств и технологий, - отмечает ведущий консультант Symantec в России и СНГ Алексей Чередниченко. - Только строгий контроль над информацией на разных стадиях ее существования и процессами ее трансформации, на основе корпоративных политик может дать уверенность в сохранности конфиденциальных данных. И конечно возможность контроля таких периферийных устройств как МФУ является немаловажным фактором в таком деле".

Зоны контроля над конфиденциальными данными

Зоны контроля над конфиденциальными данными

Источник: Symantec, 2008

Как уже отмечалось, на печатающих устройствах, включая факсимильные аппараты, могут быть распечатаны конфиденциальные документы без соответствующих на то прав у пользователя. Кроме этого, из памяти МФУ можно несанкционированно извлечь файлы с приватными данными. Встроенных средств безопасности здесь явно недостаточно – решение должно быть комплексным и покрывать всю ИТ-инфраструктуру компании. Отличительной особенностью продукта от Symantec является то, что оно позволяет перехватить попытку распечатки даже графической конфиденциальной и секретной информации за счет технологий цифровых отпечатков (fingerprints).

Алексей Чередниченко добавляет: "Особенности DLP состоят в том, контролируется не только движение конфиденциальных данных и попытки доступа к ней, но также и действия по ее трансформации. Если, например, пользователь попытается преобразовать текстовый конфиденциальный документ в изображение (картинку) и потом переслать его или распечатать, не имея таких прав на исходный документ, то ему будет в этом отказано. Это произойдет потому, что при создании графического файла, ему будет присвоен тот же гриф секретности, что был у исходного файла".

Второе решение позволяет в автоматическом режиме управлять политиками безопасности, например, управлять уровнем полномочий персонала на доступ к тем или иным периферийным устройствам и представлять доказательства нарушения политик. Кроме того оно самостоятельно оценивать текущее состояние ИТ-инфраструктуры, обнаруживать уязвимости, управлять процессом установки патчами и централизовано управлять административными контролями.

CCS очень эффективное средства контроля соответствия состояния различных объектов ИТ инфраструктуры, корпоративным политикам и стандартам информационной безопасности. Он позволяет четко определить расхождение с тем, что должно быть по политике, даже в условиях постоянных изменений, что немаловажно в условиях кризиса.

В итоге можно отметить, что печатающие устройства, прежде всего МФУ, благодаря развитию технологий и удешевлению, перестают быть просто решениями для печати и сканирования документов. Пользователям этого недостаточно, особенно в условиях кризиса. Современные периферийные устройства благодаря своему расширенному функционалу и возможности "бесшовной" интеграции в существующие информационные системы компаний способны увеличить производительность труда, повысить защищенность информации и стать элементом бизнес-преимуществ.

Вадим Ференец / CNews Analytics

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS