Когда речь заходит об утечках данных в рамках DLP-тематики, считается, что наименее защищенными и, следовательно, наиболее опасными каналами утечки данных с ПК работников являются высокотехнологичные сетевые приложения, съемные USB-накопители, персональные мобильные устройства. Реагируя на интерес публики, производители средств ИБ спешат предложить рынку продукты защиты от утечки данных с компьютеров именно через эти высокотехнологичные каналы. Однако у этой медали есть и оборотная сторона – внимание акцентируется на контроле высокотехнологичных каналов при игнорировании «давно забытого старого». И такой акцент создают вендоры.

Хайп как критерий актуальности угрозы?

Давно ли вы видели статьи и мнения отраслевых аналитиков о проблеме утечки информации через канал печати? Боюсь, что так давно, что и не вспомните. Последняя статья на тему контроля принтеров, которую нам довелось увидеть, была с акцентом на контроль количества страниц и экономии тонера. К сожалению, сложилось впечатление, что даже в среде практиков-безопасников из департаментов ИБ бытует несколько неоправданное мнение о том, что «старые» каналы утечки данных уже давно и надежно контролируются разными продуктами и решениями. Второе впечатление – отсутствие дискуссий по проблемам защиты от давно известных типов угроз в отраслевой прессе, на специализированных форумах и конференциях приводит к ложному ощущению, что, если про угрозу никто не говорит, значит, ее нет. 

На самом деле используемые популярные системы зачастую лишь частично устраняют угрозу или решают проблему косвенным путем, если вообще не маскируют решение за имитацией бурной активности. Практикующие специалисты об этом хорошо осведомлены и учитывают это в своих проектах и консалтинге, но напоминать об этом публично им либо недосуг, либо неинтересно. В свою очередь, пресса об этом не пишет, потому что тема не нова, хайп не поймать, а то и знаний не хватает. 

При этом использование сетевых принтеров и МФУ, доступных одновременно многим подразделениям организаций, только повышает риски утечек через канал печати, сохраняя актуальность этой угрозы. Не случайно действующие нормативные государственные акты и отраслевые стандарты в области ИБ требуют защищать информацию в любой форме, включая, естественно, печатные документы. Именно документ на бумаге наиболее доступен для быстрого восприятия и понимания, легко копируется и идеален для скрытного перемещения за пределы организации, что означает преднамеренную утечку. В частности, отраслевой стандарт Банка России РС БР ИББС-2.9-2016 указывает, что утечка информации является одной из наиболее актуальных угроз нарушения информационной безопасности, которую могут реализовать внутренние нарушители ИБ. Среди наиболее значимых потенциальных каналов утечки информации не забыта и печать и (или) копирование информации на бумажные носители.

Контроль печати документов – один из наиболее типичных примеров такого заблуждения на тему «устаревшей малоинтересной угрозы» в сочетании с недостаточностью знаний о задачах и возможностях контроля информации. В вышеупомянутой «свежей» статье про контроль печати на тему безопасности информации был всего лишь один абзац, но хотя бы был. Автор предложил использовать специализированные DLP-системы в сочетании со смарт-картами или другими средствами контроля доступа к печатной технике. Однако при этом автор называет DLP-системы средствами мониторинга печати и отчего-то уверен, что, несмотря на то, что они не в состоянии пресечь несанкционированную распечатку, но хотя бы позволяют выявить ее спустя некоторое время. Этого, как считает автор, достаточно, чтобы потенциальный инсайдер поостерегся посылать на принтер конфиденциальные документы. Это и есть то, что я называю недостатком знаний со стороны журналиста, что вызвано, в свою очередь, имитацией бурной активности со стороны вендоров, производящих такие псевдосистемы DLP. 

Защита информации при печати документов

Обеспечение защиты информации в организациях при сетевой централизованной печати документов включает в себя целый спектр задач – обеспечение конфиденциальности информации, целостности, учета документов на всех этапах процесса печати, включая отправку с персональных компьютеров, обеспечение безопасной обработки и формирования задания на печать, гарантию защищенной доставки задания на сетевой принтер. Рынок ИБ предлагает широкий ряд продуктов и технологий ИБ, включая шифрование документов перед отсылкой на печать; хранение образов печатаемых документов в памяти принтеров в зашифрованном виде вплоть до момента печати; разграничение доступа к принтерам на персональной основе; вывод документа на печать только после того, как его инициатор аутентифицировался локально; гарантированное удаление копий документов с принтеров после их печати; централизованную регистрацию событий печати и сохранение электронных копий отпечатанных документов в базе данных для целей анализа и аудита.

Однако использование в организации одного или нескольких из перечисленных решений и технологий вовсе не означает, что проблема защиты информации при печати в корпоративной среде полностью решена. 

Помимо защиты процесса печати, следует решать и другие задачи. Прежде всего это контроль доступа к принтерам для исключения и отслеживания попыток неавторизованной печати документов – например, когда пользователь печатает документы в результате несанкционированного доступа к информации, с превышением своих служебных полномочий или после ошибки других сотрудников. Другой кейс – печать документов в режиме home office, на личной технике или в офисе на неподконтрольных локальных или сетевых принтерах. Вышеперечисленные технологии защищенной централизованной сетевой печати документов не обеспечивают реального контроля за доступом пользователей к локальным принтерам. С точки зрения корпоративной ИБ это, по сути, означает наличие неконтролируемого канала утечки информации при печати документов, когда максимум, что реально, – это зафиксировать факт печати, но не выяснить, что именно печаталось, не говоря уже о возможности заблокировать процесс печати и тем самым предотвратить утечку данных. Системы мониторинга пользовательской активности тоже в лучшем случае могут зафиксировать, что пользователь отправил на печать некий документ. 

Все вышеприведенные примеры относятся к категории защиты данных от утечки и решаются с помощью специализированных DLP-систем. Вопрос только в том, как решаются. К примеру, известна уязвимость в некоторых DLP-системах, когда пользователь может бесконтрольно печатать данные, не сохраненные в виде файла на жестком диске (например, новый документ Office с содержимым из буфера обмена, созданный без сохранения в файл). Если используемая в организации DLP-система не обладает функцией контроля доступа к принтерам, не говоря уже об анализе содержимого печатаемых документов до момента вывода на печать (т.е. отсутствует контентная фильтрация потока печатаемых данных), то распечатать можно будет все, что угодно, включая документы, содержащие секретную информацию. И дальше останется только надеяться, что бумажные копии еще не попали «куда не надо», и уповать на страх пользователей быть наказанными. 

Контроль канала печати в DeviceLock DLP – как не дать информации уйти через принтер

Как же решать задачу контроля канала печати, чтобы эффективно предотвращать утечки информации? Конечно, с помощью DeviceLock DLP.

DeviceLock DLP Suite предотвращает утечки данных при печати документов, инициированной любым приложением и на любом принтере, с помощью универсальной технологии фильтрации содержимого спулера печати. При этом, независимо от форматов печатаемых документов, их теневые копии сохраняются в пригодном для полнотекстового поиска формате PDF. Благодаря высокой гибкости DLP-политик DeviceLock DLP позволяет поставить под строгий централизованный контроль использование любых (локальных, независимо от интерфейса подключения, сетевых, виртуальных, перенаправленных в терминальную сессию) принтеров. 

Уникальная особенность DeviceLock DLP, полностью отличающая его от конкурентных DLP систем, – это поддержка контентной фильтрации для канала печати (и не только!), включая распознавание текста в графических изображениях, выполняемые в реальном времени. Анализ содержимого печатаемых документов позволяет детектировать совпадение текста документов с заданными словарями, регулярными выражениями, цифровыми отпечатками контролируемых образцов, с анализом и учетом метаданных документов (тип, размер, автор и т.д.).

Мониторинг без блокировки? Легко и в деталях

Разумеется, наличие функции блокировки печати документов вовсе не означает, что она обязательно должна использоваться. Это один из инструментов, которыми обладает DeviceLock DLP. Вторая важнейшая для DLP-систем задача – мониторинг событий печати и сбор доказательной базы для расследования инцидентов в области ИБ – также успешно решается. DeviceLock DLP протоколирует все связанные с процессами печати события с очень высокой степенью детализации и теневые копии посланных на печать документов, автоматически сохраняя их для целей аудита в централизованной базе данных. Правила мониторинга задаются по тем же гибким принципам, что и политика доступа к принтерам. Более того, благодаря механизмам контентного анализа в DeviceLock DLP есть возможность, например, избежать помещения в архив теневых копий документов, содержащих персональные данные сотрудников.

Напомним также о возможности оперативной реакции на инциденты, предоставляемой DeviceLock DLP. Служба ИБ может реагировать на критические события (по факту попытки доступа к принтерам, срабатывания правила анализа содержимого печатаемого документа) намного быстрее, чем при работе с архивом теневых копий, благодаря функции тревожных оповещений в DeviceLock DLP. 

Важно отметить, что уникальные функциональные и административные характеристики DeviceLock DLP по контролю печати документов с рабочих станций не конкурируют, а, напротив, гармонично дополняют другие решения по защите процессов централизованной сетевой печати документов, что позволяет создавать комплексные системы обеспечения безопасности информации.