Когда в компании обсуждают информационную безопасность, в центре внимания обычно оказываются серверы, рабочие станции, корпоративная почта и сетевое оборудование. Организации инвестируют в межсетевые экраны, системы мониторинга событий безопасности, антивирусную защиту и контроль доступа пользователей. Однако существует класс устройств, который редко попадает в фокус службы ИБ, несмотря на постоянную работу с конфиденциальной информацией.
Речь идет о многофункциональных устройствах. Современное МФУ давно перестало быть просто принтером. Сегодня это полноценный сетевой узел, через который ежедневно проходят договоры, финансовые документы, сканы паспортов сотрудников, коммерческие предложения и другие чувствительные данные. При этом во многих компаниях такие устройства продолжают эксплуатироваться годами без аудита безопасности, обновления прошивок и пересмотра настроек.
В результате принтер нередко оказывается одной из самых уязвимых точек корпоративной инфраструктуры.
Почему МФУ давно стало полноценным компьютером
Большинство пользователей воспринимают МФУ как периферийное оборудование. Его подключают к сети, настраивают печать и возвращаются к нему только в случае замятия бумаги или замены картриджа. Такой подход был оправдан раньше, когда принтер действительно выполнял одну функцию – переносил информацию на бумагу.
Современные корпоративные устройства устроены значительно сложнее. Внутри МФУ работают собственная операционная система, процессор, память, сетевые службы и веб-интерфейсы управления. Многие модели оснащаются встроенными накопителями, на которых временно или постоянно хранятся задания печати, отсканированные документы и служебная информация.
По сути, каждое сетевое МФУ является отдельным компьютером со своими настройками безопасности, правами доступа и потенциальными уязвимостями. Проблема заключается в том, что требования к его защите часто остаются на уровне десятилетней давности. Пароли администратора не меняются после установки, прошивки не обновляются, а сетевые сервисы продолжают работать в конфигурации по умолчанию.
Для злоумышленника такое устройство может оказаться гораздо более привлекательной целью, чем хорошо защищённый сервер или рабочая станция.
Как происходит утечка документов через принтер
Через корпоративные МФУ ежедневно проходит огромный объём информации. В зависимости от специфики бизнеса это могут быть договоры с клиентами, бухгалтерские документы, персональные данные сотрудников, тендерная документация или коммерческие расчёты.
Во многих случаях данные передаются между устройством и серверной инфраструктурой автоматически, а пользователи даже не задумываются о том, какой путь проходит документ после нажатия кнопки «Печать» или «Сканирование».
Проблемы начинаются тогда, когда устройство использует устаревшие протоколы передачи данных или неправильно настроено с точки зрения сетевой безопасности. В подобных ситуациях злоумышленники могут получить доступ к журналам печати, сохранённым сканам, адресным книгам, сетевым настройкам и другим данным, которые обычно не рассматриваются как потенциальный источник утечки.
Особую опасность представляют старые модели, которые уже не получают обновления безопасности от производителя. Такие устройства продолжают работать в инфраструктуре годами, хотя механизмы защиты, заложенные в них при выпуске, давно перестали соответствовать актуальным угрозам.
При этом утечка информации может происходить незаметно для сотрудников компании. В отличие от классических кибератак, здесь редко возникают очевидные признаки компрометации. Бизнес-процессы продолжают работать в штатном режиме, а конфиденциальные данные постепенно покидают пределы организации.
Самая распространённая утечка происходит не через сеть
Когда речь заходит о безопасности печати, многие сразу представляют хакеров, вредоносное программное обеспечение и сетевые атаки. На практике значительная часть инцидентов связана с гораздо более простыми сценариями.
Например, сотрудник отправляет на печать договор, кадровый документ или финансовый отчёт, после чего отвлекается на телефонный звонок или совещание. Документы остаются в выходном лотке устройства и становятся доступными другим сотрудникам или посетителям офиса.
Для обычной внутренней переписки подобная ситуация может не иметь серьёзных последствий. Однако если речь идёт о персональных данных, коммерческой тайне или финансовой информации, такой случай уже можно рассматривать как полноценный инцидент информационной безопасности.
Именно поэтому многие компании постепенно отказываются от модели «отправил на печать – получил документ» в пользу защищённой печати с обязательной авторизацией пользователя непосредственно возле устройства.
Почему старые МФУ становятся проблемой для службы ИБ
В большинстве организаций серверы и рабочие станции регулярно обновляются. Устанавливаются новые версии программного обеспечения, пересматриваются политики безопасности, внедряются дополнительные средства защиты.
С печатной инфраструктурой ситуация часто выглядит иначе. Устройство может работать пять, семь или даже десять лет практически без изменений. За это время меняются стандарты шифрования, появляются новые требования регуляторов и обнаруживаются новые типы уязвимостей, а МФУ продолжает функционировать в старой конфигурации.
Такие устройства нередко не поддерживают современные механизмы аутентификации пользователей, централизованный аудит действий, актуальные алгоритмы шифрования и интеграцию с корпоративными средствами контроля доступа. В результате они превращаются в слабое звено всей системы защиты информации.
Чем выше требования к безопасности в организации, тем заметнее становится этот риск.
Как современные МФУ помогают защищать данные
За последние годы подход к безопасности печати существенно изменился. Если раньше защита ограничивалась сетевыми настройками, то сегодня она охватывает весь жизненный цикл документа.
Современные корпоративные устройства позволяют реализовать авторизацию сотрудников по картам доступа, PIN-кодам или учётным записям домена. Документ не печатается сразу после отправки, а ожидает подтверждения пользователя возле устройства. Такой подход практически исключает риск появления забытых документов в лотке выдачи.
Дополнительный уровень защиты обеспечивает шифрование данных как при передаче по сети, так и при хранении внутри устройства. Даже при физическом доступе к накопителю злоумышленник не сможет получить содержимое документов без соответствующих ключей.
Отдельного внимания заслуживает защита самого МФУ. Например, устройства серии bizhub i-Series используют технологии контроля целостности системы, мониторинга угроз и встроенные решения на базе Bitdefender для обнаружения вредоносной активности. Фактически устройство становится не потенциальной точкой входа для атаки, а полноценным элементом защищённой инфраструктуры.
Почему принтер больше нельзя считать периферией
Информационная безопасность давно вышла за рамки серверных комнат и рабочих станций. Любое устройство, которое хранит, обрабатывает или передаёт данные, должно рассматриваться как часть защищаемой инфраструктуры, и современные МФУ не являются исключением.
По мере роста объёмов данных и ужесточения требований к их защите компании всё чаще оценивают печатную технику не только по скорости работы или стоимости отпечатка. На первый план выходят возможности шифрования, контроля доступа, аудита действий пользователей и защиты самого устройства от компрометации.
Поэтому при обновлении парка печатной техники вопрос безопасности уже нельзя рассматривать как дополнительную опцию. Для многих организаций он становится одним из ключевых критериев выбора оборудования наряду с производительностью и стоимостью владения.