Предположим, вы банк, нефтяная компания или просто параноик. Вам хочется, чтобы:
  • Уборщицы, враги и рептилоиды не забирали документы из принтеров.
  • Память принтера надёжно очищалась после печати.
  • Нецелевая печать отсутствовала.
  • Большие задания автоматически перенаправлялись на устройства с дешёвым отпечатком.
  • При отправке на печать задания 50 раз (как часто делает паникующий пользователь) выползало только одно.
  • Чтобы тексты фильтровались по стоп-словам, а картинки — распознавались и тоже не печатались, если содержат конфиденциальные данные (есть не у всех решений).
  • В редких случаях — ну и ещё чтобы в документах на лету слово «направо» заменялось на «налево» для введения потенциального противника в заблуждение.

Это дорого, но уже давно используется в финансовых учреждениях. Там печать выглядит так: вы отправляете задание на принт-сервер, он обрабатывает файл (если надо — посылает безопаснику на ручное согласование, но такая фича также есть не у всех решений), а потом отдаёт на определённый принтер только тогда, когда вы введёте пин и покажете свой отпечаток пальца непосредственно на устройстве, чтобы документ выпал вам лично в руки. Или не приложите свою смарт-карту вроде личного пропуска в здание.

Расскажу детальнее.

Занимательная статистика


По данным разных опросов и отчётов, за один рабочий день меньше 10 листов печатает около 20% сотрудников. 11–50 листов — 61% сотрудников, 51–100 листов — 12% сотрудников, больше 100 листов — 7% сотрудников. 70% опрошенных использует одну сторону листа, ?50% участников опроса не беспокоит число печатаемых страниц (по данным ВЦИОМ). 40% распечаток могли бы быть напечатаны в дуплексе и ч/б (данные Nuance Communications).

Как работает система безопасной печати


Безопасная печать позволяет идентифицировать каждого пользователя и отдавать его распечатки только ему. При этом вам не важно, откуда пришло задание — вы можете отправить документ на печать из Петербурга, затем приехать на встречу в свой офис в Москве, ввести код на принтере (или авторизоваться по карте или биометрически) и получить его именно там, куда приехали. В идеале (если таймаут достаточен и политики безопасности позволяют так делать) получается примерно так:



В отличие от обычной печати происходит следующее:
  • Закупаются современные принтеры со встроенным софтом управления или МФУ (либо модули к имеющимся у вас железкам), которые обеспечивают идентификацию пользователей.
  • Все они объединяются в сеть под управлением принт-сервера, на который ставится одна из систем безопасной печати.
  • При отправке задания на печать оно попадает в систему безопасной печати. Потом DLP проверяет файлы (об этом чуть позже), а затем ждёт вашей аутентификации на одном из принтеров. Как правило, вы должны либо ввести пин, либо, в более серьёзных случаях, приложить свою RFID-метку (пропуск в здание) или палец к биометрическому считывателю.
  • После этого система печати убирает все следы документа из памяти принтера (в особенности если там используется HDD, где образы документа могут остаться и после неожиданного отключения питания).


Где и почему используется


Учитывая цену внедрения идентификаторов на принтерах, как правило, главная причина — безопасность, порой излишняя, превращающаяся в паранойю. Цена кусается: от 400 евро за комплект аутентификации на 1 устройство до 1000 евро в зависимости от типа считывателя. Плюс нужны контроллеры для старых принтеров и МФУ (новые в большинстве имеют поддержку прямо в операционке).

Вторая причина внедрения, как это ни странно, — экономия. В пятилетней перспективе так получается дешевле. Дело в том, что вместо того чтобы ставить отдельные принтеры в каждый кабинет, можно обойтись этажными МФУ и выводить весь поток на них, но зная, что каждый документ забирает лично сотрудник. К примеру, у нас на некоторых этажах реализовано именно так, и привязка идёт либо к пину задания, либо к RFID-метке пропуска в здание.

Если пользователь решил не приходить и не вводить пин, оно не будет выведено на печать.

Если пользователь запаниковал и отправил 30 одинаковых документов на печать, будет выведен один (ну или 30, если специально так настроить).

Как правило, безопасная печать исключает нецелевую печать. Учитывая тотальную идентификацию, у каждой «левой» распечатки есть ФИО.

Итоговый эффект — пропажа документов, которые пользователи отправляют на печать и забывают забрать (обычно таких до 20% в потоке), отсутствие повторной печати документов, резкое снижение печати личных документов, удешевление за счёт применения правил и условий перенаправления заданий на более производительные устройства, контроль цветной печати и принудительная конвертация в ч/б или на двустороннюю печать для определённых групп пользователей (типов документов, времени и т. д.), отчётность.

Большой Брат следит за тобой


Радость отдела ИБ в тотальном контроле:
  • Есть опция ручного подтверждения каждого документа (не у всех решений).
  • Есть полностью автоматический режим контроля утечек.
  • У отдельных решений есть режим подтверждения только вызывающих вопросы у робота документов.
  • Пользователь идентифицирует себя перед печатью.
  • Есть информация, кто, что, где, когда печатал.


Как правило, операции следующие:
  • На «крутых» интеграциях в самом начале составляется список стоп-слов (либо импортируется список фильтров из системы предотвращения утечек — всё это функции DLP). Всё то, что не должно быть выведено на печать в офисе, не будет выведено ещё на уровне принт-сервера, а для ИБ будет создано уведомление. Некоторые системы также могут обучаться методом указания документов, за которыми нужен контроль, — там либо простейшие нейросети по словам, либо не очень сложные эвристики.
  • Каждый документ сканируется на предмет соответствия фильтрам, причём информация собирается не только из текстовой части: всё то, что можно преобразовать к тексту, преобразуется. В особенности распознаются изображения, благо у ABBYY есть очень быстрый OCR-модуль, который своим качеством вызывает ряд вопросов о том, где ещё Большой Брат его использует уже за пределами корпоративного рынка.
  • При подозрительном документе или настроенном правиле контроля (по группам сотрудников, по длине документа и т. п.) производится ручной контроль. Принцип эскалации зависит от конкретного используемого ПО для сервера, настроек обычно много.
  • С документом могут выполняться автоматические преобразования: например, удаляться все фамилии, занижаться разрешение чертежей до 12 dpi, выдаваться случайные числа вместо финансовых показателей и т. п. Замена «право» на «лево» и «севера» на «юг» — не анекдот, у нас похожие ситуации были на практике. Эти решения очень редки и, как правило, очень специализированы.
  • Применяются политики печати: например, принудительный перевод в ч/б для этого пользователя, у которого нет прав на цветную печать. Самая частая политика — отправка документов свыше 100 страниц на принтер с самой низкой стоимостью отпечатка в офисе и отправка по почте уведомления пользователю об этом.
  • И, наконец, только после этого документ встаёт в очередь ждать прихода пользователя к принтеру и двухфакторной аутентификации. Из коробки поддерживаются AD Username/Password, PIN-коды, бесконтактные карты: HID (I, II), EM- Marine, Mifare, iClass, Hitag, Cotag, Legic, Indala, ISO, Deister, Paxton, обычные магнитные карты, штрих-коды и биометрические сканеры (отпечатки пальцев).


Опыт внедрения


В одной крупной нефтяной компании разрабатывалась система безопасной печати для удалённых офисов. Основной офис — в арендованном бизнес-центре. Здание большое, несколько этажей, система строилась централизованно сразу на все офисы. Интеграция такая, что где бы ни отправил — можно получить в другом городе в течение суток.

МФУ и принтеры размещались в принтерных комнатах, защищённых СКУД, но для большей безопасности ещё и использовались контроллеры доступа к МФУ с аутентификацией по бесконтактной карте.

Поскольку последним звеном утечки распечаток оставался мусорный бак, вместо них там поставили шредеры, способные перемолоть скрепки, жвачку и даже не очень крупные части человеческого организма. Но не зубы. С зубами надо было придумывать что-то другое.

Была настроена мобильная политика печати — когда сотрудник печатал с планшета или телефона, по Wi-Fi-роутеру находился этаж, и уже там задача отдавалась в очередь на ближайший принтер.

«Свои» устройства, включая мобильные, отличали по сертификатам на Wi-Fi (802.1x).

Парк апгрейдился от трёх разных наборов оборудования, закупленных слоями с разницей в несколько лет, причём от разных вендоров. Самый свежий слой поддерживал технологии аутентификации на уровне ОС устройств печати и МФУ, остальные потребовали специальных контроллеров.

Идею безопасной печати принесла ИБ, но больше всех радовались, кажется, финансисты — они смогли привязать все расходы на печать к конкретным подразделениям. Потом они ещё настроили подробные отчёты об отпечатанных и копированных заданиях и поставили лимиты для различных групп пользователей: запретили цветную печать части подразделений, ограничили для ряда пользователей печать документов больше 20 страниц и только по рабочим часам. Для одного из отделов настроили принудительную конвертацию в ч/б и принудительную двустороннюю печать.

Сисадмины тоже начали улыбаться, когда поняли, что теперь выход из строя принтера означал просто поход пользователя до другого без особых эксцессов. И истерик со срочной заменой уже не стало.

Ограничения (на примере FollowMe)


Из коробки работает с ОС:
  • Windows (начиная с Win95).
  • Apple Macintosh.
  • AS/400 iSeries.
  • LINUX/UNIX.
  • Другие ОС с поддержкой протокола LPR.

Есть интеграция с каталогами Windows Active Directory, Novell eDirectory, OpenLDAP.

Для решений, например, вендора Nuance нужен сервер со следующими параметрами: Windows 2003 Server SP2 (32/64 бит), Windows 2008 Server с пакетом обновления 1 (32/64 бит) или Windows Server 2008 R2 сервер (32/64 бит). Аналог Intel Xeon 64 по производительности, минимум 1 ГБ свободной оперативной памяти (рекомендуется минимум 4 Гб), 5 ГБ на HDD для буферизации печати работы и обработки данных (рекомендуется 10 ГБ). Если пользователи работают с OpenOffice и MS Office — нужны будут ещё инсталляции на сервере (в случае с MS это означает ещё одну лицензию).

На печать можно отправлять файл как обычным способом или через электронную почту, так и давать URL через корпоративный портал на страницу, которую нужно напечатать (этим часто пользуются для мобильной печати).

Ссылки


  • Список вендоров:
    Ringdale — один из лидеров в технологиях печати, комплексное решение FollowMe позволяет компаниям снизить затраты на печать, повысить эффективность и безопасность печати (Ringdale FollowMe Printing);
    Nuance — транснациональная корпорация, производитель программного обеспечения в сфере коммуникаций, распознавания речи и изображений, печати, решения: SafeCom и Equitrac;
    YSoft — европейская компания, специализируется на управлении доступом к печатным документам с использованием идентификационных карт и считывателей, SafeQ.
    HP — ведущий мировой производитель оборудования и программного обеспечения, в частности печатной техники и систем печати, решения HP Access Control и HP Imaging and Printing Security Center,
    ThinPrint — хорошее решение на рынке по оптимизации печати, тесная интеграция с решениями ведущих мировых производителей технологий терминального доступа и виртуализации, реализация безопасной печати, Personal Printing;
    MyQ — европейская компания, специализируется на управлении печатью и безопасной печати с использованием технологий контроля доступа и распознавания символов OCR, решения;
    Арти — российская компания, в числе решений которой есть АСУПиМ, — автоматизированная система управления печатью и мониторинга, а также обеспечения безопасной печати с технологиями распознавания символов OCR, решения: АСУПиМ и PrintSafe.
  • Моя почта — OScherbakov@croc.ru.

Комментарии (19)


  1. amarao
    18.04.2016 11:09
    -2

    А каким образом система распознавания «ключевых фраз» в картинках способна распознать кражу секрета посредством печати при вот такой конструкции:

    cat secret |zx|gpg -c|base64|print
    


    А если найти добротный софт для стеганографии в картинку?

    Как средство контроля за кражей информации — совсем не убеждает.


    1. glucas
      18.04.2016 11:36
      +8

      Если у вас есть сотрудник, способный стеганографировать в картинку, то вам нужна уже не система защиты печати, а паяльник. Естественно, техническое решение само по себе никогда не защитит от профессиональной направленной атаки, но может помочь решить 90% обычных ситуаций. В случае направленной атаки, реализуемой экспертом, может помочь только другой эксперт из вашей службы ИБ, ну и грамотная интеграция с DLP.


      1. amarao
        18.04.2016 11:49
        -1

        «Стеганографировать в картинку» в современных реалиях — тупенький js'ик в браузере, считай, «скачать программку».

        А если системы защиты защищают только от идиотов, то самые ценные данные оказываются без защиты, да?


        1. glucas
          18.04.2016 12:11
          +2

          Вы несколько преувеличиваете: нет системы, способной защитить от такого. Только большой комплекс технических мер вроде грамотного разделения доступа плюс работа специалистов ИБ. Задача систем — сделать так, чтобы специалисты ИБ не занимались обычными случаями и не решали вопросы потери данных по случайности, а работали с «кротами». В общем случае по раздолбайству утекает куда больше данных, чем при атаках, и это-то как раз легко решается технически.


        1. mezastel
          18.04.2016 14:37

          Я думаю что те места для которых пишется — там нет доступа в интернет, и соответственно нет JS в браузере. Хотя возможно код настолько просто, что его можно запомнить и перепечатать.


    1. alsii
      18.04.2016 15:05

      «Не подлежат приему телеграммы, смысл которых не понятен телеграфисту». Телеграфные правила СССР.


      1. amarao
        18.04.2016 18:07

        Стегонография позволяет отправить стеганограмму посредством понятной телеграфисту телеграммы.


        1. alsii
          18.04.2016 18:46

          Это был ответ на первый вопрос, про cat secret… Со стеганографией, конечно сложнее. Но вообще вся система предназначена скорее для того, чтобы распечатанные документы попадали к именно к тому, кто их распечатал. Не более. Меня другое смущает, например отправил сотрудник на печать печать объемный документ. Потом занялся другими делами. Потом подошел к принтеру и забрал его. А тут он будет вынужден будет стоять рядом с принтером и ждать, пока напечатается. Налицо потери рабочего времени. А если еще очередь образуется… Есть же сортеры с запираемыми ячейками. На порядок дешевле выйдет. Хотя других проблем конечно же не решает.


          1. glucas
            19.04.2016 21:10

            Можно и так, но есть минусы. Например, если принтер не работоспособен, пользователь либо не получит документ, либо ему придется отправлять задание на печать повторно и на другой принтер. Налицо потери рабочего времени. А если сотрудников с потребностями печати в «запираемые ячейки» (кстати, они тоже могут открываться по биометрическому доступу) много и всем приспичит распечатать документы?

            Поэтому защищенный лоток – это лишь временное решение проблем, на мой взгляд. В системах безопасной печать функционал FollowMe позволит получить документ на любом рабочем принтере, в том числе и в том случае, когда образуется очередь.


  1. hdfan2
    18.04.2016 15:06

    > Итоговый эффект — пропажа документов
    Наверно, всё-таки отсутствие или снижение пропажи?
    А вообще, довольно печально читать:
    > 11–50 листов — 61% сотрудников
    Какой-то дикий расход бумаги. И все эти упрощения печати лишь увеличивают количество печатаемого впустую.


  1. BalinTomsk
    18.04.2016 18:28

    ----вы отправляете задание на принт-сервер, он обрабатывает файл (если надо — посылает безопаснику на ручное согласование

    Это просто дичь какая-то — уже давно есть серверные решения.

    https://www.ricoh-usa.com/products/software/product_details2.aspx?cid=147&scid=46&sid=2702&ptm=overview

    В компаниях где 10-50 тышь принтеров никто так делать не будет.


    1. glucas
      19.04.2016 21:15

      Пользователь в любом случае отправляет задание на печать. Приведенная ссылка – это софт мониторинга парка оргтехники и принт-серверов.
      Я же говорю про workflow безопасной печати, где участвую такие процессы, как аутентификация/авторизация, FollowMe Printing, оптическое распознавание OCR, DLP и др.


      1. BalinTomsk
        19.04.2016 22:22

        — аутентификация/авторизация, FollowMe Printing, оптическое распознавание OCR

        кроме FollowMe Printing все остальное давно реализовано на уровне MFP устройств.


        1. glucas
          20.04.2016 12:04

          Как правило у компаний/предприятий очень «разношерстый» парк оргтехники, и мультивендорные решения безопасной печати позволяют консолидировать и унифицировать процессы управления печатью и обеспечения безопасности.


  1. Wesha
    18.04.2016 23:57
    +1

    Замена «право» на «лево» и «севера» на «юг»

    Энциклонги дружными шеренгами одобряют Ваше начинание!


  1. Sykoku
    19.04.2016 13:06

    Вставлю свои 5 копеек.

    Если документ можно открыть и в нем нет правок (чертежи видны, север не на юге и фамилии учредителей легко читаемы), то вопрос того, как это распечатать («отинсайдерить») можно даже не поднимать. Проверка прав должна начинаться слегка раньше.


  1. Pakos
    19.04.2016 21:14
    +1

    Интересное решение для крупных компаний.
    Задумался — эти проценты по печати пользователей — они ведь не только в крупных компаниях такие, в большинстве мест народ не думает, ради 3х строчек «ща отправлю на принтер» и дикий расход, а выбрать отчёт без фильтра и отправить на печать Nx100 листов — это норма (в одной из разрабатываемых систем при печати более нескольких страниц, система принудительно выдавала фильтр для уменьшения выборки — заказчику очень не нравился расход бумаги десятками пользователей по куче листов, а там уже не только тонер, но и ресурс принтера страдал).


  1. kspshnik
    27.04.2016 13:23

    Хмм. Оно же умеет печатать задание от конкретного сотрудника только из конкретного лотка бумаги, помещая результат в конкретный запираемый лоток сортера?


    1. glucas
      27.04.2016 19:21

      Политиками маршрутизации печати можно перенаправить задание конкретного пользователя в конкретный лоток устройства.