Является ли безопасность принтеров пробелом в вашей стратегии защиты данных?
Куда бы вы ни повернулись, вы увидите, как кто-то планирует, координирует и применяет процессы и технологии, ставя галочки в соответствии с GDPR. Поскольку до GDPR D-day осталось совсем немного, это все, на чем многие сейчас сосредоточены. Даже при всем этом пристальном внимании существует потенциальная область, которая может превратиться в кошмар безопасности в соответствии с регламентом, если она ускользнет из виду и останется незамеченной. Этот внешне скромный процесс — ваша сеть печати, которая имеет решающее значение и является частью инфраструктуры каждой организации, — как правило, является слабым местом и в большинстве случаев не защищена. Без защиты принтера (а также данных, хранящихся и передаваемых) все усилия и тяжелая работа по реструктуризации способов обработки и защиты данных в вашей организации, скорее всего, будут сведены на нет. Очень важно, чтобы этот, казалось бы, неуместный (а это точно не так!) шаг не остался без внимания.
Среды печати уязвимы
Принтеры, часто спрятанные в углу офиса, с годами значительно продвинулись вперед. Теперь это многофункциональные устройства, которые могут выполнять несколько задач: они могут печатать, сканировать, отправлять по факсу, копировать, сканировать в электронную почту, сканировать в облако, сканировать в хранилище, управлять и т. д. Для достижения этой функциональности они больше не могут быть частью изолированной системы, а должны быть подключены к более широкой инфраструктуре. Они подключаются к внутренней сети организации, а также к Интернету, чтобы обеспечить доступ к множеству устройств, к которым подключаются сотрудники как в офисе, так и удаленно.
Повышение эффективности связано с повышенной уязвимостью системы безопасности. Если вы не защитите свои принтеры, это все равно, что оставить дверь открытой для всей сети вашей организации. Это приглашение для хакеров войти и легко получить доступ к вашим данным.
Любая информация, хранящаяся на принтере или передаваемая, потенциально может быть доступна неавторизованным пользователям, если она не защищена. Поскольку принтер является одновременно и точкой доступа, и устройством хранения данных, очень важно серьезно относиться к безопасности принтера.
Если к сети печати будет получен несанкционированный доступ, обрабатываемые данные могут быть скомпрометированы, что может привести к утечке данных. Кроме того, устройство может быть заражено вредоносным ПО (как и любое другое сетевое устройство). Существует множество способов, которыми данные могут быть скомпрометированы: украдены в большом количестве или даже перенаправлены на мошеннический адрес.
Это сводится к следующему: на этих устройствах регулярно обрабатываются конфиденциальные документы, содержащие персональные данные, и в соответствии с GDPR эти данные должны быть защищены. Если нет — а причиной утечки данных является ваш принтер — последствия будут большими. Вам может грозить штраф в размере 4 процентов от общего дохода вашей организации и, вероятно, непоправимый ущерб бренду и репутации вашей компании.
Защита, управление и соблюдение требований GDPR
Вопросы безопасности принтера, которые следует учитывать:
- Большинство сред не ограничивают, кто, что, когда и где может печатать. Таким образом, часто отсутствует контроль над средой печати и способом управления данными.
- Большинство сред печати не могут обеспечить отчетность или контрольный журнал того, что и кем было напечатано, поэтому очень сложно управлять и демонстрировать, что используется безопасным образом.
- Многие из этих устройств хранят историю всех документов, которые были напечатаны или отсканированы за время эксплуатации принтера. Это приводит к тому, что большие объемы данных накапливаются и остаются на устройстве. Если они не защищены, потенциальная угроза безопасности для этих данных очевидна.
- Часто распечатанные документы остаются и не возвращаются в течение длительного периода времени, что облегчает их перехват. Это особенно проблематично, когда они содержат личную информацию.
- Большинство сотрудников не знают об угрозах безопасности, которые может представлять принтер. Важно обучать сотрудников и повышать осведомленность о риске и последствиях нарушения. Нарушения происходят не только из-за злонамеренных атак извне или плохих внутренних процессов. Причиной может быть и недостаток знаний или отсутствие внимательности.
Все они являются проблематичными в соответствии с GDPR и должны быть устранены соответствующим образом.
Что нужно для повышения безопасности принтера
Безопасность вашего принтера требует многоуровневого подхода, который должен включать: предотвращение вторжений, обнаружение устройств, обнаружение документов и данных, а также специализированную безопасность для защиты данных на всех этапах. Шифрование данных является ключом, а также политикой хранения, позволяющей безопасно удалять данные, когда они больше не нужны.
Большинство организаций используют сетевую безопасность в качестве превентивного барьера для предотвращения доступа злоумышленников к данным, но это не защитит от взлома, который начинается изнутри, или от передачи личных данных неавторизованному лицу при использовании многофункционального принтера. Ориентированный на данные подход к безопасности имеет преимущество.
Нужно больше! Вы должны искать процесс, который поможет вам выполнить и достичь следующих основных шагов:
Оценивать
Вам необходимо оценить, где вы находитесь в отношении безопасности принтера, и оценить уязвимости или риски, которые может представлять ваша среда печати. Независимо от того, используете ли вы цифровые документы или бумажный формат (или их комбинацию), вам необходимо знать связанные с этим риски и знать, какие данные хранятся на принтере.
Тщательная оценка безопасности вашей инфраструктуры печати может означать проведение оценки воздействия на защиту данных (DPIA) (как и в случае любого другого процесса, который может представлять риск для данных). Это должно помочь наметить любые области, которые могут потребовать внимания, например:
- Защита данных (все устройства должны использовать шифрование).
- Контроль доступа (как обеспечить контроль доступа пользователей к устройству).
- Удаление сохраненных данных с устройства (безопасное удаление данных по истечении срока хранения).
- Методы предотвращения потери данных конечных точек (DLP). Есть ли какие-либо данные в опасности? Например, как предотвратить потерю данных при сканировании в электронную почту или в облако?
Все области должны быть тщательно изучены, и именно поэтому DPIA является неотъемлемой частью.
Защищать
Вам необходимо защитить данные, которые обрабатываются принтером. Данные могут быть переданы по электронной почте, отправлены в облако и сохранены на устройстве. Данные должны быть защищены от начала до конца и на протяжении всего их жизненного цикла, особенно персональные данные, чтобы соответствовать GDPR и избежать последствий утечки данных. Возможность контролировать данные и управлять средой безопасности принтера с помощью детального контроля доступа, правил и политик повысит безопасность.
Должны быть предусмотрены процедуры для предотвращения несанкционированного доступа к данным. Кроме того, необходимо контролировать печать, чтобы документы не были переданы тем, кто не имеет права просматривать информацию. Данные должны быть классифицированы таким образом, чтобы они обрабатывались и распространялись только в соответствии с конфиденциальностью данных и требованиями безопасности.
Доступны технологии, которые помогут вам защитить ваши принтеры, а также защитить данные. Если данные зашифрованы, они могут быть надежно сохранены на устройстве и доступны только предполагаемому получателю. Любая несанкционированная попытка доступа к данным будет бесполезной.
Управляйте и контролируйте
Процесс, который позволяет вам контролировать использование устройства и анализировать действия и поток данных, может помочь гарантировать, что устройство используется надлежащим образом и в соответствии с политикой компании, и что никакие данные не будут переданы по ошибке неправильно. Внутренняя угроза (сотрудники) часто является причиной взломов. Чаще всего они случайны, но тем не менее являются нарушениями с теми же последствиями. Благодаря наблюдению вы должны быть в состоянии уловить любое ненормальное поведение и отреагировать соответствующим образом и быстро. Кроме того, применение правил может помочь контролировать процесс печати.
Аудит и отчет
Чтобы соответствовать GDPR, вам необходимо продемонстрировать ответственность. Журналы аудита данных помогают отслеживать активность и иллюстрировать соответствие требованиям. Важна возможность отслеживать, какая информация печатается или сканируется, где и на каком устройстве.
Это не должно быть нервирующей задачей
Вы должны быть уверены, что ваша сеть принтеров защищена на всех уровнях. Это означает, что на уровне устройства, уровне данных и уровне пользователя. Кроме того, убедитесь, что доступ надлежащим образом контролируется, чтобы только лица, уполномоченные просматривать данные (документы, печать, сканирование, электронная почта — в какой бы форме они ни находились). Наконец, убедитесь, что устройство должным образом защищено. Рассмотрев эти основы, вы встанете на путь успеха в обеспечении безопасности принтеров.