Как внедряется система безопасной печати на ближайшее к пользователю устройство (follow-me printing)
Предположим, вы банк, нефтяная компания или просто параноик. Вам хочется, чтобы:
- Уборщицы, враги и рептилоиды не забирали документы из принтеров.
- Память принтера надёжно очищалась после печати.
- Нецелевая печать отсутствовала.
- Большие задания автоматически перенаправлялись на устройства с дешёвым отпечатком.
- При отправке на печать задания 50 раз (как часто делает паникующий пользователь) выползало только одно.
- Чтобы тексты фильтровались по стоп-словам, а картинки — распознавались и тоже не печатались, если содержат конфиденциальные данные (есть не у всех решений).
- В редких случаях — ну и ещё чтобы в документах на лету слово «направо» заменялось на «налево» для введения потенциального противника в заблуждение.
Это дорого, но уже давно используется в финансовых учреждениях. Там печать выглядит так: вы отправляете задание на принт-сервер, он обрабатывает файл (если надо — посылает безопаснику на ручное согласование, но такая фича также есть не у всех решений), а потом отдаёт на определённый принтер только тогда, когда вы введёте пин и покажете свой отпечаток пальца непосредственно на устройстве, чтобы документ выпал вам лично в руки. Или не приложите свою смарт-карту вроде личного пропуска в здание.
Расскажу детальнее.
Занимательная статистика
По данным разных опросов и отчётов, за один рабочий день меньше 10 листов печатает около 20% сотрудников. 11–50 листов — 61% сотрудников, 51–100 листов — 12% сотрудников, больше 100 листов — 7% сотрудников. 70% опрошенных использует одну сторону листа, ≈50% участников опроса не беспокоит число печатаемых страниц (по данным ВЦИОМ). 40% распечаток могли бы быть напечатаны в дуплексе и ч/б (данные Nuance Communications).
Как работает система безопасной печати
Безопасная печать позволяет идентифицировать каждого пользователя и отдавать его распечатки только ему. При этом вам не важно, откуда пришло задание — вы можете отправить документ на печать из Петербурга, затем приехать на встречу в свой офис в Москве, ввести код на принтере (или авторизоваться по карте или биометрически) и получить его именно там, куда приехали. В идеале (если таймаут достаточен и политики безопасности позволяют так делать) получается примерно так:
В отличие от обычной печати происходит следующее:
- Закупаются современные принтеры со встроенным софтом управления или МФУ (либо модули к имеющимся у вас железкам), которые обеспечивают идентификацию пользователей.
- Все они объединяются в сеть под управлением принт-сервера, на который ставится одна из систем безопасной печати.
- При отправке задания на печать оно попадает в систему безопасной печати. Потом DLP проверяет файлы (об этом чуть позже), а затем ждёт вашей аутентификации на одном из принтеров. Как правило, вы должны либо ввести пин, либо, в более серьёзных случаях, приложить свою RFID-метку (пропуск в здание) или палец к биометрическому считывателю.
- После этого система печати убирает все следы документа из памяти принтера (в особенности если там используется HDD, где образы документа могут остаться и после неожиданного отключения питания).
Где и почему используется
Учитывая цену внедрения идентификаторов на принтерах, как правило, главная причина — безопасность, порой излишняя, превращающаяся в паранойю. Цена кусается: от 400 евро за комплект аутентификации на 1 устройство до 1000 евро в зависимости от типа считывателя. Плюс нужны контроллеры для старых принтеров и МФУ (новые в большинстве имеют поддержку прямо в операционке).
Вторая причина внедрения, как это ни странно, — экономия. В пятилетней перспективе так получается дешевле. Дело в том, что вместо того чтобы ставить отдельные принтеры в каждый кабинет, можно обойтись этажными МФУ и выводить весь поток на них, но зная, что каждый документ забирает лично сотрудник. К примеру, у нас на некоторых этажах реализовано именно так, и привязка идёт либо к пину задания, либо к RFID-метке пропуска в здание.
Если пользователь решил не приходить и не вводить пин, оно не будет выведено на печать.
Если пользователь запаниковал и отправил 30 одинаковых документов на печать, будет выведен один (ну или 30, если специально так настроить).
Как правило, безопасная печать исключает нецелевую печать. Учитывая тотальную идентификацию, у каждой «левой» распечатки есть ФИО.
Итоговый эффект — пропажа документов, которые пользователи отправляют на печать и забывают забрать (обычно таких до 20% в потоке), отсутствие повторной печати документов, резкое снижение печати личных документов, удешевление за счёт применения правил и условий перенаправления заданий на более производительные устройства, контроль цветной печати и принудительная конвертация в ч/б или на двустороннюю печать для определённых групп пользователей (типов документов, времени и т. д.), отчётность.
Большой Брат следит за тобой
Радость отдела ИБ в тотальном контроле:
- Есть опция ручного подтверждения каждого документа (не у всех решений).
- Есть полностью автоматический режим контроля утечек.
- У отдельных решений есть режим подтверждения только вызывающих вопросы у робота документов.
- Пользователь идентифицирует себя перед печатью.
- Есть информация, кто, что, где, когда печатал.
Как правило, операции следующие:
- На «крутых» интеграциях в самом начале составляется список стоп-слов (либо импортируется список фильтров из системы предотвращения утечек — всё это функции DLP). Всё то, что не должно быть выведено на печать в офисе, не будет выведено ещё на уровне принт-сервера, а для ИБ будет создано уведомление. Некоторые системы также могут обучаться методом указания документов, за которыми нужен контроль, — там либо простейшие нейросети по словам, либо не очень сложные эвристики.
- Каждый документ сканируется на предмет соответствия фильтрам, причём информация собирается не только из текстовой части: всё то, что можно преобразовать к тексту, преобразуется. В особенности распознаются изображения, благо у ABBYY есть очень быстрый OCR-модуль, который своим качеством вызывает ряд вопросов о том, где ещё Большой Брат его использует уже за пределами корпоративного рынка.
- При подозрительном документе или настроенном правиле контроля (по группам сотрудников, по длине документа и т. п.) производится ручной контроль. Принцип эскалации зависит от конкретного используемого ПО для сервера, настроек обычно много.
- С документом могут выполняться автоматические преобразования: например, удаляться все фамилии, занижаться разрешение чертежей до 12 dpi, выдаваться случайные числа вместо финансовых показателей и т. п. Замена «право» на «лево» и «севера» на «юг» — не анекдот, у нас похожие ситуации были на практике. Эти решения очень редки и, как правило, очень специализированы.
- Применяются политики печати: например, принудительный перевод в ч/б для этого пользователя, у которого нет прав на цветную печать. Самая частая политика — отправка документов свыше 100 страниц на принтер с самой низкой стоимостью отпечатка в офисе и отправка по почте уведомления пользователю об этом.
- И, наконец, только после этого документ встаёт в очередь ждать прихода пользователя к принтеру и двухфакторной аутентификации. Из коробки поддерживаются AD Username/Password, PIN-коды, бесконтактные карты: HID (I, II), EM- Marine, Mifare, iClass, Hitag, Cotag, Legic, Indala, ISO, Deister, Paxton, обычные магнитные карты, штрих-коды и биометрические сканеры (отпечатки пальцев).
Опыт внедрения
В одной крупной нефтяной компании разрабатывалась система безопасной печати для удалённых офисов. Основной офис — в арендованном бизнес-центре. Здание большое, несколько этажей, система строилась централизованно сразу на все офисы. Интеграция такая, что где бы ни отправил — можно получить в другом городе в течение суток.
МФУ и принтеры размещались в принтерных комнатах, защищённых СКУД, но для большей безопасности ещё и использовались контроллеры доступа к МФУ с аутентификацией по бесконтактной карте.
Поскольку последним звеном утечки распечаток оставался мусорный бак, вместо них там поставили шредеры, способные перемолоть скрепки, жвачку и даже не очень крупные части человеческого организма. Но не зубы. С зубами надо было придумывать что-то другое.
Была настроена мобильная политика печати — когда сотрудник печатал с планшета или телефона, по Wi-Fi-роутеру находился этаж, и уже там задача отдавалась в очередь на ближайший принтер.
«Свои» устройства, включая мобильные, отличали по сертификатам на Wi-Fi (802.1x).
Парк апгрейдился от трёх разных наборов оборудования, закупленных слоями с разницей в несколько лет, причём от разных вендоров. Самый свежий слой поддерживал технологии аутентификации на уровне ОС устройств печати и МФУ, остальные потребовали специальных контроллеров.
Идею безопасной печати принесла ИБ, но больше всех радовались, кажется, финансисты — они смогли привязать все расходы на печать к конкретным подразделениям. Потом они ещё настроили подробные отчёты об отпечатанных и копированных заданиях и поставили лимиты для различных групп пользователей: запретили цветную печать части подразделений, ограничили для ряда пользователей печать документов больше 20 страниц и только по рабочим часам. Для одного из отделов настроили принудительную конвертацию в ч/б и принудительную двустороннюю печать.
Сисадмины тоже начали улыбаться, когда поняли, что теперь выход из строя принтера означал просто поход пользователя до другого без особых эксцессов. И истерик со срочной заменой уже не стало.
Ограничения (на примере FollowMe)
Из коробки работает с ОС:
- Windows (начиная с Win95).
- Apple Macintosh.
- AS/400 iSeries.
- LINUX/UNIX.
- Другие ОС с поддержкой протокола LPR.
Есть интеграция с каталогами Windows Active Directory, Novell eDirectory, OpenLDAP.
Для решений, например, вендора Nuance нужен сервер со следующими параметрами: Windows 2003 Server SP2 (32/64 бит), Windows 2008 Server с пакетом обновления 1 (32/64 бит) или Windows Server 2008 R2 сервер (32/64 бит). Аналог Intel Xeon 64 по производительности, минимум 1 ГБ свободной оперативной памяти (рекомендуется минимум 4 Гб), 5 ГБ на HDD для буферизации печати работы и обработки данных (рекомендуется 10 ГБ). Если пользователи работают с OpenOffice и MS Office — нужны будут ещё инсталляции на сервере (в случае с MS это означает ещё одну лицензию).
На печать можно отправлять файл как обычным способом или через электронную почту, так и давать URL через корпоративный портал на страницу, которую нужно напечатать (этим часто пользуются для мобильной печати).
Ссылки
- Список вендоров: Ringdale — один из лидеров в технологиях печати, комплексное решение FollowMe позволяет компаниям снизить затраты на печать, повысить эффективность и безопасность печати (Ringdale FollowMe Printing); Nuance — транснациональная корпорация, производитель программного обеспечения в сфере коммуникаций, распознавания речи и изображений, печати, решения: SafeCom и Equitrac; YSoft — европейская компания, специализируется на управлении доступом к печатным документам с использованием идентификационных карт и считывателей, SafeQ. HP — ведущий мировой производитель оборудования и программного обеспечения, в частности печатной техники и систем печати, решения HP Access Control и HP Imaging and Printing Security Center, ThinPrint — хорошее решение на рынке по оптимизации печати, тесная интеграция с решениями ведущих мировых производителей технологий терминального доступа и виртуализации, реализация безопасной печати, Personal Printing; MyQ европейская компания, специализируется на управлении печатью и безопасной печати с использованием технологий контроля доступа и распознавания символов OCR, решения; Арти — российская компания, в числе решений которой есть АСУПиМ, — автоматизированная система управления печатью и мониторинга, а также обеспечения безопасной печати с технологиями распознавания символов OCR, решения: АСУПиМ и PrintSafe.
- Моя почта — OScherbakov@croc.ru.