“Мы привыкли думать, что принтер, это просто тупое железо, которое печатает то, что ему сказали. На самом деле, это полноценный компьютер с памятью, сетевым подключением и прошивкой, которая может делать с твоими документами всё что угодно. И иногда она это делает.”
Принтер, это не периферия, а узел утечки
Когда речь заходит о защите информации, фокус обычно на серверах, рабочих станциях и мобильных устройствах. Принтер остаётся в слепой зоне. Его воспринимают как конечную точку процесса, после которой данные якобы исчезают в физическом мире. Это опасное заблуждение. Современный сетевой МФУ по вычислительной мощности и возможностям хранения не уступает компьютеру десятилетней давности. У него есть процессор, оперативная память, жёсткий диск или флеш-накопитель, сетевая карта и полноценная операционная система, часто на базе Linux.
Всякий раз, когда вы отправляете документ на печать, он проходит через память принтера. Для обеспечения бесперебойной печати и работы очереди, данные временно сохраняются. «Временно» — ключевое слово, которое трактуется производителями очень широко. Документ может оставаться в кэше часами, днями или до переполнения памяти. На многих корпоративных моделях по умолчанию включено постоянное сохранение заданий печати на внутренний диск. Это сделано для удобства повторной печати, но создаёт полный архив всего, что было когда-либо распечатано в организации.
Представьте, что на этом диске лежат финансовые отчёты, проекты договоров, персональные данные сотрудников, внутренние переписки. Физический доступ к принтеру или взлом его встроенного веб-интерфейса открывает доступ ко всему этому массиву. При списании или продаже оборудования этот диск часто не извлекается и не затирается, отправляя корпоративные секреты новым владельцам.
Жёлтые точки: невидимый паспорт каждого листа
Помимо активного хранения, существует и пассивный механизм слежки, встроенный в саму технологию печати. Речь о так называемых machine identification codes (MIC) — жёлтых точках, которые почти все цветные лазерные принтеры и копиры наносят на каждый лист бумаги.
Эти точки, невидимые невооружённым глазом, образуют уникальный для каждого устройства код. Он содержит серийный номер принтера и метку времени с точностью до минуты, когда был распечатан документ. Идея, продвигаемая производителями и некоторыми регуляторами, — борьба с подделкой денег и документов. Однако технология применяется тотально, ко всем без исключения распечаткам, создавая де-факто систему учёта всей бумажной деятельности.
Расшифровать этот код можно с помощью синего светодиода и камеры, а алгоритмы декодирования давно известны. Таким образом, любой документ, вышедший из большинства офисных принтеров, можно однозначно привязать к конкретному устройству и моменту его печати. Для расследования это инструмент, для приватности — скрытая угроза.
Телеметрия и «удалённая диагностика»: обратный канал к производителю
Современные принтеры редко работают в изоляции. Они подключены к интернету для обновления прошивки, удалённого мониторинга уровня тонера и так называемой «прогностической диагностики». В настройках по умолчанию эти функции часто включены.
Что именно отправляется на серверы производителя? Официально — анонимизированные данные об использовании: количество отпечатанных страниц, уровень заполнения картриджей, коды ошибок. Однако границы «анонимизации» и «диагностических данных» размыты. В поток телеметрии могут попадать:
- Метаданные заданий печати (источник документа, имя пользователя, имя принтера).
- Статистика по типам документов (например, распознавание по характерным признакам, что печатается PDF, Word или изображение).
- Хэши или даже фрагменты самих документов для «анализа проблем с рендерингом».
Производитель получает детальную картину того, что, когда и в каких объёмах печатается в организации. Эти данные становятся частью big data, используются для маркетинга, прогнозирования продаж расходников, а в теории могут быть затребованы государственными органами страны, где расположены серверы.
Случай из практики: когда «умный» функционал обходит политики безопасности
Рассмотрим гипотетический, но основанный на реальных инцидентах сценарий. В компании настроена строгая политика DLP (Data Loss Prevention), запрещающая передачу конфиденциальных документов за периметр. Все исходящие соединения с интернетом проходят через прокси с фильтрацией. Однако принтер, будучи IoT-устройством, часто имеет прямое подключение к интернету через отдельный VLAN или Wi-Fi для «удобства службы поддержки». DLP-система его не контролирует, так как не считает источником утечки.
Сотрудник печатает черновик договора с новым партнёром. Принтер, испытывая «проблему с интерпретацией шрифта», в рамках диагностики отправляет фрагмент страницы на сервер производителя в другую страну. Конфиденциальная информация покидает периметр, минуя все установленные средства защиты. Инцидент не фиксируется, потому что никто не мониторит сетевую активность принтеров.
Угрозы с точки зрения 152-ФЗ и ФСТЭК
Для организаций, работающих с персональными данными (ПДн) и подпадающих под действие 152-ФЗ, принтер перестаёт быть просто оргтехникой. Он становится информационной системой персональных данных (ИСПДн) или её частью. Это влечёт за собой конкретные требования.
Согласно руководящим документам ФСТЭК, к техническим средствам, обрабатывающим ПДн, предъявляются требования по защите информации. Если принтер хранит или может хранить ПДн (а он хранит, как мы выяснили), он должен быть учтён в модели угроз и включён в зону защиты. Игнорирование этого факта — прямое нарушение, которое может привести к штрафам.
Ключевые точки риска с позиции регулятора:
- Несанкционированный доступ к хранимой информации: отсутствие очистки памяти, слабые пароли к веб-интерфейсу, открытые сетевые порты.
- Утечка информации по каналам связи: неконтролируемая телеметрия, отправляющая данные за рубеж.
- Невозможность учёта операций: отсутствие журналов печати, которые позволяли бы установить, кто и что распечатал.
Для госорганов и критической информационной инфраструктуры (КИИ) требования ещё жёстче. Использование принтеров с предустановленным ПО, имеющим функции удалённой передачи данных за пределы РФ, может быть расценено как использование иностранного ПО с запрещёнными функциями.
Что делать: практические шаги по «обезвреживанию» принтера
Осознание проблемы — первый шаг. Второй — приведение принтеров в безопасное состояние. Работа ведётся по нескольким направлениям.
1. Аудит и инвентаризация
Составьте полный реестр всех печатающих устройств в сети. Для каждого определите:
- Модель и производителя.
- Физическое расположение и сетевой адрес.
- Версию прошивки.
- Наличие и объём встроенного жёсткого диска.
- Роль: обрабатывает ли он ПДн или иную конфиденциальную информацию?
Это основа для построения политики безопасности.
2. Настройка и «закрытие» устройства
Зайдите в веб-интерфейс каждого сетевого принтера и выполните настройки, руководствуясь не удобством, а безопасностью:
- Отключите телеметрию и удалённую диагностику. Ищите разделы вроде «Отправка данных», «Улучшение качества услуг», «Диагностика». Отключите всё.
- Включите обязательную очистку памяти после печати. Обычно эта опция называется «Очистка буфера», «Защита данных» или «Overwrite Hard Drive». Настройте немедленную очистку или очистку после каждого задания.
- Запретите сохранение заданий на диск. Отключите функции «Хранить задания», «Повторная печать из журнала».
- Установите и регулярно меняйте сложные пароли на доступ к веб-интерфейсу и администрированию. Отключите доступ по протоколам Telnet, FTP, если они не нужны.
- Обновите прошивку до последней версии, чтобы закрыть известные уязвимости.
3. Сегментация сети и контроль трафика
Не позволяйте принтерам свободно «гулять» по сети и выходить в интернет.
- Выделите для всех принтеров отдельный VLAN.
- Настройте правила межсетевого экрана (файрвола), разрешающие принтерам связь только с необходимыми серверами печати и запрещающие любой исходящий трафик в интернет.
- Внедрите систему мониторинга сетевой активности (например, на базе SIEM), которая будет оповещать о попытках принтера установить нестандартные внешние соединения.
4. Политики и процедуры
Технические меры должны быть подкреплены организационными:
- Включите требования к безопасной настройке принтеров в политику информационной безопасности компании.
- Пропишите процедуру безопасного списания: обязательное физическое извлечение и уничтожение жёсткого диска или использование специальных утилит для полного затирания данных.
- Рассмотрите возможность использования ПО для безопасной печати (Secure Print), где документ отправляется на сервер и печатается только после ввода пин-кода на самом принтере. Это предотвращает доступ к документам, оставленным в лотке, и часто включает шифрование данных при передаче.
Выбор техники: на что смотреть в первую очередь
При закупке нового оборудования вопросы безопасности должны стоять на одном из первых мест. Задавайте поставщикам прямые вопросы:
- Где физически расположены серверы для телеметрии и удалённого управления? Находятся ли они на территории РФ?
- Можно ли полностью отключить все функции отправки данных на внешние серверы без потери основной функциональности?
- Предоставляет ли производитель утилиты для гарантированного затирания данных с внутреннего накопителя?
- Есть ли у устройства сертификаты ФСТЭК, подтверждающие отсутствие недекларированных возможностей?
Предпочтение стоит отдавать моделям, где безопасность заложена архитектурно: с аппаратным шифрованием диска, возможностью его лёгкого извлечения и детальными настройками контроля доступа.
Итог: пересмотрите своё отношение к принтеру
Принтер больше не конечная точка. Это активный участник информационного обмена, потенциальное хранилище данных и канал утечки. Его уязвимости системны и часто по умолчанию включены в угоду удобству и маркетинговым схемам производителей.
Защита информации, это работа по всему периметру, включая те устройства, которые кажутся безобидными. Настройка принтера, контроль его сетевой активности и чёткие процедуры обращения с ним — не избыточная паранойя, а необходимый минимум в современной корпоративной среде, особенно под давлением регуляторов. Игнорирование этого «тупого железа» может привести к умным и дорогостоящим последствиям.