Když se řekne bezpečnost tisku, většina z nás si představí to, že někdo uvidí, nebo odcizí důležité dokumenty předtím, než si je stihneme vyzvednout ze sdílené tiskárny. Podobně jako jakýkoliv jiný kanál úniku dat, i tisk je možné s využitím různých technologií řídit. Jak dokumenty při tisku zabezpečit tak, aby se nedostaly do nepovolaných rukou?
Při služebné cestě v zahraničí měl zaměstnanec jedné brněnské firmy na počítači namapované běžné firemní („domácí“) tiskárny, ale i tiskárny dceřiné firmy, ve které dočasně pracoval. Jednou přišla jeho kolegovi v sídle firmy v České republice zpráva: „Rychle utíkej k tiskárně, vyzvedni to, co se tam vytisklo, nekoukej na to a hned to skartuj.“. Stalo se to, že zaměstnanec omylem poslal k tisku databázi osobních dat klientů, ovšem na tiskárnu v sídle firmy, ke které v tu chvíli neměl fyzický přístup.
Podobné incidenty se dějí denně v každé firmě. Reálným problémem je to, že se k důležitému dokumentu takto může dostat libovolný člověk ze společnosti. A asi není nutno zdůrazňovat, že náhodný příjemce nemusí mít zlý úmysl zneužít nalezená data, aby podobné zveřejnění např. platů a odměn managementu nezpůsobilo pozdvižení a interní problém. Potenciální útočník může pak dokumenty z tiskárny jednoduše vzít. Když autor tisku nenalezne důležitý dokument na tiskárně, spíše se to přisuzuje hardwarovému problému než bezpečnostnímu incidentu.
Aby podobné situace nenastávaly, je důležité řídit tisk důležitých dokumentů. Jednou z možností je použít Data Loss Prevention (DLP) řešení, které dokáže selektivně určit, která data mohou být vytištěna a na které tiskárně. Takový systém neautorizovaný tisk přímo zakáže, nebo upozorní uživatele, že koná v rozporu se zavedenými pravidly. Pomoct mohou také další tisková řešení. Ty umožní tisknout např. až po explicitní autentizaci uživatele na tiskárně použitím čipové karty, nebo jiné technologie.
Při auditu v menších, rostoucích firmách nalézáme v tiskárnách a na stolech nejčastěji životopisy uchazečů, někdy také s poznámkami a posudky manažerů. Ve větších firmách to bývají různé faktury, smlouvy a další informace o zákaznících. V jedné firmě jsem například měl jako inkognito auditor možnost nahlédnout v nepozorovaném okamžiku do dokumentu, odloženého na tiskárně na chodbě. 20 vteřin stačilo, abych měl informaci o nemovitosti, kterou firma plánuje koupit, jaké ceny již vyjednala, kontakty na všechny zainteresované osoby, obchodní potenciál lokality a výsledky interní SWOT analýzy této transakce. Kdybych měl připraven fotoaparát, postačily by 2-3 vteřiny. V další organizaci (ze zdravotního sektoru) jsem například nalezl při čekání na schůzku vedle tiskárny dokument s několika pacienty a jejich anamnézy.
Zapomenuté citlivé dokumenty jsou problémem hlavně fyzické bezpečnosti. Pro prevenci před povalováním vytištěných důvěrných dat v prostorách firmy je důležité mít zavedena pravidla prázdného stolu. Podstatné je také školit na tyto pravidla zaměstnance a pravidelně jejich dodržování ověřovat. Doporučit lze označování citlivých dat ve fyzické podobě viditelnou značkou „důvěrné“, „tajné“ a podobně. V tom případě je uživatelům jasnější, která data by měli primárně chránit.
Největším problémem u tištěných informací je to, že se incidenty dějí často a tak je velice pravděpodobné, že dřív nebo později zanechají na organizaci významné následky. Podobně jak v celé bezpečnosti, i u ochrany tištěných dat platí, že se jedná o spojení organizačních, fyzických a technických opatření:
Napsal Matěj Zachar, Project & Security Manager @Safetica Technologies
“Nic jako přehnaná paranoia neexistuje.” - to je Matějovo krédo. Bezpečnost je pro něj v centru všeho, i tak ale miluje lození po horách. Jeho další vášní je vaření. A kytara. V Safetica má Matěj na starosti implementaci projektů .
Lidská chyba – nejčastější problém
Při služebné cestě v zahraničí měl zaměstnanec jedné brněnské firmy na počítači namapované běžné firemní („domácí“) tiskárny, ale i tiskárny dceřiné firmy, ve které dočasně pracoval. Jednou přišla jeho kolegovi v sídle firmy v České republice zpráva: „Rychle utíkej k tiskárně, vyzvedni to, co se tam vytisklo, nekoukej na to a hned to skartuj.“. Stalo se to, že zaměstnanec omylem poslal k tisku databázi osobních dat klientů, ovšem na tiskárnu v sídle firmy, ke které v tu chvíli neměl fyzický přístup.
Podobné incidenty se dějí denně v každé firmě. Reálným problémem je to, že se k důležitému dokumentu takto může dostat libovolný člověk ze společnosti. A asi není nutno zdůrazňovat, že náhodný příjemce nemusí mít zlý úmysl zneužít nalezená data, aby podobné zveřejnění např. platů a odměn managementu nezpůsobilo pozdvižení a interní problém. Potenciální útočník může pak dokumenty z tiskárny jednoduše vzít. Když autor tisku nenalezne důležitý dokument na tiskárně, spíše se to přisuzuje hardwarovému problému než bezpečnostnímu incidentu.
Aby podobné situace nenastávaly, je důležité řídit tisk důležitých dokumentů. Jednou z možností je použít Data Loss Prevention (DLP) řešení, které dokáže selektivně určit, která data mohou být vytištěna a na které tiskárně. Takový systém neautorizovaný tisk přímo zakáže, nebo upozorní uživatele, že koná v rozporu se zavedenými pravidly. Pomoct mohou také další tisková řešení. Ty umožní tisknout např. až po explicitní autentizaci uživatele na tiskárně použitím čipové karty, nebo jiné technologie.
Důležité dokumenty všude
Při auditu v menších, rostoucích firmách nalézáme v tiskárnách a na stolech nejčastěji životopisy uchazečů, někdy také s poznámkami a posudky manažerů. Ve větších firmách to bývají různé faktury, smlouvy a další informace o zákaznících. V jedné firmě jsem například měl jako inkognito auditor možnost nahlédnout v nepozorovaném okamžiku do dokumentu, odloženého na tiskárně na chodbě. 20 vteřin stačilo, abych měl informaci o nemovitosti, kterou firma plánuje koupit, jaké ceny již vyjednala, kontakty na všechny zainteresované osoby, obchodní potenciál lokality a výsledky interní SWOT analýzy této transakce. Kdybych měl připraven fotoaparát, postačily by 2-3 vteřiny. V další organizaci (ze zdravotního sektoru) jsem například nalezl při čekání na schůzku vedle tiskárny dokument s několika pacienty a jejich anamnézy.
Zapomenuté citlivé dokumenty jsou problémem hlavně fyzické bezpečnosti. Pro prevenci před povalováním vytištěných důvěrných dat v prostorách firmy je důležité mít zavedena pravidla prázdného stolu. Podstatné je také školit na tyto pravidla zaměstnance a pravidelně jejich dodržování ověřovat. Doporučit lze označování citlivých dat ve fyzické podobě viditelnou značkou „důvěrné“, „tajné“ a podobně. V tom případě je uživatelům jasnější, která data by měli primárně chránit.
Tisk pod kontrolou
Největším problémem u tištěných informací je to, že se incidenty dějí často a tak je velice pravděpodobné, že dřív nebo později zanechají na organizaci významné následky. Podobně jak v celé bezpečnosti, i u ochrany tištěných dat platí, že se jedná o spojení organizačních, fyzických a technických opatření:
- Vhodným prvním krokem je provést audit bezpečnosti tisku, který odhalí bezpečnostní problémy – např. citlivá data, která se tisknou zbytečně, nebo problémy ve fyzické bezpečnosti.
- Další logická cesta je aplikace bezpečnostních opatření – např. pravidelných školení uživatelů, implementace tiskového nebo DLP řešení.
- Jako u všech cest toku dat, i tisk dokumentů by měl být pravidelně auditován a na základě výsledků přijata potřebná opatření.
Napsal Matěj Zachar, Project & Security Manager @Safetica Technologies“Nic jako přehnaná paranoia neexistuje.” - to je Matějovo krédo. Bezpečnost je pro něj v centru všeho, i tak ale miluje lození po horách. Jeho další vášní je vaření. A kytara. V Safetica má Matěj na starosti implementaci projektů .
Autor
Safetica team
Další články
Zabezpečení dat
Články na blogu
Zabezpečení dat
E-book & ke stažení
Datový kvadrant v oblasti DLP za rok 2021 ovládla Safetica
Společnost Safetica se stala podle SoftwareReviews vítězem datového kvadrantu v oblasti ochrany dat před únikem (DLP) za rok 2021. Podívejte se na podrobnou zprávu, která srovnává jednotlivé poskytovatele DLP řešení.
Zabezpečení dat
Videa