HP озаботилась безопасностью и облаками

Фото: очень большой принтер HP на конференции Drupa

Как известно, приемлемый уровень информационной безопасности в компаниях ограничивается, с одной стороны, степенью паранойи руководства, а с другой — готовностью принять некие риски ради гибкости и динамизма бизнеса. Но иногда между этими крайностями возникают тени из прошлого и начинается любопытное движение, за которым интересно понаблюдать.

На этот раз возмутителем спокойствия стала американская компания Hewlett Packard (HP), вернее, одна из её половин, на которые она разделилась совсем недавно. Предыстория вопроса уходит в начало 2000-х годов, когда мир с удивлением узнал, что с помощью офисного сетевого принтера вполне себе можно устроить DoS атаку и заражать вредоносным ПО обычные компьютеры.

Принтером тоже можно манипулировать

Принтер или многофункциональное печатное устройство (МФУ) — по большому счету, тот же компьютер, содержащий практически те же самые элементы: процессор, загрузчик BIOS, операционную систему, жесткий диск и сетевую карту. А значит, принтер потенциально подвержен атакам и утечкам данным из него. В те далекие времена одно из первых заражений принтера было связано с заменой жесткого диска.

Системный администратор хотел всего лишь украсть файлы, отправленные на печать. На накопителях принтеров они тогда не шифровались. Достать их с диска не представляло никакой сложности, нужно было только переставить на время винчестер в PC админа. Но на этом продвинутый администратор не остановился и записал на диск еще пару файлов, чтобы получить персональный удаленный доступ к системе. Компания была большая, принтеров в ней тоже было много. Бот получился довольно мощным.

Но как-то на фоне взлёта интереса прессы к кавалерийским вирусным атакам на корпорации и доблестным их отражениям антивирусными компаниями, внимание к проблемам защиты печатающего оборудования как-то затихло. Ну не ставить же в каждый МФУ антивирус? Нет, кое-что-таки было сделано в рамках стандартизации всей индустрии: снижены риски физического доступа к начинке устройств, шифрование и т.д. Но нет шумихи в прессе — нет и проблем.

Две части единого, но проблема общая

Но 1-го ноября 2015 года HP разделось на две части: одно стало заниматься производством персональных компьютеров и принтеров, другое — выпуском корпоративных серверов и оказанием услуг (HP Enterprise). Видимо, скрепы ослабли, и подразделение «HP digital print technology» официально признало проблемы, связанные с информационной безопасностью печатающего оборудования.

НР в самом конце 2015 года попыталась собрать все возможные варианты атак на устройства печати и рассказать журналистам, а также всем заинтересованным лицам, как можно защитить принтер от угроз. В фокусе внимания оказались четыре области безопасности: защита устройств, данных, программного обеспечения и управления.

Если с ограничением физического доступа всё более менее понятно, то с риском фальсификации меню пользователя всё гораздо сложнее. Злоумышленник, используя различные программы взлома, может удаленно корректировать уведомления и сообщения меню устройства. Чтобы это предотвратить, системные администраторы компании должны установить в настройках безопасности принтера PJL пароль.

Если компания хочет быть уверена в том, что она видит всё, что печатают на принтерах и какой пользователь, она может отключить в настройках безопасности печать с USB или Wi-Fi.

На этом HP не остановилась, и предложила своим клиентам Firewall, ограничивающий печать по IP, который можно настроить в соответствии с потребностями компании. Чтобы предотвратить сканирование с неизвестного или подложного адреса e-mail, необходимо использовать ограничение вариантов выходов, на какие адреса можно отправлять сканы. Понятно, диск шифруется, но временные пароли и сертификаты теперь предложено хранить в специальном крипто-модуле материнской платы.

Чтобы ОС смогла отличить вредоносное ПО от остальных исполняемых файлов, HP разработала систему Secure White listing, которая позволяет дать каждому блоку исполняемых файлов уникальный сертификат производителя в дополнение к системе Run-time Intrusion Detection, которая по своей сути является антивирусом для принтера.

Стандартная операционная система для принтеров от НР имеет обратную совместимость. Те устройства, которые были выпущен ранее, получат некоторые функции ИБ, присущие новинкам. Но что дальше?

Drupa 2016 поможет дать ответ

А в чём возможная причина такого резкого поворота в мировоззрении HP? Возможно, это новая рекламная стратегия, испортившая жизнь менеджерам по ИБ. 

Дело в том, что только ленивый не говорил с трибуны этого форума, что на лицо мощный тренд переноса источника файлов для печати с персональных компьютеров в облака, в частности, в файлообменные сервисы типа Dropbox. Источником самих данных всё чаще и чаще становятся мобильные устройства - смартфоны и планшеты. В такой архитектуре многие процессы протекают совсем не так, как в офисе, огороженном периметром ИБ.

Видимо поэтому, HP пошла на опережение и представила новую облачную операционную систему PrintOS, созданную с целью кардинального изменения подхода к производству печатной продукции.  Пока она предназначена для крупного полиграфического оборудования, но по красноречивому молчанию персонала на стенде, можно предположить, что PrintOS – что-то большее, нежели ПО для типографии.

Ждем новостей от HP на конференции Drupa 2016, которая пройдет с 31 мая по 10 июня в Дюссельдорфе.

Не о принтерах, но о вебе: профессия «Веб-разработчик» от GeekBrains.