Безопасность подсистемы печати нечасто принимается в расчёт капитанами бизнеса, в особенности малого и среднего, — а зря. По мнению аналитиков Quocirca, оставленные в организации без должного присмотра принтеры грозят обернуться гораздо бóльшими расходами, чем грамотная организация контроля над ними — даже с привлечением внешних (аутсорсинговых) специалистов, если штатных недостаточно.
Кошмар с автоподачей
В середине 2021 г., когда мир уже понемногу оправлялся от ковидных потрясений, сравнительно незамеченной (по крайней мере, в России) прошла длившаяся несколько месяцев эпидемия PrintNightmare. Эта уязвимость позволяла едва ли не любому удалённому пользователю, подключившемуся к Windows-компьютеру — с целью отправить свой документ на подсоединённый к тому принтер, — получать администраторские привилегии. Практически сразу после обнаружения эксплойта тот утёк в Сеть, став доступным самому широкому кругу злоумышленников, — а Microsoft довольно долгое время искала подходящий способ для исправления ситуации, поскольку характер уязвимости требовал кардинальной переработки Windows-службы удалённого подключения с целью печати, «Point and Print».
Проведённое два года спустя исследование Quocirca показало, что урок оказался в целом усвоен: лишь 19% принявших участие в опросе предприятий непосредственно пострадали от PrintNightmare (а среди СМБ с числом сотрудников от 249 до 499 эта доля ещё выше, — 26%), зато серьёзным вызовом ИБ платформы управления подсистемой печати считают теперь целых 39% респондентов. Важно, что хотя эта конкретная уязвимость была в итоге закрыта очередным апдейтом системы безопасности, аналогичные угрозы обнаруживаются регулярно. Скажем, для популярной MPS (системы управления печатью) PaperCut последний был найден весной 2023-го. Иными словами, службе ИБ бизнеса любого масштаба необходимо — помимо прочего — не упускать из вида ещё и потенциальные угрозы, порождаемые не выявленными пока, но оттого не менее опасными уязвимостями MPS и подсистемы печати в целом, начиная от уровня реализации принтерных драйверов в ОС.
Одно из предлагаемых аналитиками решений — переход от привычных серверов печати к прямой печати по IP-адресам (direct IP printing). Сервер печати — заслуженное, прекрасно отработанное за десятилетия, любимое ИТ-специалистами решение: централизованное, с удобными инструментами управления группами, отлично интегрирующееся в EMR-, CRM- и ERP-системы. Однако оборотной стороной его достоинств выступают порождаемые ими недостатки: уязвимость главного узла управления к целевым атакам, трудности с маршрутизацией запросов на печать в существенно гетерогенном окружении (когда принтеры разбросаны по различным локациям, а сотрудники работают в гибридном режиме посещения офисов), высокая цена и не всегда идеально быстрая поддержка проприетарных решений и т. п.
Прямая же печать по IP -адресам, напротив, — децентрализованная система, позволяющая любому авторизованному в локальной сети пользователю направлять задания печати на любой из доступных ему принтеров напрямую. Правда, снижение издержек и рост общей надёжности (если драйвер какого-то принтера слетел или некий компьютер взломан, это не скажется на прочих узлах сети) в этом случае оборачиваются усиленной головной болью для ИТ-службы, которая лишается прямого контроля над работой подсистемы печати. Если, опять-таки, не привлекать для решения этой задачи специализированные сторонние MPS, действующие в режиме надзора и сбора статистики, а не прямого дозволения/запрещения отправки документов на печать.
Для небольшой компании переход к бессерверной технологии печати — direct IP printing — действительно может оказаться эффективным решением, но уже при сотне и более сотрудников в организации оно начинает становиться обременительным для штатных ИТ-специалистов. Другая возможность, на которую указывают в Quocirca, — облачное управление печатью, тем более что 52% участников опроса уверены в превосходстве ИБ-инструментария провайдеров облачных услуг перед тем, что небольшая компания может позволить себе развернуть и поддерживать локально. Впрочем, почти половина респондентов всё же не готовы пока переносить свою инфраструктуру печати (и даже одно лишь управление ею) в облака: 36% из них — вследствие опасений за сохранность чувствительных данных; 29% — из-за не слишком явной финансовой оправданности такого шага, 28% — по причине предполагаемого замедления бизнес-процессов.
Облака укажут путь?
Действительно, печать on-premises (в обоих вариантах — серверном и бессерверном) гарантирует уверенный контроль над всеми процессами и расширенную функциональность: взять хотя бы возможность аутентификации лиц, подходящих к общему принтеру забрать распечатываемые для них конфиденциальные документы. При одном, правда, условии: если у организации есть средства и возможности укомплектовать свой ИТ-отдел специалистами со всеми необходимыми компетенциями.
Вместе с тем, в пользу миграции служб печати в облако у аналитиков есть довольно сильный дополнительный аргумент. А именно: прочая ИТ-инфраструктура — по крайней мере, в реалиях США и Западной Европы — и так уже активно перемещается на серверы облачных провайдеров. Если при этом сервер печати (либо бессерверная конфигурация с локальными принтерами при отдельных ПК) остаётся в офисе, она оказывается более предпочтительной целью для атаки. Взломать защиту провайдера уровня SAW или Google Cloud способна далеко не каждая хакерская группировка, — тогда как попробовать свои силы на слабо защищённом сервере печати какой-нибудь средней или малой компании попытается гораздо больше злоумышленников.
Другое недавнее исследование Quocirca свидетельствует: 21% опрошенных компаний (опять-таки — из США, Великобритании, Германии и Франции) намерены полностью перенести свою ИТ-инфраструктуру в облака уже в 2025 г.: это будет огромный скачок по сравнению с нынешними 5% целиком облаковизированных по ИТ-направлению организаций. «В основном облачными» через два года станут ещё 36% компаний, — тоже заметный прирост по сравнению с нынешними 29%. При этом инфраструктура печати целиком или полностью вынесена в облако уже у 31% респондентов, а к 2025-му эта доля должна вырасти до 55%.
Ориентируясь на такого рода настроения, поставщики MPS-решений активно модифицируют свои системы управления печатью — чтобы те предельно эффективно работали и on-premises, и в условиях полного погружения в облако, и в гибридных ИТ-инфраструктурах. Интересно, что аналитики отдают предпочтение сторонним MPS перед теми, что продвигают сами вендоры печатного оборудования. В приложении к российским условиям, когда поставки и обслуживание принтеров привычных марок затруднены, а взаимодействию с новыми ИТ-специалистам приходится учиться буквально на ходу, облаковизация подсистемы печати также представляется выигрышным шагом для заказчиков — разумеется, при полных гарантиях со стороны провайдера в отношении как сроков обработки запросов, так и сохранения конфиденциальности проходящих через его облако данных.