Куда принтер передает ваши данные: Защита распечатанных и отсканированных документов вызывает сомнения экспертов

В каждой российской компании и организации до сих пор используются бумажные документы. Это могут быть договоры, рабочие и бухгалтерские распечатки, другая конфиденциальная информация, но данные, проходящие через печатные устройства, вполне могут оказаться в облачном хранилище вендора.

Компания HP в своей политике конфиденциальности уверяет, что не сохраняет содержимое файлов, при использовании ее принтеров или приложения HP Smart.

Политика конфиденциальности Canon позволяет собирать файлы и другое содержимое пользовательских данных, включая изображения и их метаданные, которые могут содержать информацию о местоположении объектов. Также политика компании оставляет возможность использования этой информации в маркетинговых целях.

Издание The Washington Post сделало специальный запрос в Canon относительно отправляемых в печать документов пользователей, хранения пользовательского контента и доступа к нему других подразделений Canon. В ответе пресс-службы было сказано, что компания уважает интересы своих клиентов в отношении конфиденциальности, соблюдает федеральные законы применимые к ее деятельности, но ответа по сути запроса не дала.

Помимо вполне открытых и понятных угроз конфиденциальности документов, обрабатываемых на копировальной и печатной технике, существует реальная угроза несанкционированного доступа к ним со стороны злоумышленников.

Так, по мнению эксперта по кибербезопасности "Лаборатории Касперского" Бориса Ларина, многие умные принтеры и МФУ, как и другие устройства интернета вещей, имеют слабую защиту и подвержены удаленным атакам: "Такие устройства могут использоваться для проведения сложных атак. На соревновании Pwn2Own Toronto 2022 были продемонстрированы цепочки эксплойтов для различных принтеров. Некоторые из этих программ доступны публично и могут использоваться для атак на не обновленные устройства. После получения контроля над принтером с помощью такой программы, злоумышленники могут закрепиться на устройстве и использовать его для проведения дальнейших атак в сети организации, а также похищать документы, приходящие на печать или сканирование".

Несмотря на то, что принтеры и МФУ по-прежнему являются типичными элементами интерьера офисов и квартир, малый бизнес, индивидуальные предприниматели и частные пользователи нередко обходятся без копировальной техники и используют для подготовки бумажных документов салоны печати. В этом случае, опасность утечек конфиденциальных данных вырастает в несколько раз. К проблемам контроля над софтом вендора добавляются вопросы защиты IT-инфраструктуры и управления персоналом таких сервисов.

На сайтах некоторых копировальных центров размещаются пользовательские соглашения и публикуется политика в отношении обработки персональных данных заказчиков и сотрудников, но и нередко не содержится вообще никакой дополнительной информации.

При этом в пользовательских соглашениях сервисов печати обычно указывается, что администрация оставляет за собой право следить за деятельностью пользователя в рамках использования им сайта и сервисов печати, а также предотвращать публикацию любых материалов, нарушающих законодательство РФ, включая ту информацию, в отношении которой затруднительно определить ее соответствие законодательству РФ.

То есть, поставщик услуг может знакомиться с содержимым распечатываемых документов по своему усмотрению.

По мнению экспертов небольшие салоны печати, не всегда имеющиеся ресурсы и специалистов для защиты своей IT-инфраструктуры, особенно уязвимы для атак злоумышленников.

"Современные МФУ в большинстве своем довольно сложные устройства, а вместе со сложностью приходит большая поверхность атаки. Если устройство доступно через интернет, то злоумышленники потенциально могут получить доступ как к web-интерфейсу управления, так и к другим сервисам, которые запущены на устройстве. А дальше, в зависимости от обнаруженных ими уязвимостей, могут получить доступ к документам, которые на это устройство отправляются", - говорит старший специалист группы исследований безопасности мобильных приложений Positive Technologies Артем Кулаков.

Он также отмечает, что похожая ситуация складывается и с мобильными приложениями, которые могут сохранять копии отправляемых на МФУ документов небезопасным образом, взаимодействовать со служебными функциями МФУ по незащищенному протоколу HTTP или содержать другие характерные для мобильных приложений уязвимости. Эти уязвимости, в свою очередь, могут быть использованы другим злонамеренным приложением, установленным на устройстве пользователя.