为什么写
去年,北京一家律所经历了一次让人哭笑不得的泄密事件。律所合伙人张律师在打印一份重要案件的代理意见书时,因为打印机网络设置的问题,文件被错误地发送到了同楼层另一家公司的打印机上。那家公司的前台看到打印出来的是一份密密麻麻的法律文书,随手拍了一张照片发到了朋友圈。照片里虽然隐去了当事人姓名,但案件的基本事实和代理策略一目了然,迅速在业内传开。
这起事件的起因很简单——律所采购了一批二手网络打印机,安装师傅在配置时没有修改默认设置,导致打印机在同一个子网内被多台电脑自动识别。而张律师在打印时也没有仔细核对打印机名称,随手点击了默认选项。一个小疏忽,却给律所带来了难以挽回的声誉损失。
带来哪些隐患
办公设备泄密的风险点远比我们想象的要多。打印机作为最常见的办公设备,往往处在企业安全防护的盲区。很多人认为打印机不就是个输出设备吗,能有什么安全问题?但实际上,现代网络打印机本身就是一台小型计算机,有自己的操作系统、存储空间和网络连接,完全可以成为黑客攻击的跳板。
打印机的内置硬盘是一个很大的隐患。大多数中高端打印机都有一个内置硬盘,用于缓存打印任务。这意味着每一份打印过的文件都会在打印机硬盘上留下痕迹。很多企业在使用多年后更换打印机时,只是简单地把设备卖掉或者扔掉,从来没有人想过要清除打印机硬盘里的数据。这些二手打印机流入市场后,下一任使用者可以轻松地调取前任用户的全部打印记录。
还有一个容易被忽视的问题是多功能一体机的扫描和传真功能。很多企业的多功能一体机连接着公司的内网,扫描的文件直接存入指定的网络文件夹。如果这个网络文件夹的权限设置不当,所有内部人员都能看到扫描出来的敏感文件。更有甚者,一些传真功能还保留了自动打印所有接收传真的设置,导致很多垃圾传真上混杂着真正的商业文件,任何人都可以随手拿走。
除了打印机,投影仪、会议平板、智能门禁这些办公设备同样存在类似的安全隐患。这些设备通常由行政或后勤部门采购和管理,IT部门的介入相对较少。设备的默认密码不修改、固件不升级、连接不加密是普遍现象。
给我们什么提醒
办公设备安全看似是一个细节问题,但细节往往决定成败。企业要从以下几个方面抓起。
采购环节就要考虑安全因素。采购办公设备时不能只看价格和功能,还要关注设备的安全性能。设备到货后的第一件事就是修改所有默认密码和设置,这个动作要记入设备验收清单。
设备使用期间要建立定期检查机制。打印机的内置硬盘要定期清理,不需要保留的打印任务要及时清除。对于已经过了保修期的设备,要考虑是否有必要继续使用,不要因为省钱而将就。
设备报废时要走数据销毁流程。这个环节最容易出问题。打印机、复印机、扫描仪这些设备在报废或转让前,必须对内置存储介质进行彻底的数据清除。标准做法是物理销毁硬盘,或者使用专业的数据擦除软件进行多次覆写。
给员工做设备使用培训也很有必要。别以为每个人都知道怎么正确使用打印机。很多人在打印后不及时取走文件,或者把打印出来的重要文件随意放在桌上,这些都是潜在的泄密隐患。
企业启示
信息安全没有大小之分,任何一个环节的疏漏都可能成为泄密的通道。北京企密安信息安全技术有限公司在帮助客户做安全评估时发现,越是看似不起眼的办公设备,往往是安全防护的薄弱环节。企业应当把办公设备纳入整体的信息安全管理体系,做到设备全生命周期的安全管理,从采购配置到日常使用再到报废回收,每个环节都要有章可循有据可查。
