Хранение копий факсов на разных этапах передачи

Отправляющая сторона: факс-аппараты, МФУ, факс-серверы

Физические факс-аппараты и МФУ (многофункциональные устройства). При отправке документа факс-аппарат сканирует оригинал построчно и превращает его в растровое изображениеbsi.bund.de. Это изображение может временно сохраняться в памяти устройства. Современные факсимильные аппараты и МФУ часто оснащены внутренней памятью (RAM/флеш) или даже жёстким диском для обработки задач печати/сканирования/факса. В результате в устройстве могут оставаться копии отправленных документов. Например, некоторые МФУ HP хранят в энергонезависимой памяти до ~250 страниц полученных факсов, которые не удаляются автоматически даже после печатиmanualsdump.com. Аналогично, отправленные факсы могут кэшироваться в памяти на случай повторного дозвона или для отчёта о передаче. Если устройство не очищает память, злоумышленник, получив доступ к нему (или изъяв носители памяти), может восстановить остаточные данные факсаbsi.bund.de. Кроме того, МФУ хранят служебные журналы отправки – список набранных номеров, время и статус передачи, число страниц и пр. (но обычно без изображения содержимого). Эти лог-файлы также являются копией метаданных факса и могут храниться до очистки памяти или сброса устройства.

Факс-серверы. В корпоративных сетях отправка факсов нередко осуществляется через факс-сервер – программно-аппаратный комплекс, принимающий документы от пользователей (например, из очереди печати или по электронной почте) и передающий их по телефонной линииbsi.bund.debsi.bund.de. Факс-серверы сохраняют электронные копии отправленных факсов на своих дисках по крайней мере до успешной доставки адресатуbsi.bund.de. Отправляемый документ обычно конвертируется в графический файл (например, TIFF) и помещается во временное хранилище (спул) факс-сервера. Такой файл хранится до завершения дозвонов и подтверждения, что факс доставлен. Если отправка не удалась, копия может храниться дольше (например, ожидая повторной попытки или ручного вмешательства). Помимо этого, операционные системы факс-серверов создают временные файлы и файлы подкачки, где также могут оставаться фрагменты факсовbsi.bund.de. Факс-серверы обычно ведут подробные логи всех отправлений, включая номер получателя, время, продолжительность, результат, а иногда и миниатюры страниц.

Важно, что факс-серверы зачастую настроены на архивирование отправленных документов. Согласно рекомендациям BSI (Федерального ведомства по безопасности информационных технологий Германии), факс-серверы легко интегрировать с системами электронного архива: полученные или отправленные ими документы могут автоматически сохраняться для последующего доступаbsi.bund.de. Например, факс-сервер может сам архивать копии всех исходящих факсов или передавать их в систему документооборота. Если политика организации этого не запрещает, такие копии могут храниться длительно (до ручного удаления или согласно регламенту). BSI прямо указывает на необходимость регулировать сроки хранения и своевременное удаление факсимильных данных – не нужные факсы следует удалять с сервера без задержкиbsi.bund.debsi.bund.de.

Принимающая сторона: факсимильные аппараты, «fax-to-mail», почтовые ящики, серверы

Традиционные факс-аппараты (на стороне получателя) обычно сразу печатают входящий факс на бумаге, не сохраняя его в длительное цифровое хранилище. Однако и здесь практически всегда есть временная память: аппараты буферизуют данные приема, а некоторые модели поддерживают «память факсов». Например, если закончилась бумага, устройство сохранит факс в памяти до печати. Многие современные аппараты позволяют повторно распечатать последние принятые факсы из памяти. Как отмечалось выше, объем встроенной памяти может быть значительным – сотни страницmanualsdump.com. Такие хранимые изображения факсов часто не удаляются автоматически после вывода на бумагуmanualsdump.com; они остаются в энергонезависимой памяти, пока не будут перезаписаны новыми данными или вручную очищены. Следовательно, полученный факс может фактически существовать в трёх видах: на бумажном носителе (распечатка), в памяти устройства (до очистки) и в виде журнала (запись о факсе). Если аппарат имеет жёсткий диск, на нём тоже могут накапливаться сканы факсов и копии заданий. При неправильно настроенной очистке или при продаже/утилизации такого устройства велика опасность утечки данных из оставшихся на носителе факсимильных образовbsi.bund.de.

Системы «fax-to-mail» и факс-почта. Сегодня получатель нередко отказался от физического факса в пользу услуг, пересылающих факсы на электронную почту. В этом случае входящий факс на стороне оператора или сервера конвертируется в файл (TIFF, PDF) и отправляется на указанный почтовый ящик. Такая схема удобна, но означает, что копия факса хранится как электронное письмо. Данные проходят через почтовые серверы и лежат в почтовом ящике получателя, потенциально неограниченно долго (пока пользователь не удалит письмо). Формат обычно PDF или изображение TIFF – факс становится вложением email. Регуляторы по защите данных обращают внимание, что отправитель факса теряет контроль над тем, как хранится полученный документ: факс переходит в среду электронной почты, которая может быть нешифрованнойdr-datenschutz.de. Например, в Германии отмечалось, что МФУ с факс-функцией и факс-серверы массово заменили классические аппараты, преобразуя входящие факсы в email; при этом отправитель не может обеспечить шифрование этих писем, поэтому конфиденциальность факса не гарантироваnadr-datenschutz.de. Иными словами, факс, доставленный в почтовый ящик, эквивалентен незащищённому электронному письму по уровню риска. Такая корреспонденция может храниться на почтовых серверах в открытом виде, попадать в резервные копии и быть доступной администраторам почты или провайдерам услуг, если не приняты дополнительные меры (шифрование E2E, защищённое хранилище и т.д.).

Факс-серверы на стороне получателя действуют аналогично: организация может использовать сервер, принимающий факсы по линии или по IP и сохраняющий их как файлы. Эти файлы либо сразу пересылаются адресату (например, сотруднику – по электронной почте), либо размещаются во внутреннем хранилище/базе данных. Во многих случаях входящие факсы централизованно архивируются. BSI указывает, что полученные факсы на сервере удобно архивировать – либо средствами самого факс-сервиса, либо через интеграцию с системой электронного архива или groupwarebsi.bund.de. Поэтому на стороне получателя часто настроено автоматическое хранение копий всех входящих факсов (в папке на сервере, в базе, каталоге SharePoint и пр.). Срок хранения зависит от политики: некоторые системы чистят старые факсы через определенное время, другие хранят бесконечно, если не удалить вручную. В почтовом ящике пользователя факс-вложения также могут храниться годами, если не удалять; к тому же организации нередко делают бэкапы почтовых серверов, создавая дополнительные копии.

Облачные хранилища и сервисы. В некоторых случаях факсы по прибытию могут автоматически сохраняться в облаке – например, интеграция «fax-to-cloud», когда сервис размещает PDF факса в Dropbox/Google Drive либо пользователь сам загружает. Такие копии хранятся на сторонних серверах, обычно без автоудаления. Таким образом, полученный факс может существовать сразу в нескольких местах: на факс-аппарате (бумага + память), на сервере-посреднике (если был преобразован), на почтовом сервере, на устройствах получателя (если он скачал/распечатал), в резервных копиях этих систем и т.д. В каком виде – чаще всего это скан-образ (TIFF/PDF) или бумажная копия; текстовой версии факса обычно нет (если только получатель не применит OCR распознавание сам). Как долго – зависит от носителя: бумага хранится до уничтожения; память устройства – до переполнения или очистки (может хранить последние факсы, пока не будет отключено питание или не стёрто вручную); электронная почта и серверы – потенциально неограниченно, если не заданы сроки удаления. Ряд официальных рекомендаций советуют устанавливать сроки удаления факсов: например, удалять факсимильные данные с серверов сразу после утраты необходимости в нихbsi.bund.debsi.bund.de, чтобы минимизировать объем копий.

Также следует учесть, что на принимающей стороне возможны бумажные архивы: многие получатели хранят распечатанные факсы в папках как официальные документы. Если факс дублируется электронным образом (например, пришёл на email и был распечатан), то количество копий возрастает: один экземпляр на бумаге, другой – в электронном архиве, третий – во входящих письмах и т.д.

Наконец, доступ к полученным факсам – отдельная проблема. Если факс-аппарат стоит в общем отделе, бумажные копии входящих факсов доступны любому сотруднику, пока их не заберёт адресатdr-datenschutz.de. Это не цифровое хранение, но фактическое наличия копии в лотке принтера, представляющее риск утечки.

Промежуточные узлы: VoIP-провайдеры, шлюзы, облачные eFax-сервисы

При передаче факса между отправителем и получателем могут участвовать промежуточные системы:

• Телефонные/VoIP провайдеры и шлюзы. В классической аналоговой телефонной сети (PSTN) факс передаётся напрямую по коммутируемым линиям и не хранится у оператора – данные идут в режиме реального времени без записи. Оператор фиксирует лишь служебные данные (номер А, номер Б, длительность вызова) для биллинга. Однако с переходом на цифровую телефонию (VoIP) факсимильный трафик всё чаще идёт через интернет. Протокол Fax over IP (FoIP), в частности T.38, обеспечивает передачу факса в виде пакетов данных. Во время такой передачи могут задействоваться SIP-серверы, маршрутизаторы и шлюзы провайдера, которые буферизуют поток факсимильных данных, адаптируя его к сети. Как правило, эти буферы кратковременны (хранят несколько кадров/пакетов для коррекции jitter или повторной передачи утраченных пакетов) и не предназначены для долговременного хранения изображения факса. После доставки факса буфер очищается. Тем не менее, возможность промежуточной записи существует: если соединение проходит через общедоступный интернет без шифрования, злоумышленники могут перехватить и сохранить пакетированный факс-трафик (например, с помощью сниффера)dr-datenschutz.de. Также сам VoIP-провайдер при желании способен логировать содержимое – т.е. записывать факсовый сеанс, поскольку факс передаётся зачастую как обычный поток RTP. По заявлению Баварского Landesdatenschutz (Arbeitspapier BayLDA), при VoIP-транзите провайдер технически имеет возможность ознакомления с содержанием факса, если трафик не зашифрованdr-datenschutz.de. В нормальной работе операторы этого не делают, но диагностические записи (трассировки) могут создаваться при настройке или проблемах – они могут содержать части факсимильных данных. Таким образом, промежуточные узлы сети обычно не хранят полных копий факсов, но существуют риски перехвата и незаметной записи транзитных данных.
• Облачные fax/eFax-сервисы. Это сторонние сервисы, полностью берущие на себя отправку и получение факсов через интернет. Пользователь, по сути, доверяет свои документы этому сервису. Облачный сервис выступает в роли факс-посредника, принимая факс от отправителя (например, через веб-интерфейс или по email) и пересылая получателю, либо принимая по телефонному номеру факс для клиента. Поскольку вся обработка цифровая, такие сервисы неизбежно сохраняют копии факсов по крайней мере временно – на своих серверах или в облачном хранилище. Например, поступивший факс может сохраняться на сервере до тех пор, пока сервис не доставит его клиенту (по электронной почте или через личный кабинет). Многие облачные факс-провайдеры также предлагают автоматический архив: в личном кабинете пользователя доступны все отправленные и полученные факсы, как в почтовом ящикеgetvoip.com. Это удобно (можно в любой момент заново скачать документ), однако означает, что сервис хранит изображения факсов на своих серверах до удаления аккаунтом. Некоторые провайдеры заявляют о ограниченном хранении: например, сервис eFax (enterprise-версия) утверждает, что «не сохраняет содержимое факсов на сервере, кроме случаев, когда клиент сам включил функцию хранения»enterprise.efax.eu. По умолчанию они хранят только технические данные и транзитно пересылают факс как изображение, без архивирования контентаenterprise.efax.eu. Тем не менее, даже если такой сервис не оставляет копию после доставки, факс временно находится на сервере в процессе передачи. Кроме того, потребительские версии облачных факсов обычно хранят факсы в аккаунте пользователя (как минимум до определенного срока или пока сам пользователь не удалит). Например, многие провайдеры соответствуют требованиям законодательства (HIPAA, GDPR и т.п.), вводя шифрованное хранилище и политику очистки, но до очистки файлы факсов лежат на серверах. Срок хранения варьируется: некоторые сервисы автоматически удаляют факсы старше N дней (если это настроено), другие – хранят бессрочно. Также ведутся журналы и аудиты: облачный сервис протоколирует кто, когда и куда отправил факс, отчет об успешности, и эти логи могут сохраняться длительно как часть аудита услугиenterprise.efax.eu.
• Шлюзы (T.38-шлюз, почтовые шлюзы). Существуют и гибридные узлы – например, факс-шлюз, который может принять факс и сохранить его для последующей передачи (режим Store-and-Forward, протокол T.37). В случае если факс-пересылка настроена через такой шлюз, факсимильное сообщение архивируется на промежуточном сервере, а затем пересылается адресату (по электронной почте или по факсу далее). Такие решения применяются реже, но потенциально факс может «застрять» и сохраниться на узле-посреднике, если конечный получатель недоступен. Тогда промежуточный сервер будет пытаться доставлять повторно, удерживая копию до успеха или истечения срока очереди.

В итоге, традиционные телеком-узлы (АТС, VoIP-транковый сервер) обычно не сохраняют факсы как файлы, тогда как облачные факс-сервисы почти всегда имеют копию в своем облаке. Последние стремятся защитить такие данные: например, шифруют хранилище, размещают в защищенных дата-центрах (Tier III/IV) и ограничивают доступ персоналаenterprise.efax.euenterprise.efax.eu. Но с точки зрения конфиденциальности пользователь должен понимать: используя eFax, он доверяет копии своих документов третьей стороне.

Уязвимости, связанные с хранением факсов

Хранение факсимильных сообщений на любых носителях несёт риски. Основные уязвимости:

• Автоматическое кэширование данных. Множество устройств и программных систем кэшируют факс-изображения без ведома пользователя. Примеры: МФУ создает копию документа на жёстком диске для спула печати; операционная система факс-сервера выгружает фрагменты факса в файл подкачки RAMbsi.bund.de; VoIP-шлюз буферизует пакеты факса в памяти. Такие кэши могут сохраняться дольше, чем предполагается, особенно если устройство неожиданно выключилось (кеш не очистился) или сбой привел к сохранению временного файла. Злоумышленник, получив доступ к системе, может извлечь эти данные. Например, на жёстких дисках МФУ остаются сотни отсканированных документов (в т.ч. факсов), если не применено специальное стирание – случаи утечек при продаже б/у копировальной техники хорошо задокументированы. Fax-кэш опасен тем, что пользователь думает будто документ лишь “проходил” через систему, а на деле он сохранился копией.
• Неполное удаление данных. Даже если факс удалён, это не всегда означает уничтожение копии. «Удаление» может означать лишь снятие из очереди или пометку файла. Остаточные изображения часто остаются на носителе до перезаписи. BSI предупреждает, что после отправки/приёма факса на устройстве могут сохраняться фрагменты информации, которые при анализе носителей восстанавливаютсяbsi.bund.de. Например, факс-сервер может сохранять копию до подтверждения доставки и не удалить её автоматически впоследствии. Или МФУ хранит факс в памяти для повторной печати и держит его до заполнения памяти новыми данными. Кроме того, резервные копии (backup) серверов могут содержать факсы, даже если оригинал удалён. Уязвимость усугубляется, если не реализованы политики очистки: регуляторы требуют устанавливать регламенты удаления, чтобы факсы не хранились дольше необходимого bsi.bund.debsi.bund.de. Неполное удаление ведёт к тому, что считав носитель или восстановив удалённые файлы, злоумышленник получит доступ к, казалось бы, стертым документам.
• Доступ третьих лиц. Копии факсов должны быть защищены от несанкционированного доступа, однако на практике уязвимости организационные и технические часто позволяют посторонним прочитать факсы. Классический пример – изъятие распечатанного факса со стойки принтера чужим человеком dr-datenschutz.de. Также известны случаи удалённого доступа: многие МФУ/fax-аппараты имеют функции дистанционного администрирования, нередко с паролем по умолчанию. Без должной защиты злоумышленник может подключиться к факс-аппарату по телефону или сети и извлечь из его памяти полученные/отправленные факсы или адресную книгу. Эксплойт FaxSploit (2018 г.) продемонстрировал возможность отправкой специально сформированного факс-изображения получить контроль над факс-модулем МФУ и проникнуть во внутреннюю сетьtelnyx.comtelnyx.com. То есть сам факт хранения факса в памяти устройства делает его мишенью для атакующих, если есть удалённый доступ. Не стоит забывать и о человеческом факторе: сотрудники оператора связи или облачного сервиса при злоупотреблениях могут просматривать факсы клиентов, если нет должного контроля. Поэтому разграничение доступа и шифрование (см. ниже) критически важны.
• Отсутствие шифрования при хранении. Многие традиционные факс-устройства и простые факс-серверы хранят данные в незашифрованном виде. Если злоумышленник получит физический доступ к носителю (например, извлечёт HDD из МФУ или взломает сервер), файлы факсов можно прочитать напрямую. Аналогично, факсы, сохранившиеся в виде email на почтовом сервере, часто лежат без шифрования (если не используется например S/MIME). Отсутствие шифрования на стороне хранения противоречит принципам безопасности персональных данных – так, немецкие регуляторы указали, что передача персональных данных факсом без соответствующих защит (шифрования) может нарушать требования GDPR по сохранности конфиденциальности dr-datenschutz.de.
• Современные решения стараются устранить эту уязвимость: облачные факс-сервисы шифруют данные «в покое» (at rest) на своих серверах enterprise.efax.eu, а производители МФУ вводят опцию шифрования диска (AES-256) и стирания временных файлов после каждого задания.
• Однако, если такие меры не задействованы, копии факсов на дисках и в облаке представляют собой «легкую добычу» при компрометации системы.

Различия: аналоговые факсы vs FoIP (T.38) vs облачные eFax-сервисы

С точки зрения хранения копий имеются существенные различия между традиционными аналоговыми факсами, факсами по IP и облачными fax-сервисами:

• Аналоговые факсимильные аппараты (PSTN). Обмен идёт напрямую между двумя устройствами по телефонной линии, без промежуточного цифрового хранения. Факс сканируется на отправителе и почти сразу печатается у получателя. Копии могут сохраниться только на самих устройствах: в памяти отправителя (отсканированный образ) или получателя (буфер для печати, журнал) – см. выше о МФУ. В сети оператора факс не остаётся (нет серверов, только коммутаторы). Таким образом, аналоговый факс менее подвержен утечкам через третьих лиц по пути. Однако данные не шифруются и передаются «по проводам» открыто, поэтому при специальном подключении к линии их можно перехватить (прослушать факс-модем) dr-datenschutz.de. В плане хранения: аналоговые аппараты обычно имеют ограниченную память, и старые модели могли очищать буфер сразу после успешной печати uslegalforms.com. Тем не менее, современные факсы сохраняют много информации (контакты, последние факсы и т.д.), поэтому при их ликвидации требуется так же очищать память. Итог: у аналогового факса копии документов хранятся локально (память, бумага), а утечка возможна либо физически (бумага, устройство), либо через прослушивание линии во время передачи.
• Факсы по IP (FoIP, протокол T.38/G.711). Здесь факс-данные передаются через IP-сеть. Особенность №1 – часто используется факс-сервер или IP-шлюз, то есть факс изначально в цифровом формате. Например, факс-сервер получает документ от пользователя (PDF) и отправляет по T.38; на выходе у получателя факс-сервер сохраняет TIFF и шлёт на принтер. Поэтому при FoIP обычно существуют цифровые копии на серверах организации. Даже если факс-аппарат «internet-aware» напрямую шлёт T.38, у него в памяти всё равно есть отсканированное изображение. Особенность №2 – данные проходят через инфраструктуру оператора: как минимум через SIP-серверы. Хотя они не сохраняют файл факса, сам трафик идёт через несколько узлов (в отличие от аналогового, где по сути точка-точка через АТС). Каждый промежуточный IP-узел – потенциальная точка уязвимости, где факс может быть скопирован (перехвачен) или случайно залогирован. При FoIP нередко конечным получателем служит почтовая система (fax-to-mail), т.е. факс преобразуется в электронное письмо и сохраняется на почтовом сервере dr-datenschutz.de. В итоге с точки зрения хранения FoIP ведёт к увеличению числа цифровых копий: на серверах отправителя/получателя, в почте, в архиве факс-сервера и т.д. С другой стороны, FoIP позволяет легко внедрить шифрование связи (например, VPN между офисами, TLS для SIP-транка) и другие меры защиты. Протокол T.38 сам по себе не шифрован, но может работать через VPN/TLS. В плане безопасности хранения FoIP внутри организации даёт контроль: администратор может включить шифрование дисков на факс-сервере, настроить очистку, в то время как при аналоговом факсе многое “зашито” в устройстве. Вывод: при FoIP копии хранятся преимущественно в корпоративной ИТ-системе (серверы, почта) и должны защищаться как обычные цифровые данные (резервное копирование, шифрование, ограничения доступа).
• Облачные eFax-сервисы. Здесь факс целиком обслуживается внешним провайдером через интернет. Любое переданное через eFax сообщение будет находиться в облаке, пусть даже кратковременно. В отличие от прямого FoIP, где данные идут от отправителя к получателю, в eFax всегда есть промежуточный пункт хранения – сервер провайдера, принимающий факс. Даже если провайдер утверждает, что не хранит контент постоянно, факс физически записывается на его диск на время передачи enterprise.efax.eu. Кроме того, большинство облачных сервисов предлагают веб-интерфейс, в котором факсы списком – это значит, копии хранятся в аккаунте. По умолчанию такие сервисы обычно шифруют связь и сами данные: соединение HTTPS, хранилище с AES-256 и т.д. enterprise.efax.eu. Но пользователь ограниченно влияет на эти процессы – он доверяет безопасность хранилищ провайдера. Копии факсов в облаке могут реплицироваться (для отказоустойчивости сервиса провайдер держит несколько копий на разных дата-центрах). Плюс, как и email, облачный факс может попадать в резервные копии провайдера. Сроки хранения определяет политика сервиса: некоторые автоматически удаляют через 30-90 дней, другие хранят пока сам пользователь не очистит архив. Таким образом, при облачном факсе копий обычно больше всего: на стороне отправителя (скан в МФУ), на сервере провайдера (в транзите и архиве), на стороне получателя (email или скачанный файл). Сильная сторона – провайдеры реализуют современные методы защиты (шифрование при хранении, контроль доступа, аудит действий enterprise.efax.eu). Слабая сторона – централизация: большое количество факсов разных клиентов хранится у одного держателя, что при уязвимости или инсайдерской атаке создает риск утечки сразу большого объёма данных.

Вывод: традиционный аналоговый факс минимизирует электронное хранение (копии в основном локальные), FoIP повышает удобство и интеграцию с ИТ, но добавляет точки хранения в цифровой среде, а облачные факсы максимизируют цифровое хранение (в обмен на гибкость и возможности удалённого доступа), требуя доверия провайдеру и сильных мер безопасности с его стороны. При использовании любого вида факса важно проводить политику безопасного хранения: очищать память устройств, шифровать хранилища, ограничивать доступ к факсимильным журналам и своевременно уничтожать лишние копии

bsi.bund.debsi.bund.de.

Это поможет снизить риски, связанные с нежелательным сохранением факсимильной информации на всех этапах передачи.

Источники:

BSI (Германия) – рекомендации по безопасности факсов

bsi.bund.debsi.bund.debsi.bund.de;

разъяснения регуляторов по защите данных (Bremen LfD, Hessen, Thüringen) об угрозах факсимильной передачи

dr-datenschutz.dedr-datenschutz.de;

материалы производителей и сервис-провайдеров (HP, eFax) о хранении факсов

manualsdump.comenterprise.efax.eu.