Привет! Меня зовут Петр, я начал свой путь 1С разработчика в 2021 году, и за почти 5 лет стажа успел поработать в самых разных компаниях: с крупным бизнесом, корпорациями и даже государственными структурами. Все большие проекты, на которые меня выводили, были похожи друг на друга. Большая команда, 3–4 контура, автотестирование и т.д. всегда масштабно! Но к моему удивлению даже на таких больших проектах зачастую халатно относились к защите данных! Но были проекты, на которых данные клиента были защищены на очень достойном уровне.

Из своего опыта и опыта моих коллег, я пришел к такому тезису: если не защищать данные — могут поставить под угрозу бизнес и пользователей.

ТОП-3 негативных кейса из моего опыта

1. Устаревшие версии 1С. Если мы обратимся к статистике за 2024 год, то увидим там следующее: хакеры взломали более 200 компаний через дыру в старых версиях. Я лично столкнулся с последствиями такого взлома — восстановление стоило компании порядка 4 млн рублей, а обновление могло бы занять несколько дней, но в таком случае компания бы избежала таких неприятных последствий.

2. Облачные иллюзии. Сейчас все чаще разработка с компьютеров уходит на сервера, и для клиентов это создает ложное чувство надежной сохранности данных. Клиент считает: «Раз мы в облаке — значит, мы в безопасности!» А через неделю его базу украли — MFA не был настроен.

3. Человеческий фактор. Пароли или пути к базам — это тема, заслуживающая отдельной статьи! Очень часто их пересылают просто личными сообщениями Telegram или же пересылают по незащищенным каналам связи. А про пароль 12345Qwerty, я думаю, и говорить не стоит. При взломе такого аккаунта все данные могут попасть к мошенникам — и пострадает не только человек, но и компания

После всех этих историй мне захотелось поделиться своим опытом. Давайте по-честному: в современном бизнесе данные — это как деньги в сейфе. Финансовые отчеты, базы клиентов, внутренние документы — если это утечёт, последствия могут быть катастрофическими. В этой статье я постараюсь без воды и в доступной манере повествования рассказать, как защитить вашу базу данных 1С от самых распространенных угроз.

Основные угрозы

1. Данные утекают — сотрудник по ошибке отправил файл не тому человеку или хакеры вытянули информацию через дыры в защите.

2. Взломы — злоумышленники постоянно ищут лазейки в программах и сетях, чтобы пробраться в ваши базы. Например, последний кейс с кибератакой на 12Storeez, через уязвимость в 1С

3. Свои же подводят — обиженный уволенный или недовольный текущий сотрудник может специально навредить или же продать данные конкурентам.

4. Просто теряется — случайно удалили, обрушили сервер, жёсткий диск посыпался. Неприятно? Ещё бы!

Но есть хорошая новость: всего этого можно избежать. Делюсь способами, которыми я пользовался или же пользовались мои коллеги в своей практике.

Обезличивание данных

1. Локальные базы данных 1С Зачем? Защищает содержимое от несанкционированного доступа. Даже если злоумышленник получит физический доступ к файлам базы данных, он не сможет прочитать их, так как все будет обезличено. Как? Самый простой вариант — это написать простенькую обработку, которая пробежится необходимым объектам метаданных и заменит там наименования и все прочие персональные данные по маске, заложенной в алгоритме обезличивания. Код весьма простой, справится даже джун.

Или же можно купить готовую обработку, благо таких много на просторах интернета:

1. Выбрать ДТ для обезличивания.

2. Запустить на нем обработку и привести базу в обезличенный вид.

3. Тиражировать данные ДТ в контуры разработки и теста.

Важно: работа с обезличенными данными вносит некоторые неудобства как для разработчика, так и для аналитика. Не все задачи возможно выполнить на таких базах, но для таких задач, которые требуют точные данные, существуют контуры предпрода и продлайна.

Данный способ защиты данных является весьма надежным и не требовательным к ресурсам.

2. Резервные копии данных

Вся «кухня» бизнеса хранится в ваших резервных копиях: бухгалтерия, персональные данные клиентов, договоры и прочие важные данные. Не зашифровать их — это как оставить пароли на экране блокировки вашего ПК. Шифрование превращает эти данные в бессмысленный набор символов для любого, у кого нет специального ключа. Украдут внешний жесткий диск или взломают облачное хранилище — а ваша информация останется в безопасности. Для шифрования резервных копий можно использовать сторонние инструменты, такие как BitLocker или VeraCrypt.

BitLocker — это как надежный сейф, встроенный прямо в Windows. Он умеет защищать и целые диски, и отдельные папки. Вот как им пользоваться для резервных копий 1С:

1. Создаете стандартный backup вашей базы.

2. Перемещаете этот файл на диск или в папку, которую будете шифровать.

3. Включаете BitLocker для этого хранилища.

VeraCrypt — это бесплатная программа с открытым кодом, которая превращает любой диск или файл в защищенную крепость. Работает, даже если у вас нет BitLocker (например, на Windows Home). Установка займет 2 минуты:

1. Скачиваете с официального сайта, ставите как обычную программу

2. Создаете хранилище: можно зашифровать целый диск или сделать контейнер — специальный файл-сейф (удобно для облака).

3. Копируете backup-ы баз 1С: Предприятия в хранилище.

Пример из практики моего коллеги: клиент хранил резервные копии на внешнем жестком диске. Когда его украли, злоумышленники смогли зайти в систему... но все файлы в VeraCrypt выглядели как бессмысленный мусор. Персональны данные спасены!

Важно: не теряйте пароль! Если забудете пароль — данные не восстановить. Это особенность, а не баг. Храните пароль так же бережно, как ключи от сейфа.

3. Сетевые соединения между сервером и клиентами

Если ваши данные не зашифрованы при их перехвате, в сетевых соединениях, вся информация попадет к злоумышленникам. Чтобы предотвратить такую ситуацию необходимо шифровать трафик.

При интеграции с внешними системами данные из 1С:Предприятие не должны отправляться как «голые» записки, ниже я описал последовательность действий для того чтобы поставить на них «броню»:

1. Достаньте «паспорт» для сервера. Берите сертификат у проверенных организаций. Совет: если тестируете локально, можно создать самоподписанный сертификат, с помощью OpenSSL.

2. Установите защиту на сервер. Перенесите полученный сертификат на сервер с 1С. Совет: для удобной установки на Windows можно использовать оснастку certmgr.msc.

3. Настройте веб-сервер. Для IIS: привязываем сертификат к сайту в «Привязках SSL». Для Apache: прописываем пути к сертификату в httpd.conf. Важно: выбирайте алгоритм TLS 1.2/1.3, он совместим со всеми современными веб-технологиями и уже зарекомендовал себя.

4. Переведите всех на HTTPS. Поменяйте в клиентах адрес подключения с http:// на https://. Совет: можно настроить автоматическое перенаправление на сервере.

На что стоит обратить внимание:

• производительность — современные сервера почти не теряют в скорости (разница 3-5%);

• тонкий клиент — особенно критичен HTTPS, без него пароли летят открытым текстом.

Часто забывают обратить внимание на срок годности сертификата, а он может блокировать всю работу. Приведу пример из собственной практики: в небольшой компании сотрудники подключались по незашифрованным каналам. В один момент, стали фиксироваться множественные фантомные подключения, скорее всего мошенники или бывшие сотрудники. Было принято решение настроить TLS. После его настройки все фантомные ошибки исчезли, а сотрудники спокойно работали из дома на удаленке, и в то же время аудит безопасности прошёл без нареканий.

Без SSL ваша база данных — как квартира с прозрачными стенами. Настройка занимает несколько часов, а защищает на годы.

Настройка прав доступа

Один из ключевых элементов по защите данных — ограничение прав доступа. Ниже опишу несколько советов по правам доступа и настройке ролевой модели.

1. Принцип минимальных привилегий («Швейцарский сыр»).

• Казначею — только раздел «Казначейство/Бюджетирование», а не весь управленческий блок ERP.

• Менеджеру по продажам — доступ к контрагентам, но не к себестоимости товаров.

Как пример, в компании в которой я работал, стажер имел права администратора «на всякий случай». В результате — он случайно удалил слепок рабочей базы клиента, из-за чего разработка встала на пару дней. Все кончено восстановили, но и права стажеру ограничили.

Совет: используйте профили групп доступа. Создайте свои или дополните базовые профили, например «Кассир» или «Менеджер» — это экономит часы настройки.

2. Ревизия доступов — как генеральная уборка. Раз в квартал или после масштабных обновлений проверяйте, какие профили нужно актуализировать, что нужно дополнить, кто реально работает в системе, а кто уже покинул компанию и его пользователя можно удалить из системы.

Совет: используйте временный доступ для подрядчиков и для внешних пользователей, устанавливайте срок действия учетной записи, и запрет на смену пароля.

Также делюсь своим чек-листом аудита: • удалить учетные записи уволенных сотрудников; • проверить «спящие» аккаунты; • убрать избыточные права (использую отчет о правах пользователей).

3. Двухфакторка — ваш «двойной замок». Стандартная схема: пароль + SMS/Google Authenticator. Альтернатива: Биометрия (отпечаток/face ID) в мобильном приложении 1С.

Тут хотелось бы отметить, что лучше не использовать номера телефонов ваших сотрудников, для отправки им SMS с кодом, так как возможна атаки через SIM-свопинг (создание дубликата сим карты). Использование биометрии тут выглядит более привлекательным вариантом, но на корпоративных ноутбуках, часто заблокирован сканер отпечатков пальца, а сценариев, где нужно подключаться через телефон не так много.

Поэтому самый лучший вариант это использование специализированных программ, к примеру, Google Authenticator, он генерирует код из 6 цифр и обновляет его каждые 30 секунд.

Регулярное обновление программного обеспечения

Работать на устаревших версиях 1С: Предприятие — это проблема, которая носит накопительный характер. Чем дольше мы откладываем обновление, тем больше потенциальных уязвимостей накапливается в нашей системе. Злоумышленники выискивают так называемые «дыры» в системе и стараются выяснить насколько устаревшее программное обеспечение используют компании - «цели». Обновления, часто носят характер «заплатки» для уязвимостей, о которых мошенники уже знают, или же узнают в ближайшем будущем. Более 20 компаний пострадали от рук мошенников в 2023 году — большинство из них откладывали обновление. Виною тому был баг в 1С 8.3.18.

Последствия таких происшествий всегда неутешительные: согласно федеральному закону «О персональных данных», это и штрафы для юридических лиц, и уголовная ответственность для физических, не говоря уже об огромных компенсациях. Обновлять ПО вовремя — это не просто рекомендация, а важнейшая мера поддержания информационной безопасности, и залог повышения устойчивости системы ко внешним атакам злоумышленников.

Что нужно обновлять? • 1С: Предприятие (особенно — если версия старше 2-3 лет). • Операционную систему сервера (Windows/Linux). • Сопутствующий софт (СУБД, веб-серверы, антивирусы).

Как сделать обновления безболезненными

1. Сначала обновляем копию информационной базы в тестовых и предпродовских контурах. Проверяем работу основных бизнес-процессов и самых нагруженных цепочек событий в вашей системе.(При необходимости можно подключить пользователей для определения ключевых БП, или же воспользоваться логированием). Помните, тестовая среда — ваш полигон, ошибиться в ней не так страшно, как ошибиться на продуктовой базе.

2. Планируем время обновления на период минимальной нагрузки (ночь или выходные, но бывают и исключения, все зависит от специфики работы бизнеса). Всегда делаем информирующую рассылку: «Где, когда и что» будет обновляться, чтобы для пользователей это не было сюрпризом. Применять практику «Тихие часы» для обновления тоже весьма полезно. 3. Автоматизируйте свои обновления, не стоит руками обновлять десятки баз, для таких целей существуют конвейеры. Настройте конвейеры на ночное обновление с рассылкой на почту об их завершении, или же об ошибках в ходе обновления.

Более подробно про обновление рассказал мой брат и коллега в статье «Цена промедления: почему важно обновлять 1С ERP вовремя»

Антивирусное ПО и межсетевые экраны

Ваш сервер 1С можно сравнить со средневековой крепостью, антивирус с вооруженной охраной у ворот, а firewall — словно защитные рвы и сооружения. Для надежной защиты все эти три составляющие должны работать в плотной связке, только тогда ваши данные будут в полной безопасности.

Топ 3 антивируса для бизнеса: Kaspersky Endpoint Security, ESET, Dr.Web.

Главное при использовании антивирусного ПО — не забывать про обновления и правильно организовывать структуру папок на сервере. Установили и забыли. Антивирусы могут «замедлять» работу пользователей и фоновых процессов. Для последнего есть решение: в компании, для которой я делал доработки, антивирус «съедал» до 30% - 40% производительности сервера, поэтому архитектуру папок сделали такой, чтобы можно было настроить их проверку более гибко. Как пример, нет смысла проверять папки с временными кэшами — поэтому их антивирус пропускал. И производительность не страдает, данные под защитой.

Основные правила: блокируем все незащищенные подключения из интернета к 1С, разрешаем только доступ из корпоративной сети/VPN и блокируем подозрительные страны, чаще всего это Китай, Нигерия и др.

Совет: почаще проверяйте логи: Кто пытался подключиться? Сколько раз? Это разовая попытка или систематическая атака? Обладая этой информацией вы сумеете предотвратить большинство атак.

Резервное копирование

Представим такую ситуацию: ваш сервер 1С «умирает», и признаков жизни не подает. Есть два пути развития дальнейших событий: вы скажете: «У нас есть свежий backup», — вы герой! «Надеюсь, что-то сохранилось в предпродах», — вы в беде. Правила резервного копирования

1. Частота — все зависит от специфики бизнеса. В идеале — каждый день, если данные меняются активно, можно и несколько раз в день. Если же данные изменяются не очень активно, то минимум — раз в неделю и перед обновлениями, можно и раз в месяц, если это совсем специфическая база которая почти не изменяется. Чтобы исключить человеческий фактор, настройте автоматическое копирование при помощи конвейеров.

2. Хранение — правило «3-2-1». Советую применять эту методику в таком виде: 3 копии данных, 2 разных носителя (например, другой сервер + облако), 1 копия в другом месте (не в офисе и не дома, а, например, в защищенной ячейке в банке или специализированном хранилище).

Если вы решили хранить все копии на том же сервере, что и продуктовая база — то это не backup, а самообман! Выносите хранение этих данных на отдельный сервер, предназначенный для backup-ов.

Контроль за сотрудниками

Если ваш сотрудник пишет пароль на стикере и клеит его на монитор, кликает на ссылку «Срочно! Пройдите опрос от HR» с пометкой [EXTERNAL] или копирует базу клиентов на флеш накопитель для работы из дома, то как бы надежно вы ни защищали свою систему, она остается в большой опасности из-за все более развивающейся социальной инженерии.

Как превратить команду из фактора риска в защитников

1. Обучение сотрудников — ключ к успеху. Раз в 3 месяца — короткий тренинг на 15-20 минут, без нудных лекций и сложных слов, лучший вариант в формате видео или наглядных презентаций. Пример вопросов, которые можно раскрыть в рамках таких тренингов:

1. Как распознать фишинг («HR просит срочно перейти по ссылке …»);

2. Почему пароль qwerty123 — это как ключ от квартиры под ковриком;

3. Что делать, если потеряли рабочий телефон с паролями и т.д.

Проверяйте как сотрудники усвоили изученный материал. Рассылайте тестовые фишинговые письма на корпоративную почту. Кто кликнет — проходит повторное обучение.

2. Мониторинг без паранойи. Что действительно стоит отслеживать в Тех. Журнале и чему следует уделить особенное внимание:

1. Массовые выгрузки данных (особое внимание на сотрудников перед увольнением);

2. Попытки подключения к системе ночью или с незнакомых IP-адресов;

3. Частые ошибки с вводом пароля (возможно, кто-то пытается подобрать?).

Лучший способ защиты данных — сделать так, чтобы сотрудники понимали всю важность этого и сами хотели их защищать. Не превращайте это в слежку — сотрудники должны комфортно себя чувствовать на рабочем месте, чтобы эффективно справляться со своими задачами.

Хороший бизнес строится на данных, как дом на прочном фундаменте. Не позволяйте этому фундаменту треснуть! Всегда применяйте комплексный подход к защите данных, используйте комбинацию организационных мероприятий (ограничение прав доступа, обучение сотрудников) и технических мер (шифрование данных, обновление программного обеспечения). Все эти меры значительно снизят риски потери информации.

Если у вас есть вопросы или дополнительные идеи — делитесь ими в комментариях!