Как известно в России предприниматели в связи с ФЗ-54 спешно выводят в онлайн свои кассовые аппараты и подключают к операторам фискальных данных через интернет.Часть этих предпринимателей представляют малые предприятия и точки обслуживания, которые не обладают ни техническим штатом ИТ специалистов, ни собственными знаниями в области ИТ.
Обязали? Значит подключаем.
Один знакомый попросил краем глаза посмотреть, что за проблемы происходят с недавно подключенной онлайн кассой. Техника тормозила и подвисала.
Для выполнения требования ФЗ-54 им был приобретен POS терминал, к которому подключен фискальный регистратор. Вывод данных шел, как водится, к оператору фискальных данных через Интернет.
Настройки производились, как выяснилось, поставщиком оборудования через тот же Интернет, посредством замечательной утилиты удаленной поддержки TeamViewer.
Подоткнули протянутый провайдером шнурок. Все заработало, все довольны.
Но что-то пошло не так.
Как выяснилось, внутри оборудования прячется windows xp embedded который начал светить стандартными windows портами прямо в сеть Интернет. Незамедлительно на терминале начала плодится разнообразная вирусная живность. Плодилась пока вычислительные мощности не просели и начались зависания.
В итоге, дополнительно был приобретен межсетевой экран и специальный антивирус который мог работать на данной версии XP, нанят разово человек который произвел нужные настройки, частная проблема небольшого предпринимателя была решена.
И теперь возникает вопрос? Почему так? Кто должен обеспечивать защиту? Производитель или предприниматель? А может оператор фискальных данных? Попытки найти требования к защите клиентской инфраструктуры при передаче налоговой отчетности, аля PCI DSS, ни к чему не привели.
Комментарии (47)
eisaev
06.10.2017 11:16+1Это вопросы не к производителю кассовой техники и не к оператору фискальных данных, а к тем рукожопам, которые занимались внедрением комплекса. ОФД — здесь вообще ничем не поможет, производитель не может закрыть всё на кассовой ОС, т.к. его же потом и задолбают тупыми заявками «а почему у нас XXX не может подключиться к YYY в интернете?». Внедренцы этим занимаются, а в крупных компаниях свои отделы, если компания не скатилась на оутсорс.
Spewow Автор
06.10.2017 11:36+1Тогда должны быть требования для внедренцев на законодательном уровне, «порядок» подключения касс к Интернету, где рассмотрены вопросы в том числе безопасности. Например через приказы ФСТЭК или постановлениями Правительства.
В итоге приходим к аккредитации, т.е не каждый вася по желанию может ставить кассы, а только специально обученный и с лицензией. А фирма, где работает вася, отвечает головой и деньгами за безопасность того, как внедрена касса.
Evgeshaz
07.10.2017 11:24Дело все в том, что с внедрением онлайн-касс законодатели как раз и пытались освободить конечного пользователя от рабства центров технического обслуживания (ЦТО), которые по сути брали плату за договор который «просто должен быть» не предлагая никакого сервиса. Без такого договора было невозможно поставить кассу на учет в налоговой. Особо совестливые ЦТО приходили раз в квартал и кисточкой обметали отсек с печатающей головкой, все прочие услуги в любом случае были за дополнительный прайс.
crompton
08.10.2017 00:36Освободить может и освободили, но цена за это освобождение заплачена очень дорогая.
cjava
07.10.2017 11:24Конечно же ЦТО раньше за что-то отвечали… Ага :-) Сейчас ЦТО в положении утопающего (они больше не нужны рынку в таком виде), и поэтому пытаются максимально получить прибыль, часто не совсем честными путями: «ККМ должны покупать только у нас», «Вам нужен договор на обслуживание с нами, иначе вас оштрафуют» и т.п. Компетентность в вопросах нового 54-ФЗ крайне низкая. Стоимость подключение кассы их специалистами была, мягко говоря, высокой. (у одних за простое подключение потребовали 10 000р.) А что происходило перед 1 июля!
Нет, должна быть нормальная здоровая конкуренция. А то будет получаться как у автора. Скорее всего бывшие ЦТО и производили первоначальную настройку.
По теме: виноваты горе-внедренцы, 54-ФЗ тут не при чем. Да, можно сколько угодно дискутировать за или против его применения, но там нет ни слова про необходимость подключения ПОС-терминала SMB портами напрямую к Интернет.
DarkDemon
06.10.2017 13:24Конечно виноваты внедренцы, есть ПО на базе Linux. Есть embeded решения. Да и XP можно перевести в режим read only. Возможно эти решения дороже в инсталляции. Но есть два аспекта на некоторые не нужны лицензии ОС и эти решения более стабильны.
EnigMan
06.10.2017 15:59+2Неясно, причем здесь внедренцы? Фактически предприниматель купил кассу (фактически черный ящик), чтобы соответствовать закону. Все, что от него нужно — воткнуть сетевой кабель, ввести адрес ОФД и зарегистрировать фискальный накопитель. Позаботится о безопасности должен был производитель кассового аппарата.
DarkDemon
06.10.2017 21:37Речь не о ККМ на 50-100 МГц процессоре с прошивкой которая проходит сертификацию, а о рабочем месте кассира — а это фактически хотелки конечного потребителя. Рабочее место может выпускать IBM, HP, корейцы, китайцы и т.д. с ОС или без неё. ПО для торговли в рамках российского рынка выпускают иные организации. Так вот собрать это все должен внедренец или конечный потребитель, на крайний случай производитель ПО для торговли. Например все в одном выпускают в моноблоке с кастомизированным android и встроеннной ККМ, но там уже ничего особо не поправишь в ПО.
tribesman
06.10.2017 11:21Вообще не понятно зачем эти кассы нужны, сделали бы просто API к ОФД провайдеру и отменили бы эти кассы вообще. А то получились, что плуг оставили а вместо быка трактор прицепили, можно было сразу на трактор пересесть.
DarkDemon
06.10.2017 21:45Уже есть такое нечто подобное так https://habrahabr.ru/company/tm/blog/331368/ правда пока для тех кто более интернет ориентирован. Потому как API в продовольственных магазинах пока не особо возможен по нескольким причинам: не стабильный интернет (соответственно не возможно торговать с API), не у всех есть электронная почта для принятия чеков, да и «кассир-бабушка» думаю мгновенно её не внесет на кассе.
pumbo
07.10.2017 11:25Так ККТ это и есть коробочка с API. Она должна быть подключена к интернету, чтобы отсылать данные в ОФД. А терминал (та штука с Windows на борту) вообще не должен иметь доступ в интернет.
tribesman
08.10.2017 09:45Так я и говорю, что не должно быть ни как х коробочек) любой сервер может больше чем эти коробочки), ну и легче админить 1 сервер чем сервер с коробочками)
Alozar
07.10.2017 11:25К ОФД обращается не кассовая программа, а сам кассовый аппарат, который просто подключен к компьютеру.
Не обязательно покупать готовую программу, с которой будет работать кассир, но тогда разработка ПО для работы с кассовым аппаратом ложится на бизнес, со всеми вытекающими затратами и рисками. Оно ему надо?
crompton
08.10.2017 00:51+1Вот да, раз уже назвали это «онлайн-касса», должен быть вариант кассы вообще без железа. Один вариант — онлайн-сервис для создания чеков, второй — API для отправки данных непосредственно из системы учета заказов. Но нет, так вот у них нельзя, обязательно должен быть кирпич стоимостью в 20-30 тысяч. Я так понимаю, разработчики этого законопроекта вообще не думали про работу интернет-магазинов и оплату цифровых товаров и услуг.
athacker
06.10.2017 11:30На вопрос, вынесенный в заголовок поста, ответ может быть только один — разумеется, ждать. А также следует ждать утечек информации и всего остального спектра. Да, и поддельных транзакций тоже.
Evgeshaz
07.10.2017 12:21Насчет транзакций позвольте не согласиться. В составе сообщения отправляемого ОФД при пробитии чека идет отправка так называемого «фискального признака документа». А он генерируется фискальным накопителем на основе ключей как прошитых в ФН на заводе, так и полученных от ОФД при активации накопителя на конкретную ККМ, а также содержимого чека. Собственно сертификация криптостойкости данных алгоритмов и позволяет ФСБ ограничить рынок производителей ФН путем невыдачи лицензий. Производть ФН в РФ было дозволено вначале одной организации, а потом еще двоим.
mike_y_k
06.10.2017 13:12-1Так при принятии решений наверху нет нужды в компетентности и заботе о пользователях — главное вовремя и бодро прокукарекать о завершении. А системный анализ, тестирование и прочие прелести им разве что по статьям в wiki известны.
Весь проект требует восстановления статус-кво и повторной итерации с проектированием и разработкой. Правда деньги уже отмыли, потребуется еще потрясти бюджет.
romxx
06.10.2017 17:17+3Вот как в Америке национальный слоган — In God We Trust, так национальным слоганом современной России может стать «Да всем похер».
Осталось его красиво писать на банкнотах.tribesman
08.10.2017 09:49Огонь, вот теперь я знаю фразу характеризующую меня и всех моих соотечественников) и ведь прямо в точку!)
achekalin
09.10.2017 10:03Осталось его красиво писать на банкнотах.
Написали бы давно, но… — см., собственно, сам слоган.
4orever
06.10.2017 23:55На хабре не так давно была статья про кассы для интернет-магазинов. А кто-нибудь может сказать, можно ли использовать ее для обычной продажи курьером удаленно при наличии у него чекового принтера? В реестре касс отдельно помечаются кассы для вендинговых автоматов и кассы для интернет-магазинов. Понятно, что технарю с прямыми руками ничто не мешает взять дешевый ККМ для автомата за 6000 р. и приспособить его под любую деятельность. Но предусмотрена ли ответственность? Для чего вообще это разделение, чтобы кассы подороже продавать?
kirillaristov
07.10.2017 00:30Есть же современные ккм, которые "онлайн", в портативном варианте, как раз для курьеров.
Evgeshaz
07.10.2017 12:45Разделение предусмотрено в самом 54-фз.
ККМ для интернет магазинов в принципе лишены печатающего механизма, но обязаны в течение 5 минут после получения платежа от покупателя сформировать фискальный чек и обеспечить отправку ему сообщения на электронную почту или смс на сотовый телефон реквизитов для получения от ОФД его чека. Если он конечно сообщил эти реквизиты в заказе.
ККМ для вендинга обязательно должны использоваться в составе автомата, при ином использовании считается что у Вас нет ККТ с соответствующими санкциями. У них может не быть экранов и физических органов управления, а чек можно либо печатать, либо отправлять электронно как при интернет торговле.
claymen
07.10.2017 10:16Просто нужен роутер, и всё.
Это надо долбить всем и установщикам и хозявам.
Просто и доходчиво.
StudyHelp
07.10.2017 11:25Почему сохранили костыль в виде касс, вводе бы понятно: если нет связи с ОФД — льём данные в фискальный накопитель, а при появлении связи отправляем данные. Если нет чего-то с фискальным накопителем, при отсутствии связи можно сильно мухлевать.
А вот разрешить работу без касс, но только для случая, если данные успешно отправлены к ОФД, было бы очень кстати. Вроде как я готов брать на себя риски, что если ОФД не может обработать данную транзакцию онлайн (по причине недоступности или ещё по какой причине, неважно) — я не должен её проводить и пользователь получит отказ в оплате. Да, для меня это дополнительный риск, но если я только пробую идею и у меня полторы транзакции в день — я готов взять этот риск на себя в обмен на экономию 15+ тысяч в год. Ну а когда дела пойдут в гору — можно и кассу добавить.
Evgeshaz
07.10.2017 12:49На самом деле налоговиков вдохновил эффект от внедрения системы электронных счетов-фактур и деклараций по НДС. Откровенной чернухи стало меньше, если у вас в декларации будет счет-фактура на вычет НДС, а у вашего контрагента ее не будет или он не заплатит налог, то вам налог не зачтут пока не докажите что вы не виноваты.
Еще налоговая, на данный момент, может видеть в почти реальном времени весь безналичный оборот физиков и юриков. Осталось самая малость, увидеть наличный оборот в таком же варианте. Поэтому и потребовались онлайн кассы.
В процессе обсуждения онлайн касс налоговую устраивал любой вариант при котором они могли бы оперативно получать достоверную информацию о фактической выручке не путем выхода сотрудника к кассе или раз в год при замене ЭКЛЗ. Про ее хранение в самой кассе они были готовы забыть, но тут пришли дяди «в однотонных костюмах» и сказали что им не нравится что их заводы по производству ЭКЛЗ останутся без работы.
В итоге имеем очередную реинкарнацию ЭКЛЗ под новым названием «фискальный накопитель» со все тем же смешным объемом и конским ценником. Единственное послабление для некоторых вариантов можно будет приобрести накопитель со сроком замены раз в три года. Зато целых ТРИ завода по ее «производству» при деле.
HaZeR
07.10.2017 11:25Однозначно ждать и не только ботнетов. Есть кассы у которых авторизация не предусмотрена, даже ломать не надо, заходи и делай что хочешь. Жаль нет кассы, чтоб не жалко было раскурочить, подмывает попробовать удаленно поджечь бумагу в термопринтере.
d-stream
08.10.2017 21:35Авторизация-то есть. Но вот admin/admin в ккмном варианте «30» и «29» — это можно сказать система…
serg3591
07.10.2017 11:26Я что-то не понимаю причём тут связь между POS-терминалами и Онлайн кассами с ОФД. Если уж на то пошло львиная доля онлайн касс (неважно стационар или автономные) имеет внутри хоть что-то из следующего:
1. Модуль WiFi
2. 3G модем с SIM-картой
3. Сетевой разъём.
Т.е. при подключении к стационарному ПК-моноблоку с сенсорным экраном ( «POS-терминал, пффт») такой онлайн кассы или установке автономной рядом… Сам ПК к интернету подключать не надо — можно напрямую подключить ККТ и не ломать себе голову над антивирусной защитой раб. места кассира.
Да может быть будет больше рабочих мест подключено к интернету, но ответственность за это ОФД или те кто продают вам именно онлайн ККТ нести не будут — т.к. не имеют к этому отношения. Этим должен будет заниматься либо поставщик ПК, если установка антивирусов и прочая было оговорено в договоре или вообще тот кто заведует настройкой и защитой внутренней сети — т.е. местный начальник IT-безопасности или сисадмин.
А если уж говорить о введении стандартов и требовании к безопасности рабочего места, так это опять-таки придётся владельцу техники искать тех кто этим займётся, да ещё чтобы сертифицированные специалисты были — мало было предпринимателям ЕГАИС, ОФД, да? Это же всё денег стоит причём немалых.
А то логика статьи пока такая «Я купил онлайн игру — вышел из-за неё в интернет — мой пк заразило вирусами — пусть поставщик онлайн игры исправит это» О_оSpewow Автор
07.10.2017 21:16Скорее логика — против воли заставили купить и принудительно играть в онлайн игру армию пользователей, которые никогда этого не делали да и в ИТ не разбираются, а оно при этом глючит и не играет.
Если корректное внедрение это дорого, то нужна готовая защищенная железка, устойчивая в любых условиях работы. Поставил и забыл.
Тогда нужны требования к производителям онлайн-касс, где будут изложены вопросы защищенности, например наличие встроенного межсетевого экрана, замкнутая программная среда и т.д.
Есть ли такие требования?serg3591
08.10.2017 01:19Да, тебя заставили купить онлайн игру, НО фишка в том что эта онлайн игра может быть в онлайне без ПК, через СИМку, через Wi-Fi — никто не заставляет тебя лично проводить интернет через POS-ПК, т.е. тебе дали аппарат и сказали доставить данные в ОФД — выбор метода за тобой и методов несколько.
Иначе твоя логика идёт также как если бы ты пользовался, например, программой Iiko/1С для продажи на POS-ПК и ей тоже нужна связь с интернетом базы товаров там подгружать или ещё что через Dropbox — только вот Iiko/1С сопровождать это забота одного человека, а ПК и настрйоки интернета это забота твоего IT-безопасника, поэтому первый второму НИЧЕГО не должен (ну кроме тех случаев когда первое и второе это один человек).
d-stream
08.10.2017 21:41Боюсь, что реализация в таком варианте стоила бы как средний танк. Ну или как армейский ноутбук… Ибо если бы вовнутрь ККМ попал бы еще и межсетевой экран… да еще и сертифицированный ФСТЭК…
Tippy-Tip
07.10.2017 11:26Раз.
Для выполнения требования ФЗ-54 им был приобретен POS терминал, к которому подключен фискальный регистратор. Вывод данных шел, как водится, к оператору фискальных данных через Интернет.
Два.
Как выяснилось, внутри оборудования прячется windows xp embedded который начал светить стандартными windows портами прямо в сеть Интернет.
Мне кажется что Вы лукавите по поводу открытых портов «из коробки». Начиная с SP2 (даже для embeded) Windows Firewall включен по умолчанию. И он блокирует входящий трафик на опасные порты. А в роли «продавца»-«настройщика» выступил «мальчик» из «скорой компьютерной помощи», который поленился (или не знал) сходить на сайт ОФД и посмотреть необходимые настройки (hostname или IP-адрес и номер порта).
P.S. Данный комментарий не означает отмену обязательной установки антивируса и настройки файрволла на компьютерах под управлением Windows.
NiGMa4Habr
07.10.2017 18:46Для выполнения требования ФЗ-54 им был приобретен POS терминал, к которому подключен фискальный регистратор.
Уже неправда.
POS-терминал — да. А вот «фискальный регистратор» — это то, что было раньше. Теперь это даже называется иначе: «ККТ Онлайн».
И, хотя внешне разница видна только специалистам — по сути, отличие весьма радикальное. Дело в том, что эта самая «ККТ Онлайн» сама умеет выполнять все необходимые (в рамках пресловутого 54-ФЗ) функции. В том числе и выходить в интернет, и передавать чеки «куда следует». Для этого она оснащена либо Ethernet (RJ-45), либо Wi-Fi. Причём во многих случаях кроме ККТ ничего больше и не нужно (прайс с продаваемыми товарами можно «залить» прямо в неё).
Так что все описанные автором проблемы связаны именно с POS-терминалом (или POS-компьютером — будь он десктоп, ноутбук, планшет или что-то еще). И, как показывает практика, причина проблем обычно кроется в желании «взять что-то подешевле», да ещё и б/у. Но тут уж ничего не поделаешь — это такой национальный российский спорт: слепить что-то из говна и палок, а потом удивляться, что оно некрасивое и разваливается.
SchmeL
Если производитель делает ведро с дырами, кто виноват, что из него вытекает?
На долго ли? По аналогии с ведром, это как затычки из жвачки в эти дыры.
Vladal
Думаю, тут системная проблема. Сокрытие налогов и способы их отслеживать подобно вечной гонке дракона за своим хвостом — налоговиков и нечестных коммерсантов.
achekalin
Таки сетевой инженер. Или вы, если совместили в себе все функции.
Никто не обещал, что касса защищена. Обещали, что касса работает как касса, остальное — другими средствами, пожалуйста.
Вы же не жалуетесь, что касса заодно не работает нат-боксом для всей локалки, а заодно и кофе не готовит?
Кстати, олимпиард китайских роутеров с дырами по всей прошивке почему-то волнуют меньше?
teecat
тут проблем куча:
— во первых сам по себе embedded — проблема. Это по сути конструктор и там может не быть нужных системе защиты компонент. Для каждого (невсегда, но такую вероятность всегда нужно держать в уме) устройства нужно делать апдейт ОС для доустановки компонент
— мало ресурсов. Это не андроид и не Линукс, где вирусов все еще меньше, чем на windows. Для windows антивирусные базы огромные, а урезать их никак. Вот на прошлой недели Мелиссу нашли. Мелиссу!
А проекты по защите касс есть. Тестируют, что-то даже внедряют