Финансы
RUVDS
2603

Как не дать бухгалтеру вас «опрокинуть»

У нас была бизнес-идея, ломаная 1С, одна электронная подпись на всех и бухгалтер, которому мы так и не смогли довериться. Не то, чтобы все это было нужно, но раз уж ты встал на путь селф-мейд бизнесмена, то надо идти до конца.​
В закладки

Есть три крайне небезопасных и популярных способа выдать бухгалтеру доступы, организовать работу и хранить базы данных.

  • Использовать один рабочий ноутбук или компьютер, который выступает и базой данных и устройством для работы бухгалтера
  • Распределить данные: база данных хранится на небольшом сервере в офисе, который поддерживает ваш сисадмин, а работает бухгалтер со своего компьютера
  • Частичный перенос в облако: когда арендуется 1С-фреш, к которому выдается пароль бухгалтеру

В каждом варианте подразумевается, что бухгалтер получает целую связку паролей к интернет-банку, Диадоку, 1С-базе и другому софту, а также сертификаты и электронные ключи устанавливаются прямо на компьютер, который находится у него в руках.

Почему это небезопасно?

При таком подходе невозможно отрубить все доступы одной кнопкой.

Поменять пароли в 3-7 системах и аннулировать электронный цифровой ключ это минимум час-полтора времени, даже если вы ничего не упустили. А если ваш бухгалтер действует решительно, но вы не успеваете спасти практически ничего.

Иногда вред наносится не специально, а по случайности — сисадмин решил поиграть на компьютере или сходить на порно-сайт (все мы люди и иногда это делаем) и поймал троян.

Бухгалтер попал в больницу с коронавирусом и ноутбук лежит у него дома. Как его достать?

Страх и ненависть в бухгалтерии: три страшных кейса

История про сисадмина и казино

Жена моего коллеги опытный бухгалтер и в прошлом месяце к ней обратилась за помощью крупная ресторанная сеть в Москве.

Надо было помочь с документами на закупку продуктов и все правильно настроить. Ресторан держал все базы данных на своем сервере, который администрировал постоянный сисадмин из команды ресторана.

Но сисадмин мечтал о большем и регулярно посещал онлайн-казино. И как раз в тот самый месяц подцепил вирус, уничтоживший всю базу данных. На кого свалили все? Правильно, на пришедшего только что бухгалтера.

Очень повезло, что муж героини управляющий партнер в хостинге, закончил ВМК МГУ и, конечно, вышел вперед и смог доказать, что жена его ничего не удаляла. После долгих препирательств по телефону (муж уже был готов выезжать и самостоятельно начистить морду сисадмину) доказательства были найдены и виновник наказан.

Но база данных была полностью потеряна, то есть для владельцев бизнеса и управляющего хеппи-энда не случилось.

История про инсульт

Эта история произошла давно, но не теряет актуальности.

Опытная женщина 64 лет исправно вела бухгалтерию интернет-магазина китайских гаджетов через 1С. Клиент и база хранились на ноутбуке, который ей выдали на работе. Это было удобно: легко печатать с офисных принтеров, база маленькая и умещается на нетбук, можно брать с собой на дачу или домой.

Потом случилась трагедия: в пятницу вечером ее увезли с инсультом на скорой. Нетбук остался дома, потому что бухгалтер была ответственной и взяла работу на выходные.

Ноутбук, конечно, вызволили, бухгалтер поправилась, но если перенести эту ситуацию в текущие дни и заменить инсульт коронавирусом, то операция вызволение компьютера из закрытой квартиры принимает совершенно другие масштабы.

Могут ли две кошки и лабрадор открыть вам дверь?

Если даже соседка поливает цветы и кормит кошек, отдаст ли она вам компьютер?

И наконец, стоит ли так подставляться?

Третья история, которой не было

Сюда классно подошла бы история про бухгалтера, которая решила сбежать с сисадмином на Бали, переведя себе деньги с рабочих счетов. Но мы такой истории ни у кого из знакомых не нашли, поэтому врать не будем.

Как обезопасить свою бухгалтерию: облако не только для 1С

Когда говорят о переносе бухгалтерии в облако, обычно имеется в виду аренда 1С-лицензии и перенос 1С-продуктов на серверы какой-нибудь компании.

Есть вариант 1С-фреш: когда вы платите 2500 рублей в месяц официальному партнеру 1С, они переносят все на свои серверы и бухгалтер работает через браузер.

Это удобно и недорого: теперь сотрудник может работать с любого гаджета, легко подключать новых бухгалтеров или передавать доступ. Стоит около 2000-2500 рублей в месяц.

Но что, если за 1600 рублей в месяц можно перенести в облако абсолютно все, связать все ключи в одну связку и держать все в собственных руках?

Как за 1600 рублей выжать из облаков все, включая полную безопасность

Есть способ использовать единое облако для хранения базы данных 1С, документов и работы в программах одновременно — это создать удаленный рабочий стол. Это работает очень просто

Это позволит:

  • держать данные у себя под рукой и в безопасности: на личном/рабочем компьютере сотрудников ничего не хранится
  • все данные и документы в облаке: они доступны всегда, без физического присутствия
  • выдавать доступ по мере необходимости: вы можете создать несколько удаленных рабочих столов для разных сотрудников, с разными уровнями доступа к программам
  • не настраивать рабочее место заново для каждого нового сотрудника. Поменялся бухгалтер — он начинает работать с тем же самым столом, даже иконки и обои сохранились
  • закрывать доступ одной кнопкой

Как создать такой рабочий стол и сколько это стоит?

Суть метода проста:

  • арендовать VPS (виртуальный выделенный сервер) с Windows Server
  • установить на этой машине все нужные программы: 1С-бухгалтерию, Microsoft office, Adobe Acrobat
  • настроить на удаленном рабочем столе сертификаты и электронные подписи диадоке, госуслугах и прочем
  • выдать сотруднику доступ — IP-адрес сервера, его логин и пароль

Как это технически устроено и что такое VPS?

Если кратко, то бывает два способа арендовать выделенный сервер у хостинга:

Обычный выделенный сервер

Когда вы арендуете у хостинга целую физическую машину. На ней работают только ваши программы (та же 1С), вы полностью его настраиваете и управляете им.

Часто это неоправданно дорого — зачем платить за целую машину, если вы у вас маленький бизнес и он не использует машину целиком?

Виртуальный выделенный сервер (VPS)

По функционалу это тот же выделенный сервер, но созданный программно. На одной физической машине в дата-центре крутится несколько VPS-ок.

Плюсы VPS в том, что вы всегда можете поменять количество ресурсов (увеличить диск, поменять производительность) и платить в каждый момент только за нужные ресурсы.

Управлять им можно так же, как выделенным сервером: ставить свою OS, устанавливать программы, выдавать доступы.

Почему удаленный рабочий стол надо хранить на VPS, а не на сервере, который стоит у меня в офисе?

Есть несколько причин:

  • Это дешевле: арендовать VPS с ровно необходимыми ресурсами или купить, а затем содержать и обслуживать целый сервер в офисе — это совершенно разные расходы
  • Это безопаснее: арендуя VPS вы будете уверены, что он используется только в рабочих целях — отсылает нас к истории про казино и сисадмина с уолл-стрит
  • Хостинг будет самостоятельно отвечать за «здоровье» сервера: надежные хостинги держат ремкомплекты прямо в дата-центрах: например, у нас в дата-центре в Королеве всегда хранится свой набор «железок» для быстрого ремонта, круглосуточно дежурят инженеры и они чинят отвалившийся диск на лету, как на Формуле-1 меняют колесо
  • VPS всегда включен и доступен: если уборщица в пятницу вечером случайно заденет штекер в офисе, считайте, что ни у вас, ни у бухгалтера нет доступа к данным, пока кто-то не приедет и не воткнет его обратно. Мы для бесперебойного электропитания серверов держим две электростанции и дизельный генератор — вряд ли в каком-то офисе все настолько застраховано
  • Быстрый ремонт: вы можете позвонить в техподдержку или написать письмо, если что-то сломалось. У серверов время от времени вылетает контроллер или диск — оборудование так или иначе сбоит. За одной VPS-кой следят сразу много админов и сотрудников поддержки, они отвечают быстрее и работают оперативнее одного сисадмина, который вообще мог уйти в отпуск.

Сколько стоит?

OS однозначно стоит взять Windows — практически все программы под бухгалтеров заточены под него. Тот же 1C генерирует многие документы через Adobe Acrobat или MS Word.

Некоторые хостинги берут за Windows-лицензию дополнительные деньги, мы — нет, у нас тарифы с виндой стоят столько же, сколько и Linux.

Исходя из расчета одного сотрудника и бухгалтерии с базой данной не больше 800 мб, мы обычно рекомендуем нашим клиентам тариф Turbo 1.

Это будет стоить 833 рубля в месяц и еще 700 рублей за 1С-лицензию, если вы не торрент-бандит и собираетесь за нее заплатить.

Мы проверяли тариф Turbo 1 для 1С-бухгалтерии, в которой работает один человек. Все прошло как по маслу

Теперь к главному. Конкретные шаги, как защитить данные после переноса работы в облако

Как защитить базу данных в 1С

Есть несколько способов переносить 1С в облако (тот же 1С-фреш), мы рассмотрим тот случай, когда 1С ставится на VPS.

Для работы с 1С есть 3 сущности:

  • 1С-клиент: программа, в которой работает бухгалтер
  • База-данных
  • 1С-сервер: нужен только для больших компаний и случая, когда работают несколько бухгалтеров, поэтому его трогать не будем

Для удаленного рабочего стола инструкция переноса простая:

  1. Вы подключаетесь к удаленному рабочему столу
  2. Устанавливаете 1С-клиент, как делали бы это на обычном компьютере
  3. Переносите базу через FTP: базы данных 1С могут быть большими и для переноса может понадобиться FTP-клиент. Если у вас есть сисадмин, попросите его или если выбрали брать VPS у нас — наши админы помогут все перенести

Дальше бухгалтер работает, запуская 1С-клиент прямо в облаке, как делал это на своем компьютере.

При отключении доступа к удаленному рабочему столу у бухгалтера пропадает и сам 1С-клиент.

Как защитить доступ к интернет-банку

Практически все крупные для бизнеса банки, включая Сбербанк, Тинькоф и даже Точку позволяют логиниться через ГосУслуги, минуя смс и введение пароля.

Система называется ЕСИА: единый ключ к государственным услугам и сервисам.

Вам понадобится ЕСИА для бизнеса

Как организовать авторизацию в интернет-банке для сотрудника, не давая ему пароль и номер телефона

  • Заведите ЕСИА для бизнеса
  • Войдите в свою учетную запись на портале Госуслуг
  • Перейдите на закладку Организации
  • Откройте карточку своей организации, нажав кнопку Подробнее
  • Перейдите на закладку Доступ к системам
  • Найдите свой банк и подключите нужного сотрудника пользователя

Теперь сотрудник может логиниться в банк через Госуслуги. Чтобы отключить его доступ, надо просто удалить его из пользователей на портале Госуслуг.

Как защитить электронную цифровую подпись и документооборот

Электронная подпись используется для онлайн-документооборота. Она состоит из двух частей и подписывать документы можно только имея обе части на руках:

  • Флешка, на которой записана первая часть ключа
  • Вторая часть ключа, которая хранится на компьютере

Чтобы начать пользоваться такой подписью, нужно:

  1. Выпустить электронную цифровую подпись у специальной компании — это стоит где-то 5000 рублей
  2. Установить программу КриптоПро
  3. Воткнуть флешкку и установить вторую часть ключа на VPS, используя программу КриптоПро
  4. Установить все плагины для браузеров
  5. Чтобы подписать документ, бухгалтеру надо иметь на руках и доступ к VPS, и сам ключ-флешку

Чем установка ключа на VPS лучше, чем на личном компе бухгалтера? Тем, что руку на пульте держите вы, а не бухгалтер или компания, выпустившая ключ.

Если вы хотите лишить бухгалтера возможности подписать документ, ключ можно аннулировать — для этого надо дозвониться до поддержки компании, которая выпускала ключ и просто ждать. То есть это займет минут 20 в оптимистичном сценарии.

Если ключ установлен у бухгалтера на VPS, то отключив бухгалтеру доступ к нему, вы даете себе отсрочку на полтора часа: именно столько нужно человеку с набитой рукой, чтобы быстро переустановить КриптоПро на другом компьютере, поставить все плагины и снова получить доступ к подписи.

В этом случае удаленный рабочий стол служит прокладкой, дающей вам время спокойно аннулировать ключ.

Хранение всех документов

Да, есть Google Docs, но бухгалтеры продолжают пользоваться Excel и Word. Потому что 1С генерирует документы именно в них.

И пока бухгалтер создает документы в 1С или Диадоке, запущенном на его компьютере, все сохраняется именно там. Если он работает на удаленном рабочем столе — все сохраняется в VPS, которую контролируете вы.

Как защитить ваши внутренние сервисы

Многие сервисы позволяют логиниться только по сертификату — мы сами в RUVDS настроили именно такой способ доступа к тикетам, контенту сайта и много к чему.

Если вы используете сертификаты, есть смысл устанавливать их только на подконтрольные вам VPS, а не физическую машину.

Заключение

Если вы готовы хакнуть систему, получить 1С в облаке дешево и безопасно, оставьте нам заявку. Мы поможем все настроить, перенести, проконсультировать вас по поводу сертификатов, электронных ключей и всего, что позволит вам спать спокойно.

Также мы будем следить за обновлениями 1С и устанавливать их сами (опция недоступна для торрент-бандитов).

Всех любим.

Идеальный хостинг для бизнеса: автоматизированный, быстрый и надежный.
{ "author_name": "RUVDS", "author_type": "editor", "tags": [], "comments": 21, "likes": 7, "favorites": 107, "is_advertisement": false, "subsite_label": "finance", "id": 123937, "is_wide": false, "is_ugc": false, "date": "Wed, 29 Apr 2020 17:54:24 +0300", "is_special": false }
Право
Товарные знаки для тех, кто ведёт бизнес в интернете: защищаем домен, управляем отзывами и контролируем конкурентов
Казалось бы, регистрация брендов в Роспатенте — это история про заводы и предприятия: вот наша одежда, еда или…
Объявление на vc.ru
0
21 комментарий
Популярные
По порядку
Написать комментарий...
2

700 рублей в месяц это рекомендованная минимальная цена аренды 1С по вэб соединению , вы описываете RDP подключение там минимальная рекомендованная цена 950 . Или вы не являетесь участником сети 1С Франчайзи?

Ответить
0

Нет, не являемся, у нас договор с франчайзи

Ответить
1

Отлично написано, прямо захотелось купить
Но продавать всё же нужно не хостинг, а услугу - готовое окружение, пусть и с платной настройкой-активацией
Потому что для неподготовленного владельца бизнеса тормозом будет необходимость поиска специалиста, который это всё перенесёт, настроит и будет поддерживать
У вас как-то вскользь упоминается - мол, напишите, поможем чем сможем
Удачи в доработке продукта!

Ответить
0

Спасибо :)

Да, мы и правда все настраиваем пока вручную под каждого клиента.

Надеемся, что скоро опыта, что именно нужно бизнесменам, будет достаточно, и мы сможем многое автоматизировать.

Ответить
3

Тогда прямо так и напишите на странице: бесплатно всё перенесём и настроим, раз набиваете руку. Потом будете знать сколько это в среднем человекочасов и сможете установить адекватный сетап-сбор

Ответить
0

Для системы с1 пользователем возможно, но если больше юзеров или база уже требует наличие mysql, то ценник вырастет сразу в разы...

Ответить
1

Это точно.

Но обычно для компании, где нужно сразу 2-3 бухгалтера такие обороты, что лишние 5000 руб в месяц для них это пшик.

Ответить
0

При подключении через RDP обычно выдаётся отвратительная картинка, по крайней мере при просмотре с маков (ведь для удалённого стола всё равно, откуда осуществляется работа). И мельчит всё. Как вы предлагаете с этим бороться? 

Ответить
0

вполне себе адаптируется к устройству рабочий стол, не вижу проблемы

Ответить
0

Это из-за кодека H264. Нужен хороший канал интернета

Ответить
0

Вы просто не умеете его готовить (все настраивается в настройках клиента RDP)

Ответить
0

Много букв, но не совсем точная информация. Выделенный сервер не всегда нужен небольшой компании. Достаточно 1с база в облаке (от 700 рублей в месяц). А страшилки с потерянными базами актуальны, когда не Облако или не настроена архивация на другой носитель по расписанию.

Ответить
0

файловая 1с-ка с доступом по RDP с верой в надежность rudvs?  и без других бекапов?

и допустим там будет работать не 1, а три пользоаателя, что тоже по RDP все трое подключатся?

Ответить
0

Если к RDP подключается больше 2-х пользователей, надо ставить терминальный сервер и покупать специальную лицензию под windows. Это стоит где-то +700Р в месяц, но работать будет хорошо.

Бекапы лучше всегда перестраховать и хранить сразу на двух vds-ках от двух разных компаний — мы писали о том, как это сделать и почему мы сами советуем не надеяться только на один хостинг.

Ответить
0

А уязвимости rdp как же?

Ответить
0

Приведите пример.

Ответить
0

Да, какие именно вы имеете в виду?

Ответить
0

Хотите сказать, что rdp наружу неуязвим?

Ответить
0

Все уязвимо. Но чтобы ответить на ваш вопрос, мне нужно чуть больше конкретики

Ответить
0

Мой опыт работы с VDS это вечно лагающая мышка при канале связи в 100МБ и связанное с этим вечное раздражение.
Есть еще маленький прикол с тем, что компания может отключить ваш сервак в любое время, если например ей покажется, что нагрузка стала слишком высока. Или мозг у админа переклинит и он решит, что вы там майните крипту. Или левая пятка у них зачешется. Потом извинятся конечно, по пару веселых дней разбирательств вам обеспечено.

Ответить
0

Да, иногда действительно блокируют за нарушение оферты, но если не превышать лимиты и не делать ничего незаконного, то все должно быть нормально.

Не могу отвечать за все хостинги, но в нашем будет ок

Ответить
0

В Точке при авторизации через ЕСИА требуется смс-подтверждение.

Ответить

Прямой эфир