Безопасность учетных систем 1С. Как избежать взлома и утечки данных: типичные уязвимости
К сожалению, когда речь заходит о внедрении программных продуктов в бизнесе (сайты, CRM, учетные системы и другой софт), вопрос безопасности или не поднимается, или о нем вспоминают в последнюю очередь. Часто предприниматели даже не осознают уровень риска, который связан с потенциальными взломами, ошибками и утечками. А ведь это может привести к серьезным потерям для компании. Особенно когда речь идет о потерях баз данных, неисправности физических серверов, а также о незаконных действиях с конфиденциальной информацией.
В этой статье мы хотим поделиться самыми распространенными уязвимостями учетных систем 1С, последствиями, к которым они могут привести, а также способами снижения риска. Не будем больше затягивать введение, сразу перейдем к конкретным слабым местам учетных систем.
1. 1С с базами в файловом формате
Базы данных в виде физического файла — большая проблема для безопасности. Пользователи сознательно или бессознательно могут легко навредить базе данных или даже просто скопировать/удалить файл полностью.
Компания ставит под угрозу себя, работоспособность учетной системы и данные, хранящиеся в базе, которые могут быть просто похищены «в 2 клика мышкой».
Работать с файловыми базами можно, соблюдая при этом ряд мер безопасности:
- Разграничения доступа. Пользователей базы можно разделить на группы и четко указать, какие действия с файлом может проводить та или иная группа операторов. Тем сотрудникам, которые с базой данных не работают, доступ можно закрыть полностью. Это существенно снизит количество возможностей, при которых пользователи способны нанести вред. А если порча файла/кража данных была сделана сознательно, четко виден круг лиц, которые это могли совершить.
- Ограничение доступа к конфигуратору. Говоря о лимитировании возможностей пользователей, в первую очередь нужно упомянуть конфигуратор. Изменения в нем приведут к серьезным ошибкам в работе системы, поэтому доступ к конфигуратору должны иметь только квалифицированные специалисты, в чьи непосредственные обязанности входит обслуживание программного обеспечения.
- Авторизация при входе на сервер или рабочие станции на 1С исключат вероятность, что другие пользователи компьютера, кроме оператора 1С, получат доступ к информации.
- Технологии шифрования дисков и папок в базе данных.
Также не будет лишним проведение тренингов с сотрудниками об основах цифровой безопасности. Это касается не только вопроса файловых баз данных и не только продуктов 1С. Неосторожные действия могут поставить под угрозу всю информацию, к которой пользователь имеет доступ через взломанное устройство.
2. Базы данных СУБД на сервере
Это более безопасный и удобный формат работы с базами данных, но и он имеет ряд уязвимостей, которые в первую очередь связаны с неограниченными доступами для широкого числа пользователей. Данные из размещенной на сервере базы также могут быть скопированы и удалены, если не обеспечить должный уровень безопасности:
- Во-первых, нужно ограничить права пользователей, имеющих доступ к базе данных.
- Во-вторых, создаваемые учетные записи не должны иметь прав администратора. Это ограничит потенциальный ущерб при взломе одного из аккаунтов.
- В-третьих, регулировать необходимо в том числе и доступ к серверу, на котором хранятся базы данных. Как физический доступ, так и удаленный.
- Актуален также уже упомянутый совет с шифрованием данных. Это защитит информацию в случае получения злоумышленниками доступа к базе данных.
- Пароли, ограничение доступа и шифрование также стоит применять к резервным копиям базы, поскольку их потеря поставит под угрозу восстановление работоспособности системы.
Важным условием безопасной работы является администрирование сервера. Его можно организовать как собственными силами, так и передать на аутсорсинг профессионалом.
3. Проблемы, связанные с физическим доступом к серверам 1С
Прямой доступ к серверному оборудованию открывает перед злоумышленниками большой перечень возможностей. Поэтому сам сервер должен быть хорошо защищен и не находиться в общедоступном месте. Даже непреднамеренные повреждения оборудования, причиненные по неосторожности, могут нанести серьезный урон компании.
- Доступ к помещению, в котором находится оборудование, и к самому серверу должны иметь только лица, непосредственно участвующие в обслуживании.
- Лучший вариант — введение системы аутентификации доступа к серверному оборудованию, с ведением журнала действий. Каждый сотрудник, работающий с сервером, должен указать время взаимодействия с оборудованием.
- Все сотрудники, которые имеют доступ к серверу, должны быть ознакомлены с нормами техники безопасности. По-настоящему ознакомлены, а не только в журнале.
- Оборудование должно проходить регулярное обслуживание и диагностику на предмет неполадок.
Если уж совсем вдаваться в крайности, можно поместить сервер в место без обозначений и ни в каких справочниках не указывать местоположение оборудования.
4. Риски, связанные с персональными данными
Одна из самых актуальных и самых недооцененных проблем с безопасностью. Любое предприятие, работающее с клиентами, сталкивается с необходимостью корректного хранения персональных и контактных данных. Любой факт разглашения личной информации (не важно, умышленного или нет) повлечет за собой крупные штрафы и репутационные издержки для компании. Еще хуже, если будут потеряны платежные реквизиты пользователей, которые могут быть использованы злоумышленниками. В таком случае ошибка компании может стать причиной потери пользователями средств, а это приведет к крупным искам.
Кроме утечек данных, опасно их копирование, удаление, блокирование и другие неправомерные действия. Поэтому при работе с персональными данными важно соблюдать правила безопасности.
- Сбор и хранение данных нужно совершать только в рамках заранее поставленных целей и не более. Например, если для проведения расчетов с контрагентами необходимы только наименование и реквизиты, не нужно собирать о лице больше информации.
- Все операторы данных должны быть проинформированы о нормах безопасности при обработке персональных данных.
- Доступ к подобного рода информации должен быть только у лиц, чья деятельность непосредственно связана с обработкой.
- Нужно свести к необходимому минимуму любые операции по переносу критической информации. Например, ограничить возможность копирования на съемные носители.
Любой человек, имеющий доступ к персональным данным контрагентов в учетной системе, должен быть проинформирован о важности сохранения конфиденциальности, и о возможных последствиях ее нарушений.
5. Проблемы из-за нарушения базовых правил сетевой безопасности
Уже как-то неудобно в очередной раз говорить о базовых правилах сетевой безопасности, но сотрудники многих компаний продолжают нажимать на неизвестные ссылки, ставить простейшие пароли и скачивать файлы непонятного происхождения.
Введение в компании регламента сетевой безопасности — это не опция, а необходимость. Неосторожные действия одного пользователя ставят под угрозу всю информационную систему предприятия. Кроме базового инструктажа сотрудников о простейших правилах безопасности в интернете, компания может реализовать:
- Блокировку максимального количества потенциально опасных ресурсов, в том числе файлообменников. Можно пойти и по другому пути — оставить доступ только к тем внешним ресурсам, которые необходимы для работы.
- Мониторинг действий пользователей. Конечно, все действия отследить невозможно, но проведение выборочных проверок или введение системы триггеров нежелательных действий — вполне реализуемые сценарии.
- Антивирусное ПО и работа с ним должны быть централизованными. Не стоит делегировать задачу установки и работы с антивирусами. Систему защиты должны настраивать профессионалы. То же самое можно сказать и об ее администрировании. В компании можно разработать систему мониторинга, обработки и удаления нежелательных файлов. Естественно, все антивирусное ПО должно быть лицензионным и регулярно обновляться.
- Правила к устанавливаемым паролям пользователей информационной системы также можно настраивать централизованно. Не разрешать использовать слишком простые пароли, требовать использование разных регистров и т.д.
Все вышесказанное можно резюмировать несколькими правилами:
- Доступы и права пользователей должны быть максимально ограничены. Они не больше необходимого для работы функционала. Чем меньше у оператора возможностей спровоцировать проблему безопасности, тем меньше их возникнет.
- Компаниям стоит заняться разработкой и внедрением регламентов безопасности, а главное — донести их до сотрудников.
- Мониторинг. Регулярные проверки выполнения требований безопасности могут предупредить возникновение проблем.
- Поддержка внедренных конфигураций 1С специалистами — это необходимость. В обязанности внутренней или внешней команды поддержки входит в том числе работа над уровнем безопасности системы и обрабатываемых данных.
Отдельно стоит обратить внимание на риски безопасности, связанные с обменом данными между 1С и другим программным обеспечением. Современные конфигурации управленческого и бухгалтерского учета могут быть легко интегрированы с сайтами, CRM-системами и другими программами (в том числе и с участием внешних пользователей). При реализации обмена данными важно удостовериться в надежности и безопасности каналов передачи, а также добросовестности всех сторон, использующих информацию. Не будет лишним обговорить ответственность сторон в случае потерь ценных данных.
Конечно, в статье перечислены только стандартные действия по оптимизации системы безопасности при использовании учетных систем 1С на предприятии. Это очень индивидуальный процесс. Оптимальную концепцию системы безопасности можно предложить, только изучив конкретные бизнес-процессы, механизмы и принципы, принятые в компании. Для этого нужен аудит учетной системы. Сторонние специалисты могут не только проверить устойчивость конфигураций 1С к угрозам, но и определить уровень оптимизации в целом. А главное, предложить конкретные действия по улучшению.
Вы можете у нас заказать аудит учетной системы на базе решений 1С в вашей компании. Мы все проанализируем и предложим пути к оптимизации ее эффективности и безопасности.