В последние два года количество атак на российский бизнес растет в разы. Под пристальным вниманием злоумышленников находятся внешние веб-сервисы и популярные коммерческие продукты, обрабатывающие ценную информацию, например, продукты линейки 1С.
Почему 1С привлекает злоумышленников
1С используется везде: от маленьких фирм до крупнейших корпораций. Через неё проходят зарплаты, налоги, финансы и клиенты. Если система взломана, злоумышленник получает: доступ к персональным данным сотрудников, информацию о финансах, контроль над процессами.
Также через компрометацию информационных систем на базе приложений 1С возможны атаки на системное окружение и другие сетевые сервисы компании. Чем больше связей, тем больше пространства для атак.
Новые векторы атак на 1С
Злоумышленники используют уязвимости программ, комбинируя их с социальной инженерией и сторонними интеграциями. В последнее время участились следующие способы взлома.
Атаки через маркетплейс и цепочки поставщиков
Злоумышленники находят или создают уязвимости в популярных сторонних модулях, либо компрометируют аккаунты разработчиков — и через «легитимный» модуль получают доступ в систему заказчика. Компании часто ставят плагины без проведения минимальных проверок кода и функционала на предмет безопасности.
Такие модули имеют привилегированный доступ, запускаются в окружении сервера, и их эксплуатация выглядит как «законная» работа, поэтому такую уязвимость сложнее заметить. Чтобы этого избежать, нужно обязать проверку подписи модулей, жёсткий процесс валидации сторонних решений и запрет установки неподписанных модулей без одобрения.
Злоупотребление легитимными механизмами обмена и планировщиками
Вместо громкой «пробивки» системы злоумышленник использует штатные обмены данных, сервисные задачи (cron/планировщик 1С), API выгрузки — и постепенно экспортируют большие объёмы данных, маскируя активность под обычную работу. Официальным механизмам доверяют и они не всегда логируются детально; поэтому утечка может идти неделями.
Чтобы этого избежать можно заранее настроить поведенческий мониторинг, лимиты на объёмы выгрузок и оповещения по нетипичной активности.
Атаки на интеграционные каналы
Вместо прямого взлома 1С атакуют внешние интеграции — платёжные шлюзы, FTP/HTTP-обмены, API бухгалтерских сервисов и через скомпрометированный интегратор получают доступ к учётным данным или возможностям запуска операций. При компрометации посредника интеграционные каналы становятся доступными для атаки, и система теряет защиту.
Нужно пересмотреть права интеграций, применить принцип наименьших привилегий для API, использовать выделенные сервисные учётки и аудит запросов.
Масштабирование атак с помощью автоматизации/ИИ
Злоумышленники стали применять ИИ для генерации качественного фишинга (персонализированные письма, фейковые звонки) и для автоматического сканирования доступных из сети Интернет приложений на поиск уязвимостей в необновлённых версиях ПО.
ИИ повышает эффективность социальной инженерии и скорость обнаружения потенциально уязвимых целей. Получается комбинированная атака: автоматический сбор данных + целевой фишинг и вот вы уже имеете высокую вероятность проникновения.
Обучение сотрудников, фильтрация входящей почты, MFA (многофакторная аутентификация), голосовой верификатор критичных транзакций помогают избежать данных проблем.
Ошибки конфигурации при облачных и контейнерных развёртываниях 1С
При переносе 1С в облака или при использовании SaaS/контейнеров — ошибки конфигурации, неправильно выставленные S3-бакеты/образы контейнеров, открытые панели управления дают лёгкий доступ.
Миграция в облако ускорилась в 2024–2025, и одновременно выросло число ошибок конфигурации, которые приводят к утечкам резервных копий и к доступу к рабочим данным.
Изначально нужно стандартизировать образы, проверить политику хранения бэкапов, зашифровать данные в облаке и дать доступ по принципу наименьших привилегий.
Цена отложенной безопасности
Теперь время удивительных историй.
Компания работала в облачной CRM, вход в которую защищался только логином и паролем. План внедрить двухфакторную авторизацию откладывали — «пока не до этого». Один из менеджеров уволился, но его учётную запись в системе так и не отключили. Спустя несколько недель он без труда получил доступ к базе клиентов и начал предлагать им услуги конкурентов. В результате: потерянные клиенты, урон репутации и внутренние напряжение.
Как мы рассказывали в подкасте: в одной крупной компании, занимающейся ответственным хранением мясной продукции, управление десятками холодильных установок было вынесено на программируемые пульты. Все холодильники работали под одним общим паролем по умолчанию, который задаётся на заводе производителе. Хакерам удалось получить доступ к системе управления оборудованием и незаметно изменить температуру в холодильных камерах. Итог: вся партия была списана, убытки составили значительную сумму, а компания пересмотрела подход к доступам и безопасности оборудования.
Практические шаги для защиты
На первый взгляд звучит как сцены из кино, но подобные инциденты происходят в наших реалиях. Избежать их можно простыми, но обязательными мерами:
-
включать двухфакторную аутентификацию;
-
назначать сложные пароли;
-
корректно настраивать права доступа;
-
регулярно отключать учётные записи уволенных сотрудников;
-
бонус: не выгружать файлы с данными по прямой ссылки без ограничения.
Используйте обходной лист при увольнении, включающий отметку системного администратора (и службы безопасности, если есть): сотрудник должен вернуть все корпоративные устройства — ноутбуки, телефоны, USB-носители, ключи безопасности — а администратор должен подтвердить, что данные на них удалены или перезаписаны.
Что касается самой 1С, вот конкретные действия чтобы защитить систему.
Уже сегодня вам следует:
-
1. Обновить платформу 1С и все модули до последних версий (при необходимости).
-
2. Ограничить доступ к серверу 1С из интернета.
В ближайшую неделю:
-
1. Проверить все дополнения и расширения: удалить неподписанные и устаревшие.
-
2. Перепроверить права доступа: удалить лишние «админские» аккаунты, сменить пароли.
В течение квартала:
-
1. Проверить резервные копии: убрать их из публичного доступа, включить шифрование.
-
2. Настроить мониторинг: следить за массовыми выгрузками и аномальными действиями.
Также вы можете пройти нашу 5-минутную викторину, после чего получите персональные рекомендации по вопросам, вызвавшие затруднения: https://gt-consulting-postcard-cybersecurity.netlify.app/
Сами по себе данные шаги очевидны, но их выполнение требует времени, дисциплины и технической экспертизы. Если вы хотите убедиться в безопасности своих систем, напишите нам. GT Consulting берёт на себя все технические процессы и рутину, обеспечивая спокойствие и контроль за системой.
Никто не «взрывает» систему как в фильмах — злоумышленники тихо используют стандартные функции: экспорт, обмен данными, расширения. И если вы не следите за объёмами выгрузки или необычными действиями пользователей, можете месяцами не знать, что ваши данные уже «там».
Хорошая новость в том, что все найденные уязвимости закрываются обновлениями и организационными мерами (права доступа, бэкапы, контроль расширений). Также многое зависит от простой дисциплины: вовремя обновлять, контролировать и проверять. Что делать руководителю уже сегодня? Поручите IT-специалистам: обновить систему, проверить расширения, закрыть бэкапы и настроить мониторинг. Запросите отчёт на 1 страницу, чтобы быть уверенным, что компания защищена.
