Вирус зашифровал 1С? Как уберечь бизнес с помощью правила бэкапов «3-2-1»

⚠️ Главная ошибка: «У нас же есть бэкапы на соседнем диске»

Многие системные администраторы настраивают копирование базы 1С в соседнюю папку на том же сервере или на сетевой диск (NAS), к которому есть открытый доступ.

🛡️ Золотой стандарт: Правило резервного копирования «3-2-1»

Чтобы гарантированно спасти данные при любой атаке (включая пожар или изъятие сервера), внедрите в компании правило 3-2-1:

• «3» — Три копии данных. У вас должно быть как минимум три экземпляра базы (1 рабочая + 2 бэкапа).
• «2» — На двух разных физических носителях. Например: внутренний жесткий диск сервера + внешний NAS-накопитель или ленточный накопитель.
• «1» — Одна копия должна храниться «вне офиса». (В облаке, Яндекс.Диске, S3-хранилище или физически на жестком диске в сейфе у директора).

🔒 Как изолировать бэкапы от вируса?

Главная задача — сделать так, чтобы вирус, работая от имени администратора на зараженном сервере, не смог дотянуться до папки с бэкапами.

• Pull-бэкапы (Тянущие бэкапы): Сервер 1С не должен иметь прав на запись в хранилище бэкапов! Наоборот, само хранилище (например, NAS Synology) должно по расписанию подключаться к серверу 1С по FTP или SMB с правами «Только чтение», забирать архив базы и отключаться.
• Облако с контролем версий: Если вы копируете базу в Яндекс.Диск или S3, убедитесь, что включена функция истории версий. Если вирус зашифрует базу и она в таком виде загрузится в облако перезаписав старую, вы сможете «откатить» файл облака на вчерашнюю версию.

🚪 Закройте "дыры" снаружи

90% шифровальщиков закидываются вручную через взлом RDP (Удаленного рабочего стола).

1. Никогда не выставляйте стандартный порт RDP (3389) наружу в интернет.
2. Работайте только через VPN (OpenVPN, WireGuard). Сначала сотрудник подключается к корпоративной сети по VPN, и только потом заходит на сервер по внутреннему IP.
3. Настройте блокировку IP-адресов после 3-5 неверных попыток ввода пароля (защита от брутфорса).