Аудит информационной безопасности 1С: как защитить базу от кражи клиентской базы менеджерами
Успешный менеджер по продажам увольняется и уходит к конкурентам. Через месяц вы замечаете, что ваши ключевые клиенты "перетекают" вместе с ним. Как это произошло, если у него не было доступа на скачивание? Разбираем типичные дыры в безопасности 1С:Предприятия.
Иллюзия безопасности: "Я же закрыл ему кнопку Сохранить как Excel!"
Многие системные администраторы считают, что если отключить в правах пользователя функцию "Вывод на принтер и в файл", то база надежно защищена. Это фатальная ошибка.
Даже если вы запретили сохранять отчеты, сотрудник с доступом к справочнику "Контрагенты" может просто выделить весь список (Ctrl+A), скопировать (Ctrl+C) и вставить его напрямую в свой личный Telegram, почту или Google Документы. Технически это невозможно запретить на уровне 1С, так как работает буфер обмена Windows. Единственный надежный способ — ограничить саму видимость чужих контрагентов с помощью RLS.
Матрица уязвимостей (Топ-способов "слить" данные)
Рассмотрим, как именно сотрудники воруют информацию и как это перекрыть в настройках конфигураций 1С:УТ, КА и ERP.
| Способ "кражи" или саботажа | Техническая причина в 1С | Правильное решение (Заплатка) |
|---|---|---|
| Копирование всего списка клиентов через буфер обмена (Ctrl+C) | Сотрудник имеет доступ к просмотру всех элементов справочника "Контрагенты" (по умолчанию в типовых ролях). | Включить настройку RLS (Ограничение прав на уровне записей). Настроить так, чтобы менеджер видел только тех клиентов, где он указан как "Основной менеджер". |
| Просмотр себестоимости и наценки в отчетах | Назначена роль "Полные права" или не отключен просмотр цен закупки в профилях "Менеджер по продажам". | Аудит профилей Групп доступа. Снять галки "Просмотр себестоимости", "Доступ к закупочным ценам". Проверить отчет "Валовая прибыль". |
| Удаление документов (накладных, ПКО) перед увольнением | Дано право "Интерактивное удаление" (без контроля ссылочной целостности). | Оставить только право на "Установку пометки удаления" (и то с ограничениями). Физически удалять данные должен только администратор через спец-обработку. |
Чек-лист: Аудит безопасности 1С за 1 час
- Проверка пользователей с "Полными правами". Откройте справочник Пользователи и посмотрите, у кого есть профиль Администратор/Полные права. Их должно быть ровно два: директор и главный ИТ-специалист. Никаких "Старших менеджеров" там быть не должно.
- Анализ Журнала регистрации. Настройте отбор за последний месяц по событиям "Вход в систему" и "Отказ в доступе". Если вы видите входы под профилем менеджера в субботу в 3 часа ночи с незнакомого IP-адреса (или удаленного рабочего стола) — вероятно, его учетку скомпрометировали.
- Проверка внешних обработок. В разделе Администрирование → Дополнительные отчеты и обработки проверьте, нет ли там подозрительных расширений с правами "Небезопасный режим". Трояны в 1С существуют и часто пишутся на заказ увольняемыми программистами.
- Бэкапы (Резервное копирование). Самый главный пункт. Хранятся ли бэкапы на физически ДРУГОМ сервере, к которому нет доступа даже у тех сотрудников, кто имеет доступ к серверу 1С? Защита от криптолокеров-шифровальщиков обязательна.
Сложности внедрения RLS (Row Level Security)
Ограничение прав на уровне записей (когда менеджер Вася видит только своих клиентов, а менеджер Петя — только своих) — отличный механизм. Но он очень сильно нагружает сервер базы данных. При включении RLS в тяжелых базах 1С:ERP проведение документов может замедлиться в 2-4 раза. Поэтому внедрение RLS всегда сопряжено с тюнингом индексов SQL-сервера и оптимизацией железа.
Хотите спать спокойно и быть уверенным, что вашу базу не украдут?
Я проведу комплексный аудит информационной безопасности вашей системы 1С. Проверю права и профили доступа, настрою RLS без "тормозов" базы, выявлю уязвимые настройки и закрою лазейки для выгрузки данных. Позаботьтесь о коммерческой тайне до того, как она попадет к конкурентам.
Заказать ИТ-аудит безопасности 1С →