Фирма «1С» рассказала, как повысить безопасность при обмене платежными документами

Возврат к списку

01.03.2017     
Представители «1С» напомнили о том, какие способы защиты при взаимодействии с банком предусмотрены в решениях «1С:Предприятие».

В середине февраля «Лаборатория Касперского» заявила об обнаружении зловреда TwoBee, который подменял платежные реквизиты в текстовых файлах для обмена данными между бухгалтерскими и банковскими системами. В результате платежи пострадавших организаций уходили злоумышленникам.  Проблема была в том, что файлы не были защищены шифрованием и по умолчанию имели стандартные имена.

«Техника подмены реквизитов в платежных поручениях в свое время сошла на нет благодаря массовому распространению технологий шифрования в большинстве финансовых систем. Вероятно, тот же способ будет эффективен и в борьбе с TwoBee – защищенные выгрузки не позволят троянским программам так просто менять реквизиты в денежных переводах. Именно поэтому мы советуем всем компаниям передавать финансовую информацию в зашифрованном виде», – прокомментировал ситуацию Денис Легезо, эксперт «Лаборатории Касперского».

Об опасности модификации файла 1c_to_kl.txt и о способах предотвращения этого фирма «1С» рассказывала еще в январе. Тогда предлагалось менять имя файла выгрузки, согласовав это с системой «Клиент – Банк», и сообщалось, что «в “1С:Бухгалтерии 8” редакции 3.0 реализована проверка файлов на модификацию, которая выполняется после загрузки данных в программу банка, но до отправки их на исполнение». Такую же функциональность планировалось добавить в другие типовые решения.

«С тех пор проверка файлов платежек на модификацию реализована не только в “1С:Бухгалтерии 8” редакции 3.0 – обновления выпущены для всех поддерживаемых нами решений “1С:Предприятия”, в которых предусмотрен обмен с банками через промежуточные файлы», – рассказали в «1С» в ответ на запрос редакции Инфостарт. В качестве примера приводится механизм безопасной выгрузки платежей в банк в свежей версии 2.2.2.212 конфигурации «1С:ERP Управление предприятием 2».

Кроме того, и тогда, и сейчас фирма «1С» напоминает о том, как гарантированно решить указанную проблему. Это сервис «1С:ДиректБанк» (DirectBank), который позволяет отправлять документы в банк и получать из банка непосредственно из программ системы «1С:Предприятия», нажатием одной кнопки. С этой технологией не потребуется выгрузка документов в промежуточные файлы, установка и запуск дополнительных программ (модулей) «Клиент Банка». На начало года DirectBank поддерживается более чем 30 банками, включая крупнейшие («Сбербанк», ВТБ, «Альфа-Банк» и др.).


Комментарии
2. J Popov (japopov) 32 01.03.17 15:47 Сейчас в теме
А я один обратил внимание, что вирус, подменяющий 1c_to_kl, появился в январе, как раз тогда, когда 1С оттестировали DirectBank и стали его пропихивать?
Есть ли в общем доступе подробное описание, как этот ДиректБанк организован? С какой машиной соединяется мой клиент, какие данные и кому передаются? А то пока это выглядит как очередная облачная полу-халява... Безопасность - это когда ты свои данные контролируешь!
3. kolya_tlt kolya_tlt (kolya_tlt) 10 01.03.17 16:04 Сейчас в теме
(2) правильно потихоничку надо легализовываться и подсаживать народ на ИТС :) директ банк же без него не работает, верно? :)
4. J Popov (japopov) 32 01.03.17 16:10 Сейчас в теме
(3)
Работу без ИТС оставим в покое пока. Меня больше интересует вопрос, КУДА и КАК передаются МОИ ФИНАНСОВЫЕ данные?! В доступных источниках - только мантра про то, что это безопасно... А кто сказал, что безопасно? 1С? А я могу доверять 1С? Мы же не подписывали договор о конфиденциальности... а даже если бы и подписывали - есть куча возможностей, как на законных основаниях этот договор нарушить.

Нет, я параноик, когда дело касается безопасности на доверии..
5. kolya_tlt kolya_tlt (kolya_tlt) 10 01.03.17 16:17 Сейчас в теме
(4) хотите сказать что у Вас бухгалтерия отправляется в налоговые органы сведения "по старинке"?
6. J Popov (japopov) 32 01.03.17 16:23 Сейчас в теме
Нет, я хочу сказать, что у меня на каждую организацию заключен договор с компанией ***, которая подписывалась под обязательством сохранять конфиденциальность.
Я даже не беру в расчет возможный "слив" информации в ФНС - банки и так "сливают". Но доверять компании, с которой нет соответствующего договора... С банком - есть. С оператором ТКС - есть. А с 1С - нету!
7. kolya_tlt kolya_tlt (kolya_tlt) 10 01.03.17 16:54 Сейчас в теме
(6) с майкрософтом что ли есть? ведь сохраняя платёжку с блокнот кто вам гарантирует сохранность конфиденциальности с этом случае?
корум; starik-2005; white_sochi; +3 Ответить 1
8. Егор Иванов (Infactum) 218 01.03.17 17:15 Сейчас в теме
(2)
Есть ли в общем доступе подробное описание, как этот ДиректБанк организован?

Удивительно, но описание технологии DirectBank - это практически единственное, что 1С публикует на гитхабе.
CSiER; starik-2005; +2 Ответить 2
9. Sergey Andreev (starik-2005) 980 01.03.17 17:29 Сейчас в теме
(7)
с майкрософтом что ли есть
А может они на Linux'у работают и им доступен исходный код, и они его проанализировали на предмет того, что, куда и как? ))
10. J Popov (japopov) 32 01.03.17 17:34 Сейчас в теме
(9)
А может они на Linux'у работают и им доступен исходный код, и они его проанализировали на предмет того, что, куда и как? ))

нет, но результатам работы ФСБ я (внезапно!) верю. :-P

(8) Спасибо! 1С осваивают GitHub?! Чудеса, я думал, их в Eclipse случайно занесло... В принципе, многие вопросы нашли ответы.
11. Роман Ложкин (webester) 22 02.03.17 13:20 Сейчас в теме
(10)
нет, но результатам работы ФСБ я (внезапно!) верю.

У ФСБ есть доступ ко всем исходникам windows? Они одобряют каждое прилетающее к вам обновление? Если хоть на один вопрос нет, это значит, что любые данные в том числе и финансовые могут быть слиты в любой момент в неизвестном вам направлении и вы никогда не узнаете об этом.
12. J Popov (japopov) 32 02.03.17 13:38 Сейчас в теме
(11) Роман, вы хоть читайте то, на что отвечаете! А то Ваш ответ смотрится... как бы это помягче... ну, Вы поняли.
Я в работе использую обычно Ubuntu Linux или РОСА Linux. Последнюю ФСБ проверяла. Как ни странно, их профессионализму я доверяю.
А windows вообще неоднократно попадалась на том, что передавала КАКИЕ-ТО шифрованные данные КУДА-ТО (по ip)... Им верить вообще нельзя!
13. Роман Ложкин (webester) 22 02.03.17 14:58 Сейчас в теме
(12)Ну ваш ответ можно как угодно интерпретировать
Нет мы не работаем на линукс, но доверяем ФСБ(которая может что то контролирует хз).
Нет мы не читали исходников, но ФСБ читала и мы доверяем им.
Во втором случае кстати, вопрос с исходниками остается открытым, мне тоже кажется, что линукс в силу открытости своего кода, заслуживает доверия, но как факт, что ФСБ не контролирует постоянно все изменения которые приходят с обновлениями, а без них угроза в безопасности еще больше.
14. J Popov (japopov) 32 02.03.17 15:07 Сейчас в теме
(13) ну не надо меня интерпретировать! :-)
В случае с Ubuntu всё проще в том плане, что система открытая и подозрительные места можно просто проверить. РОСА - вообще творение наших военных, фактически... Так что там обновления точно проверены.
Что контролирует ФСБ? Ну, я с ними сталкивался один раз... От общения осталось глубокое уважение к профессионалам. Контролируют, и многое. Но, положим, мои шифрованные платежи им без надобности: они при нужде просто в банк официальный запрос кинут.

После прочтения ссылки из (8) по поводу ДиректБанк я поуспокоился достаточно, чтобы не шуметь на других, кто его хочет.. Но мои платежи всё равно будут бегать через 1c_to_kl, и с обязательной проверкой девочками ДО отправки!
Разумеется, IMHO.
15. Капитан Немо (capitan) 556 02.03.17 17:27 Сейчас в теме
По сути - это пиар акция от 1С.
Самый опасный вирус - между клавиатурой и сиденьем )
Если будут профессионалы, то защита 1c_to_kl это детский лепет.
Это скорее от скрипт-киддисов из своей сети в которой нет админа мера.
К тому же 99,99% операционистов сидят в веб морде банка и фокус с заменой 1c_to_kl не пройдет
16. Артём Андриянов (CSiER) 03.03.17 07:02 Сейчас в теме
(12)
Я в работе использую обычно Ubuntu Linux или РОСА Linux. Последнюю ФСБ проверяла. Как ни странно, их профессионализму я доверяю.
А windows вообще неоднократно попадалась на том, что передавала КАКИЕ-ТО шифрованные данные КУДА-ТО (по ip)... Им верить вообще нельзя!

Откуда инфо по сертификации ФСБ? ФСТЭК же ( https://www.rosalinux.ru/products/ ).
17. Капитан Немо (capitan) 556 03.03.17 09:05 Сейчас в теме
(16) полностью поддерживаю. Если уж сливать куда то свои данные, то лучше напрямую в ФСБ.
Посредники нам не нужны.
Оставьте свое сообщение