безопасность 1С: атака клонов
Кто владеет информацией – тот правит миром.
Уинстон Черчиль.
многоликий бизнес
Применение подхода открытых систем в настоящее время является основной тенденцией в области информационных технологий. Идеологию открытых систем реализуют в своих последних разработках все ведущие фирмы – поставщики средств вычислительной техники, программного обеспечения и прикладных информационных систем.
Стратегию открытых систем с успехом применила фирма «1С», в свое время, выпустив гибкий инструмент для бухгалтерского и управленческого учета - 1C: Предприятие 7.7, приложением к которому являлись типовые решения для учета: «Торговля и Склад», «Бухгалтерия» и «Зарплата и Кадры». В большинстве случаев, бизнес-процессы предприятий выходили за рамки типовых решений, но эта проблема решалась дополнительной настройкой информационной системы. Решение можно было адаптировать под различные сферы бизнеса, начиная от оптовой и розничной торговли, оказания услуг и заканчивая производственными предприятиями.
Руководители бизнеса могли автоматизировать все рутинные бизнес-процессы своего предприятия, а также воплотить в жизнь новые тенденции управления бизнесом силами своего ИТ-отдела. В процессе работы, создавались уникальные конфигурации для ведения учета и управления собственным бизнесом.
Со временем развилась целая плеяда разработчиков отраслевых решений на базе платформы «1C: Предприятия 7.7». Разработка конфигурации – это сложный и трудоемкий процесс, в который вкладывают значительные денежные средства.
Перед создателями отраслевых решений остро встал вопрос защиты своей интеллектуальной собственности. Плюс системы – ее открытость – стал главным ее минусом.
скрытая угроза
Не каждый владелец бизнеса знает, как легко можно скопировать конфигурацию «1C: Предприятия 7.7», потому и не задумывается о безопасности своей информационной системы. А ведь достаточно в окне выбора информационной базы скопировать путь, открыть его в проводнике, и скопировать файл конфигурации, в котором находятся:
- автоматизированные бизнес-процессы компании;
- структура финансового учета;
- управленческие аспекты учета;
- аналитические отчеты;
- модули обработки данных;
- печатные формы.
На отладку каждого пункта затрачены значительные денежные средства и огромное количество человеко-часов работы сотрудников компании, штатных программистов 1C, даже не учитывая затраты на консультирование по построению бизнес-процессов и повышение квалификации персонала.
Если конфигурация настроена на базе типовых решений, которые поставляет фирма «1C», то, скорее всего, она никак не защищена от копирования и использования на другом предприятии. Конечно, существует стандартный способ защиты - установка пароля на конфигурацию, но эта защита сравнима «с веревкой, которой перевязали папку секретных документов». Благо, если конфигурация специализированная, которую приобрели у партнеров фирмы «1C», под маркой «1C: Совместимо». В основном такие конфигурации защищены от копирования самими разработчиками отраслевого решения, но дополнительная настройка, которая была произведена предприятием, так же остается незащищенной.
Открыв конфигурацию «в другом месте» мы получаем готовое решение для построения «фирмы-клона».
атака клонов
В принципе, «забрать с собой» конфигурацию при увольнении может любой сотрудник, имеющий доступ к 1C. А если он занимает ключевую должность в компании, то, перейдя в другую фирму, он воплотит в жизнь не только лучшие автоматизированные бизнес-процессы, но и принесет готовое решение.
случай из практики
В компании «Х», дистрибьютора продуктов питания, была произведена комплексная автоматизация склада и логистики, в результате которой было создано автоматизированная система адресного хранения товара. Во внедрении принимал непосредственное участие начальник склада, который вник во все тонкости построения системы. На отладку и внедрение системы был затрачен не один месяц работы всех сотрудников компании. Впоследствии, перейдя работать в компанию-конкурента, он принес с собой конфигурацию учета, которая силами нового ИТ-отдела была внедрена в существующую систему в кратчайшие сроки.
В связи с ростом рынка самыми востребованными становятся руководители подразделений, представители топ-менеджмента. Построение карьеры части таких профессионалов основано на постоянном повышении квалификации и периодическом переходе на новое место работы с повышением статуса и благосостояния. В этом им во многом помогают хедхантеры (“охотники за головами”), услугами которых стали пользоваться компании, в которых бизнес развивается не столь успешно, как планировали учредители, соответственно, финансовые показатели таких компаний оставляют желать лучшего. Неплохим подспорьем для таких компаний будет получить готовое решение автоматизации бизнес-процессов более успешных конкурентов.
что делать?
В новой версии платформы «1С:Предприятие 8.0/8.1» описанная уязвимость системы устранена за счет встроенного механизма сборки конфигурации без исходных кодов. В этом случае, происходит компилирование модулей информационной системы и полное исключение алгоритмов бизнес-процессов, то есть увидеть, как это работает, можно, но посмотреть, как это сделано - нет.
Для платформы «1С:Предприятие 7.7» созданы ряд решений позволяющих защитить информационную систему от несанкционированного копирования. Комментирует Алексей Федоров, разработчик «Комплекса защиты конфигураций»:
«Первоначально, продукт «Комплекс защиты конфигураций 2.0» предназначался для создания тиражных продуктов на базе платформы 1C: Предприятие 7.7. Но простота установки защиты привлекла к нему и владельцев бизнеса, не связанного с программным обеспечением. Они были не на шутку обеспокоены безопасностью своей информационной системы. В любом случае, переход на новую систему 1С: Предприятие 8.0 процесс трудоемкий, а пока можно воспользоваться защитой, в которой реализован такой же механизм сборки конфигурации без исходных кодов».
Итак, какие существуют способы обезопасить себя от «клонирования» информационной системы?
- Установить пароль на конфигурацию, но о надежности такой защиты упоминалось ранее.
- Использовать в работе терминальный сервер. Правда, данный способ всего лишь усложняет сам процесс копирования конфигурации, ограничивая доступ к файлу.
- Применить дополнительные способы защиты конфигурации от несанкционированного использования - от шифрования исходного кода конфигурации, до компилирования кода, что намного надежнее.
Доржи Цыденов.
Сетевые решения. Статья была опубликована в номере 11 за 2007 год в рубрике мнение