Сайт it-murman.ru использует cookie для персонализации и хранения настроек. Используя сайт, вы соглашаетесь с Политикой конфиденциальности ООО «Центр консалтинговых проектов».
Прекрасно
   Вернуться к списку новостей

Почему рыбопромышленные компании — лакомая цель для хакеров и как не попасть на крючок

В январе 2025 хакеры потребовали полмиллиарда рублей у российской рыбопромышленной компании. Для руководства это риск колоссальных убытков и остановки промысла. Для бухгалтерии и отдела кадров — это прямая угроза тому, с чем они работают ежедневно: базам 1С с финансовой историей, расчетными ведомостями и персональными данными всех сотрудников. Для ИТ-отдела — это пример целевой атаки на слабые места, характерные именно для нашей отрасли.

Эта статья — о том, как одна успешная атака выглядит с двух сторон: с экрана бухгалтера и с консоли системного администратора.

Часть 1: Сценарий катастрофы для бухгалтерии и отдела кадров

Представьте утро понедельника. Вы включаете компьютер и видите вместо привычного интерфейса 1С или кадровой программы красный экран с угрозами.

  • Ваша база 1С «Бухгалтерия» или «Зарплата и Управление Персоналом» — зашифрована. Нет доступа ни к расчетам, ни к ведомостям, ни к данным контрагентов.
  • Личные паспортные данные, ИНН, адреса всех сотрудников — украдены и выставлены на продажу в даркнете. Компании грозят миллионные штрафы от Роскомнадзора.
  • Все операции остановлены. Нельзя начислить зарплату, отправить отчетность, провести платеж. Бизнес парализован.

«Но мы же не крупный банк!» — главная ошибка. Хакеры ищут не размер, а уязвимость. А в отраслях с устаревшим ПО (как часто бывает на флоте и в цехах) и высокой стоимостью простоя эта уязвимость максимальна. Ваша 1С — это «золотой ключик» ко всей финансовой жизни компании, и она становится первой целью.

Часть 2: Технический разбор для ИТ-специалистов: 5 реальных направлений атаки на периметр рыбопромышленного предприятия

Коллеги, список ниже — не теоретический. Это точки входа, которые мы видим в инцидентах. Атака редко начинается напрямую с сервера 1С. Она приходит с флангов.

  1. Уязвимое звено в цепочке: устаревшее ПО и оборудование на периферии

    Реальность: Серверы на Windows Server 2008 R2, рабочие места кассира/кладовщика на Windows 7, компьютеры в цеху со специализированным ПО для учета (часто с отключенным обновлением). Но главное — судовое и цеховое оборудование с программным обеспечением под DOS/старые операционные системы, которое физически не обновить, но которое имеет связь с общей сетью для передачи данных в ту же 1С.

    Угроза: это плацдарм. Скомпрометировав такую уязвимую точку, злоумышленник получает сетевой доступ для перемещения к более ценным активам: файловому хранилищу и, в итоге, к серверу 1С и базе кадров.

    Что проверить: не просто реестр ПО, а схему сетевых связей для каждого такого устаревшего устройства. Нужен ли ему вообще доступ в общую сеть, или достаточно изолированной виртуальной сети (VLAN) с контролем трафика?

  2. «Троянский конь» удаленного доступа и интернета вещей

    Реальность: Камеры на складе со стандартным паролем admin/1234, Wi-Fi роутер в офисе для гостей, удаленный рабочий стол (RDP) бухгалтера, открытый напрямую в интернет для работы из дома, системы спутниковой связи на судах с устаревшим ПО.

    Угроза: Автоматические сканеры злоумышленников находят эти открытые точки за часы. Это прямой вход в сеть, минуя двухфакторную аутентификацию (которой часто нет). С зараженного устройства интернета вещей начинается движение к домену.

    Что проверить: Полный аудит всех устройств с доступом извне. Жесткий запрет на прямой RDP в интернет (только через VPN или выделенные шлюзы). Разделение сетей для гостевого Wi-Fi и оборудования.

  3. Фишинг: самый простой путь к учетным данным 1С

    Реальность: Письмо «от банка» или «от контрагента» со «счетом» или «уведомлением» бухгалтеру. Достаточно одного клика, чтобы вредоносная программа оказалась на компьютере, с которого идет работа в 1С.

    Угроза: Кража учетных записей привилегированных пользователей 1С (с правами на администрирование или работу со всеми функциями) или доступ к файлам ключей электронной подписи.

    Что проверить: Настроена ли система обнаружения мошеннических писем (желательно на уровне почтового шлюза)? Проводится ли регулярное обучение для сотрудников не из ИТ-отдела с имитацией атак? Включено ли ведение журналов подозрительных входов в 1С?

  4. Отсутствие разделения сетей: когда взлом камеры ведет к шифрованию 1С

    Реальность: Плоская сеть, где бухгалтерия, производственный цех, судовое оборудование и система видеонаблюдения находятся в одном общем сегменте.

    Угроза: это главный множитель ущерба. Получив доступ из одной точки (например, через камеру), злоумышленник получает доступ ко всем ресурсам сети, включая общие папки с базами 1С и резервными копиями.

    Что проверить: Приоритетная задача — физическое или логическое разделение сетей. Сервер 1С и хранилища резервных копий должны быть в изолированном сегменте со строгими правилами доступа.

  5. Резервные копии, которые не спасут: хранение рядом с оригиналом

    Реальность: Резервная копия базы 1С делается на сетевой диск на том же сервере или на внешний жесткий диск, подключенный к нему.

    Угроза: Любое вредоносное ПО-шифровальщик первым делом ищет и шифрует доступные сетевые диски и подключенные накопители. Вы остаетесь и без оригинала, и без копии.

    Что проверить: работает ли правило 3-2-1? Есть ли изолированная, недоступная для постоянной записи система хранения резервных копий (например, отдельный сервер, ленточная библиотека или облако с контролем версий и двухфакторной аутентификацией)? Проверяли ли вы процедуру восстановления 1С из резервной копии на практике?

Что делать? Разделение задач

Для руководства и бизнес-пользователей (Бухгалтерия, Кадры):

Требуйте от ИТ-отдела или привлекаемых подрядчиков письменного ответа по трем пунктам:

  • Защищены ли наши финансовые и персональные данные в 1С от шифрования и утечки?
  • Есть ли изолированная, рабочая копия базы 1С, которую нельзя удалить или зашифровать удаленно?
  • Когда в последний раз проводилось обучение сотрудников по кибербезопасности?

Для ИТ-специалистов:

Не пытайтесь закрыть всё сразу. Сфокусируйтесь на снижении наибольшего риска:

  • Аудит и расстановка приоритетов. Составьте карту сети, выделите критические системы (сервер 1С, база кадров) и проверьте, откуда к ним есть доступ. Используйте новость о 500 млн руб. как аргумент для бюджета.
  • Изоляция и резервное копирование. Максимально изолируйте сегмент с 1С и настройте защищенное резервное копирование по схеме 3-2-1. Это ваша «подушка безопасности».
  • Контроль доступа. Запретите прямой доступ к критичным системам из интернета, включите двухфакторную аутентификацию везде, где возможно, настройте ведение журналов.

Наше предложение: Готовы взять вашу информационную безопасность под ключ

Не хватает времени, штата или экспертизы, чтобы закрыть все уязвимости? Мы решим этот вопрос комплексно.

Мы берем на себя полный цикл: от оценки текущих рисков до внедрения и поддержки работающей системы защиты. Ваша задача — поставить бизнес-задачу, наша — обеспечить его кибербезопасность.

Передать задачи по ИБ нашим специалистам: (8152) 692700