Многие компании уверены: если сотрудники подключаются к 1С через VPN, значит данные в безопасности. На практике всё сложнее.
VPN действительно помогает защитить соединение, особенно когда бухгалтер, менеджер или руководитель работает из дома, командировки или коворкинга. Но если VPN-клиент устарел, настроен «как получилось» или сотрудники используют бесплатные приложения вместо корпоративного решения, сам VPN превращается в слабое место.
А через это слабое место можно получить доступ к тому, что бизнесу особенно важно: базе 1С, финансовым документам, персональным данным сотрудников и клиентов.
Разберём, где чаще всего возникают риски и что стоит проверить в компании уже сейчас.
Зачем вообще нужен VPN при работе с облачной 1С
Облачная 1С удобна: компании не нужно держать собственный сервер, следить за железом, резервным копированием и доступностью системы. Этим занимается провайдер.
Но доступ к облачной 1С всё равно идёт через интернет. А значит, остаются риски:
перехват трафика,
кража логина и пароля,
подключение с чужого устройства,
атаки через публичный Wi-Fi,
доступ бывших сотрудников, если аккаунты вовремя не отключили.
VPN нужен, чтобы создать защищённый канал между устройством сотрудника и корпоративной инфраструктурой. Через него можно шифровать соединение, ограничивать доступ к 1С только с доверенных IP-адресов и выполнять требования внутренней политики безопасности.
Проблема в том, что VPN защищает только тогда, когда он правильно выбран, настроен и регулярно обслуживается.
Где начинаются проблемы
Главная ошибка — считать VPN «волшебной кнопкой безопасности».
На самом деле угрозы бывают двух типов:
технические — старое ПО, слабые протоколы, ошибки в настройках;
организационные — общие пароли, личные ноутбуки, бесплатные VPN, отсутствие контроля.
И то, и другое может привести к утечке данных из 1С.
Ошибка №1. Устаревшие VPN-клиенты
Корпоративные VPN-решения регулярно получают обновления безопасности. Это касается Cisco AnyConnect, Fortinet FortiClient, Palo Alto GlobalProtect, Check Point и других продуктов.
Если обновления не ставить, компания фактически оставляет открытыми известные уязвимости. Их уже описали исследователи, по ним уже есть инструменты для атак, и злоумышленникам не нужно «изобретать» новый способ взлома.
Особенно опасна ситуация, когда обновляют только рабочие станции, но забывают про серверную часть VPN или сам VPN-шлюз.
Ошибка №2. Слабые протоколы шифрования
Некоторые компании до сих пор используют старые VPN-протоколы, потому что они «давно работают» и «их легко настроить».
Но простота здесь может стоить дорого.
Например, PPTP считается небезопасным и не подходит для защиты корпоративных данных. L2TP/IPSec тоже требует корректной настройки, иначе уровень защиты может оказаться ниже ожидаемого.
Для работы с облачной 1С лучше рассматривать современные варианты:
WireGuard,
OpenVPN,
IKEv2/IPSec,
SSTP для Windows-среды.
PPTP лучше исключить из корпоративной инфраструктуры полностью.
Ошибка №3. Один пароль вместо многофакторной защиты
Если для подключения к VPN нужен только логин и пароль, безопасность держится на одном факторе.
А пароль можно украсть.
Например, через фишинговое письмо, утечку из другого сервиса, вредоносное ПО или простой перебор. После этого злоумышленник получает не просто доступ к одному аккаунту, а вход в корпоративную сеть.
Поэтому для VPN нужна MFA — многофакторная аутентификация.
Это может быть код из приложения, аппаратный токен или другой второй фактор. Даже если пароль скомпрометирован, без второго подтверждения подключиться будет гораздо сложнее.
Ошибка №4. Split tunneling без контроля
Split tunneling — это режим, когда через VPN идёт только часть трафика, а остальная часть выходит в интернет напрямую.
Это удобно: меньше нагрузка, выше скорость, меньше жалоб от сотрудников.
Но есть риск. Если трафик к 1С или DNS-запросы настроены неправильно, часть данных может уходить мимо защищённого туннеля.
Для корпоративных систем важно проверить: весь ли трафик, связанный с 1С, действительно проходит через VPN.
Ошибка №5. Бесплатные и потребительские VPN
Отдельная опасная история — когда сотрудники используют для рабочих задач обычные VPN-приложения: бесплатные сервисы, браузерные расширения, мобильные VPN или популярные приложения вроде Happ, Lantern, Psiphon и аналогов.
Для просмотра заблокированного сайта такие инструменты могут казаться удобными. Но для доступа к корпоративной 1С они не подходят.
Почему это риск:
провайдер VPN может видеть пользовательский трафик;
у бесплатных сервисов часто непрозрачная политика обработки данных;
часть сервисов монетизирует аудиторию через рекламу или передачу данных;
компания не контролирует, где проходит трафик и кто имеет к нему доступ.
Рабочие базы, счета, зарплатные данные и клиентская информация не должны проходить через непроверенные потребительские VPN.
Ошибка №6. Общие VPN-аккаунты
В малом бизнесе иногда делают так: создают один VPN-аккаунт и дают его нескольким сотрудникам.
На первый взгляд удобно и дешевле. На практике — опасно.
Проблемы начинаются сразу:
нельзя понять, кто именно подключался;
невозможно нормально вести журнал действий;
сложно расследовать инциденты;
уволенный сотрудник может сохранить доступ;
пароль быстро расходится по чатам и заметкам.
У каждого сотрудника должен быть отдельный аккаунт. Доступ должен выдаваться по роли и отключаться сразу после увольнения или смены должности.
Ошибка №7. Подключение с личных устройств
VPN защищает канал связи, но не делает устройство безопасным.
Если сотрудник подключается к 1С с личного ноутбука, где нет антивируса, давно не обновлялась система или установлено сомнительное ПО, риски остаются высокими.
Вредоносная программа может перехватывать вводимые данные, делать скриншоты, красть токены сессий или получать доступ к файлам.
Поэтому для подключения к корпоративной 1С лучше использовать только управляемые устройства: с обновлениями, антивирусом, политиками безопасности и контролем со стороны ИТ.
Что проверить в компании прямо сейчас
Вот короткий чек-лист для владельца бизнеса, руководителя или ИТ-специалиста.
1. Обновлены ли VPN-клиенты и серверная часть?
Это критичный пункт. Устаревшее ПО — один из самых частых входов для атак.
2. Используется ли современный протокол?
WireGuard, OpenVPN или IKEv2 — да. PPTP — нет.
3. Включена ли MFA?
Один пароль для VPN — слишком слабая защита.
4. Запрещены ли бесплатные VPN для доступа к 1С?
Это должно быть прописано в правилах и объяснено сотрудникам.
5. Можно ли подключаться только с корпоративных устройств?
Личные ноутбуки без контроля — серьёзный риск.
6. Правильно ли настроен трафик 1С?
Он должен идти через защищённый канал.
7. Ведутся ли логи подключений?
Важно видеть, кто, когда и откуда подключался.
8. Отключаются ли доступы уволенных сотрудников?
Желательно автоматически и в день увольнения.
9. Проходят ли сотрудники инструктаж?
Человеческий фактор остаётся одной из главных причин инцидентов.
10. Проводится ли аудит прав в 1С?
Доступы должны соответствовать должности, а не выдаваться «на всякий случай».
Как настроить VPN безопаснее
Для работы с облачной 1С стоит придерживаться нескольких базовых правил.
Во-первых, включить проверку сертификата сервера. VPN-клиент должен понимать, что подключается к настоящему серверу, а не к подставному.
Во-вторых, использовать Kill Switch. Если VPN-соединение оборвалось, интернет-доступ должен блокироваться, чтобы трафик не пошёл напрямую.
В-третьих, настроить MFA для всех пользователей без исключений.
В-четвёртых, разграничить доступы. Бухгалтеру, менеджеру и руководителю обычно не нужны одинаковые права в 1С и корпоративной сети.
В-пятых, проверять устройства перед подключением. Это можно делать через NAC: система смотрит, обновлена ли ОС, есть ли антивирус, соответствует ли устройство требованиям компании.
VPN — это не панацея
VPN нужен. Но сам факт его наличия не гарантирует безопасность.
Защита облачной 1С складывается из нескольких элементов:
современный VPN-протокол,
регулярные обновления,
MFA,
корпоративные устройства,
запрет общих аккаунтов,
контроль логов,
обучение сотрудников,
регулярный аудит прав.
Если убрать хотя бы несколько пунктов, VPN может стать не защитой, а удобным входом для злоумышленника.
Главный вывод
Безопасная работа с облачной 1С начинается не с покупки VPN, а с системного подхода.
Нужно понимать, кто подключается, с какого устройства, через какой канал, с какими правами и что происходит после подключения.
Проверьте настройки, обновления, доступы и правила для сотрудников. Часто самые опасные уязвимости находятся не в сложных технологиях, а в простых вещах: старом клиенте, общем пароле или бесплатном VPN на личном ноутбуке.
Именно с этого стоит начинать аудит безопасности.