Ждать ли новых ботнетов из онлайн-касс?

    image Как известно в России предприниматели в связи с ФЗ-54 спешно выводят в онлайн свои кассовые аппараты и подключают к операторам фискальных данных через интернет.

    Часть этих предпринимателей представляют малые предприятия и точки обслуживания, которые не обладают ни техническим штатом ИТ специалистов, ни собственными знаниями в области ИТ.

    Обязали? Значит подключаем.

    Один знакомый попросил краем глаза посмотреть, что за проблемы происходят с недавно подключенной онлайн кассой. Техника тормозила и подвисала.

    Для выполнения требования ФЗ-54 им был приобретен POS терминал, к которому подключен фискальный регистратор. Вывод данных шел, как водится, к оператору фискальных данных через Интернет.

    Настройки производились, как выяснилось, поставщиком оборудования через тот же Интернет, посредством замечательной утилиты удаленной поддержки TeamViewer.

    Подоткнули протянутый провайдером шнурок. Все заработало, все довольны.
    Но что-то пошло не так.

    Как выяснилось, внутри оборудования прячется windows xp embedded который начал светить стандартными windows портами прямо в сеть Интернет. Незамедлительно на терминале начала плодится разнообразная вирусная живность. Плодилась пока вычислительные мощности не просели и начались зависания.

    В итоге, дополнительно был приобретен межсетевой экран и специальный антивирус который мог работать на данной версии XP, нанят разово человек который произвел нужные настройки, частная проблема небольшого предпринимателя была решена.

    И теперь возникает вопрос? Почему так? Кто должен обеспечивать защиту? Производитель или предприниматель? А может оператор фискальных данных? Попытки найти требования к защите клиентской инфраструктуры при передаче налоговой отчетности, аля PCI DSS, ни к чему не привели.
    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 51

      +3
      И теперь возникает вопрос? Почему так?
      Кто должен обеспечивать защиту? Производитель или предприниматель? А может оператор фискальных данных?

      Если производитель делает ведро с дырами, кто виноват, что из него вытекает?
      специальный антивирус который мог работать на данной версии XP

      На долго ли? По аналогии с ведром, это как затычки из жвачки в эти дыры.
        –2
        Думаю, тут системная проблема. Сокрытие налогов и способы их отслеживать подобно вечной гонке дракона за своим хвостом — налоговиков и нечестных коммерсантов.
          0
          Если производитель делает ведро с дырами, кто виноват, что из него вытекает?

          Таки сетевой инженер. Или вы, если совместили в себе все функции.
          Никто не обещал, что касса защищена. Обещали, что касса работает как касса, остальное — другими средствами, пожалуйста.
          Вы же не жалуетесь, что касса заодно не работает нат-боксом для всей локалки, а заодно и кофе не готовит?

          Кстати, олимпиард китайских роутеров с дырами по всей прошивке почему-то волнуют меньше?
            +1
            тут проблем куча:
            — во первых сам по себе embedded — проблема. Это по сути конструктор и там может не быть нужных системе защиты компонент. Для каждого (невсегда, но такую вероятность всегда нужно держать в уме) устройства нужно делать апдейт ОС для доустановки компонент
            — мало ресурсов. Это не андроид и не Линукс, где вирусов все еще меньше, чем на windows. Для windows антивирусные базы огромные, а урезать их никак. Вот на прошлой недели Мелиссу нашли. Мелиссу!

            А проекты по защите касс есть. Тестируют, что-то даже внедряют
            +1
            Это вопросы не к производителю кассовой техники и не к оператору фискальных данных, а к тем рукожопам, которые занимались внедрением комплекса. ОФД — здесь вообще ничем не поможет, производитель не может закрыть всё на кассовой ОС, т.к. его же потом и задолбают тупыми заявками «а почему у нас XXX не может подключиться к YYY в интернете?». Внедренцы этим занимаются, а в крупных компаниях свои отделы, если компания не скатилась на оутсорс.
              +1
              Тогда должны быть требования для внедренцев на законодательном уровне, «порядок» подключения касс к Интернету, где рассмотрены вопросы в том числе безопасности. Например через приказы ФСТЭК или постановлениями Правительства.

              В итоге приходим к аккредитации, т.е не каждый вася по желанию может ставить кассы, а только специально обученный и с лицензией. А фирма, где работает вася, отвечает головой и деньгами за безопасность того, как внедрена касса.
                –1
                Фактически вы предлагаете вернуться к монополии ЦТО?
                  0

                  ЦТО или не ЦТО, но любая сертификация/аккредитация/etc резко сужает круг поставщиков и настолько же резко поднимает цену на их услуги, что для конечного клиента превращается в обдираловку.

                    0

                    Не понял за что меня выше заминусили, но я как раз против их возвращения.

                      0

                      Это был не я. У меня и кармы-то нету вас минусить.

                  0
                  Дело все в том, что с внедрением онлайн-касс законодатели как раз и пытались освободить конечного пользователя от рабства центров технического обслуживания (ЦТО), которые по сути брали плату за договор который «просто должен быть» не предлагая никакого сервиса. Без такого договора было невозможно поставить кассу на учет в налоговой. Особо совестливые ЦТО приходили раз в квартал и кисточкой обметали отсек с печатающей головкой, все прочие услуги в любом случае были за дополнительный прайс.
                    0
                    Освободить может и освободили, но цена за это освобождение заплачена очень дорогая.
                    0
                    Конечно же ЦТО раньше за что-то отвечали… Ага :-) Сейчас ЦТО в положении утопающего (они больше не нужны рынку в таком виде), и поэтому пытаются максимально получить прибыль, часто не совсем честными путями: «ККМ должны покупать только у нас», «Вам нужен договор на обслуживание с нами, иначе вас оштрафуют» и т.п. Компетентность в вопросах нового 54-ФЗ крайне низкая. Стоимость подключение кассы их специалистами была, мягко говоря, высокой. (у одних за простое подключение потребовали 10 000р.) А что происходило перед 1 июля!
                    Нет, должна быть нормальная здоровая конкуренция. А то будет получаться как у автора. Скорее всего бывшие ЦТО и производили первоначальную настройку.
                    По теме: виноваты горе-внедренцы, 54-ФЗ тут не при чем. Да, можно сколько угодно дискутировать за или против его применения, но там нет ни слова про необходимость подключения ПОС-терминала SMB портами напрямую к Интернет.
                    0
                    Конечно виноваты внедренцы, есть ПО на базе Linux. Есть embeded решения. Да и XP можно перевести в режим read only. Возможно эти решения дороже в инсталляции. Но есть два аспекта на некоторые не нужны лицензии ОС и эти решения более стабильны.
                      +2
                      Неясно, причем здесь внедренцы? Фактически предприниматель купил кассу (фактически черный ящик), чтобы соответствовать закону. Все, что от него нужно — воткнуть сетевой кабель, ввести адрес ОФД и зарегистрировать фискальный накопитель. Позаботится о безопасности должен был производитель кассового аппарата.
                        0
                        Речь не о ККМ на 50-100 МГц процессоре с прошивкой которая проходит сертификацию, а о рабочем месте кассира — а это фактически хотелки конечного потребителя. Рабочее место может выпускать IBM, HP, корейцы, китайцы и т.д. с ОС или без неё. ПО для торговли в рамках российского рынка выпускают иные организации. Так вот собрать это все должен внедренец или конечный потребитель, на крайний случай производитель ПО для торговли. Например все в одном выпускают в моноблоке с кастомизированным android и встроеннной ККМ, но там уже ничего особо не поправишь в ПО.
                    0
                    Вообще не понятно зачем эти кассы нужны, сделали бы просто API к ОФД провайдеру и отменили бы эти кассы вообще. А то получились, что плуг оставили а вместо быка трактор прицепили, можно было сразу на трактор пересесть.
                      0
                      Уже есть такое нечто подобное так https://habrahabr.ru/company/tm/blog/331368/ правда пока для тех кто более интернет ориентирован. Потому как API в продовольственных магазинах пока не особо возможен по нескольким причинам: не стабильный интернет (соответственно не возможно торговать с API), не у всех есть электронная почта для принятия чеков, да и «кассир-бабушка» думаю мгновенно её не внесет на кассе.
                        0
                        Так ККТ это и есть коробочка с API. Она должна быть подключена к интернету, чтобы отсылать данные в ОФД. А терминал (та штука с Windows на борту) вообще не должен иметь доступ в интернет.
                          –1
                          Так я и говорю, что не должно быть ни как х коробочек) любой сервер может больше чем эти коробочки), ну и легче админить 1 сервер чем сервер с коробочками)
                          0
                          К ОФД обращается не кассовая программа, а сам кассовый аппарат, который просто подключен к компьютеру.
                          Не обязательно покупать готовую программу, с которой будет работать кассир, но тогда разработка ПО для работы с кассовым аппаратом ложится на бизнес, со всеми вытекающими затратами и рисками. Оно ему надо?
                            0
                            С робокассой все как то работают…
                            +1
                            Вот да, раз уже назвали это «онлайн-касса», должен быть вариант кассы вообще без железа. Один вариант — онлайн-сервис для создания чеков, второй — API для отправки данных непосредственно из системы учета заказов. Но нет, так вот у них нельзя, обязательно должен быть кирпич стоимостью в 20-30 тысяч. Я так понимаю, разработчики этого законопроекта вообще не думали про работу интернет-магазинов и оплату цифровых товаров и услуг.
                              0
                              Ага, вот именно так) плюсанул бы если бы мог)
                            0
                            На вопрос, вынесенный в заголовок поста, ответ может быть только один — разумеется, ждать. А также следует ждать утечек информации и всего остального спектра. Да, и поддельных транзакций тоже.
                              0
                              Насчет транзакций позвольте не согласиться. В составе сообщения отправляемого ОФД при пробитии чека идет отправка так называемого «фискального признака документа». А он генерируется фискальным накопителем на основе ключей как прошитых в ФН на заводе, так и полученных от ОФД при активации накопителя на конкретную ККМ, а также содержимого чека. Собственно сертификация криптостойкости данных алгоритмов и позволяет ФСБ ограничить рынок производителей ФН путем невыдачи лицензий. Производть ФН в РФ было дозволено вначале одной организации, а потом еще двоим.
                            • НЛО прилетело и опубликовало эту надпись здесь
                                +3
                                Вот как в Америке национальный слоган — In God We Trust, так национальным слоганом современной России может стать «Да всем похер».
                                Осталось его красиво писать на банкнотах.
                                  0
                                  Огонь, вот теперь я знаю фразу характеризующую меня и всех моих соотечественников) и ведь прямо в точку!)
                                    0
                                    Осталось его красиво писать на банкнотах.

                                    Написали бы давно, но… — см., собственно, сам слоган.
                                    0

                                    На хабре не так давно была статья про кассы для интернет-магазинов. А кто-нибудь может сказать, можно ли использовать ее для обычной продажи курьером удаленно при наличии у него чекового принтера? В реестре касс отдельно помечаются кассы для вендинговых автоматов и кассы для интернет-магазинов. Понятно, что технарю с прямыми руками ничто не мешает взять дешевый ККМ для автомата за 6000 р. и приспособить его под любую деятельность. Но предусмотрена ли ответственность? Для чего вообще это разделение, чтобы кассы подороже продавать?

                                    • НЛО прилетело и опубликовало эту надпись здесь
                                        0
                                        Разделение предусмотрено в самом 54-фз.
                                        ККМ для интернет магазинов в принципе лишены печатающего механизма, но обязаны в течение 5 минут после получения платежа от покупателя сформировать фискальный чек и обеспечить отправку ему сообщения на электронную почту или смс на сотовый телефон реквизитов для получения от ОФД его чека. Если он конечно сообщил эти реквизиты в заказе.
                                        ККМ для вендинга обязательно должны использоваться в составе автомата, при ином использовании считается что у Вас нет ККТ с соответствующими санкциями. У них может не быть экранов и физических органов управления, а чек можно либо печатать, либо отправлять электронно как при интернет торговле.
                                        0
                                        Просто нужен роутер, и всё.
                                        Это надо долбить всем и установщикам и хозявам.
                                        Просто и доходчиво.
                                          0

                                          Почему сохранили костыль в виде касс, вводе бы понятно: если нет связи с ОФД — льём данные в фискальный накопитель, а при появлении связи отправляем данные. Если нет чего-то с фискальным накопителем, при отсутствии связи можно сильно мухлевать.


                                          А вот разрешить работу без касс, но только для случая, если данные успешно отправлены к ОФД, было бы очень кстати. Вроде как я готов брать на себя риски, что если ОФД не может обработать данную транзакцию онлайн (по причине недоступности или ещё по какой причине, неважно) — я не должен её проводить и пользователь получит отказ в оплате. Да, для меня это дополнительный риск, но если я только пробую идею и у меня полторы транзакции в день — я готов взять этот риск на себя в обмен на экономию 15+ тысяч в год. Ну а когда дела пойдут в гору — можно и кассу добавить.

                                            0
                                            На самом деле налоговиков вдохновил эффект от внедрения системы электронных счетов-фактур и деклараций по НДС. Откровенной чернухи стало меньше, если у вас в декларации будет счет-фактура на вычет НДС, а у вашего контрагента ее не будет или он не заплатит налог, то вам налог не зачтут пока не докажите что вы не виноваты.
                                            Еще налоговая, на данный момент, может видеть в почти реальном времени весь безналичный оборот физиков и юриков. Осталось самая малость, увидеть наличный оборот в таком же варианте. Поэтому и потребовались онлайн кассы.
                                            В процессе обсуждения онлайн касс налоговую устраивал любой вариант при котором они могли бы оперативно получать достоверную информацию о фактической выручке не путем выхода сотрудника к кассе или раз в год при замене ЭКЛЗ. Про ее хранение в самой кассе они были готовы забыть, но тут пришли дяди «в однотонных костюмах» и сказали что им не нравится что их заводы по производству ЭКЛЗ останутся без работы.
                                            В итоге имеем очередную реинкарнацию ЭКЛЗ под новым названием «фискальный накопитель» со все тем же смешным объемом и конским ценником. Единственное послабление для некоторых вариантов можно будет приобрести накопитель со сроком замены раз в три года. Зато целых ТРИ завода по ее «производству» при деле.
                                              +1
                                              Во всем виноваты строгие дяди… но если вдуматься они по мимо коробочек теперь ещё и как операторы ОФД зарабатывают… атол например. Выходит двойной профит на пустом месте)
                                          0
                                          Однозначно ждать и не только ботнетов. Есть кассы у которых авторизация не предусмотрена, даже ломать не надо, заходи и делай что хочешь. Жаль нет кассы, чтоб не жалко было раскурочить, подмывает попробовать удаленно поджечь бумагу в термопринтере.
                                            +1
                                            Авторизация-то есть. Но вот admin/admin в ккмном варианте «30» и «29» — это можно сказать система…
                                            0
                                            Я что-то не понимаю причём тут связь между POS-терминалами и Онлайн кассами с ОФД. Если уж на то пошло львиная доля онлайн касс (неважно стационар или автономные) имеет внутри хоть что-то из следующего:
                                            1. Модуль WiFi
                                            2. 3G модем с SIM-картой
                                            3. Сетевой разъём.
                                            Т.е. при подключении к стационарному ПК-моноблоку с сенсорным экраном ( «POS-терминал, пффт») такой онлайн кассы или установке автономной рядом… Сам ПК к интернету подключать не надо — можно напрямую подключить ККТ и не ломать себе голову над антивирусной защитой раб. места кассира.

                                            Да может быть будет больше рабочих мест подключено к интернету, но ответственность за это ОФД или те кто продают вам именно онлайн ККТ нести не будут — т.к. не имеют к этому отношения. Этим должен будет заниматься либо поставщик ПК, если установка антивирусов и прочая было оговорено в договоре или вообще тот кто заведует настройкой и защитой внутренней сети — т.е. местный начальник IT-безопасности или сисадмин.

                                            А если уж говорить о введении стандартов и требовании к безопасности рабочего места, так это опять-таки придётся владельцу техники искать тех кто этим займётся, да ещё чтобы сертифицированные специалисты были — мало было предпринимателям ЕГАИС, ОФД, да? Это же всё денег стоит причём немалых.

                                            А то логика статьи пока такая «Я купил онлайн игру — вышел из-за неё в интернет — мой пк заразило вирусами — пусть поставщик онлайн игры исправит это» О_о
                                              0
                                              Скорее логика — против воли заставили купить и принудительно играть в онлайн игру армию пользователей, которые никогда этого не делали да и в ИТ не разбираются, а оно при этом глючит и не играет.

                                              Если корректное внедрение это дорого, то нужна готовая защищенная железка, устойчивая в любых условиях работы. Поставил и забыл.
                                              Тогда нужны требования к производителям онлайн-касс, где будут изложены вопросы защищенности, например наличие встроенного межсетевого экрана, замкнутая программная среда и т.д.
                                              Есть ли такие требования?
                                                0
                                                Да, тебя заставили купить онлайн игру, НО фишка в том что эта онлайн игра может быть в онлайне без ПК, через СИМку, через Wi-Fi — никто не заставляет тебя лично проводить интернет через POS-ПК, т.е. тебе дали аппарат и сказали доставить данные в ОФД — выбор метода за тобой и методов несколько.

                                                Иначе твоя логика идёт также как если бы ты пользовался, например, программой Iiko/1С для продажи на POS-ПК и ей тоже нужна связь с интернетом базы товаров там подгружать или ещё что через Dropbox — только вот Iiko/1С сопровождать это забота одного человека, а ПК и настрйоки интернета это забота твоего IT-безопасника, поэтому первый второму НИЧЕГО не должен (ну кроме тех случаев когда первое и второе это один человек).
                                                  0
                                                  Боюсь, что реализация в таком варианте стоила бы как средний танк. Ну или как армейский ноутбук… Ибо если бы вовнутрь ККМ попал бы еще и межсетевой экран… да еще и сертифицированный ФСТЭК…

                                                    0
                                                    Конкретно онлайн ККМ он не нужен, поэтому его туда и не впихали, ограничились шифрованием содержимого ФН и привлечением спецоператоров для обеспечения каналов передачи и и дальнейшего хранения на «той» стороне.
                                                    По факту статьи видим, что юзер решил что ему «как взрослому» вместо автономной кассы нужно автоматизированное рабочее место и прочие плюшки автоматизации торговых процессов, но не подумал о его информационной безопасности или просто сэкономил на внедрении.
                                                    Как уже выше неоднократно писали выпускать «в сеть» само АРМ никто не заставлял. А уж коли выпустил, то сам себе злобный буратина и должен следить куда могут ползать в свободное от пробития чеков время кассиры. Ведь онлайн касса в формфакторе фискального регистратора может подключаться и к обычному полноценному ПК с браузерами и усб портами.
                                                      0
                                                      Видимо юзера спровоцировало наличие всяких разных каналов, включая GSM в некоторых моделях и даже самодостаточных клавиатур.
                                                      Правда я сам такие не щупал и возможно там даже есть нечто типа firewall.
                                                      Те что я щупал — в рамках моих рефлексов — однозначно периферийные сетевые устройства, предназначенные для размещения внутри защищенного периметра.
                                                0
                                                Раз.
                                                Для выполнения требования ФЗ-54 им был приобретен POS терминал, к которому подключен фискальный регистратор. Вывод данных шел, как водится, к оператору фискальных данных через Интернет.

                                                Два.
                                                Как выяснилось, внутри оборудования прячется windows xp embedded который начал светить стандартными windows портами прямо в сеть Интернет.

                                                Мне кажется что Вы лукавите по поводу открытых портов «из коробки». Начиная с SP2 (даже для embeded) Windows Firewall включен по умолчанию. И он блокирует входящий трафик на опасные порты. А в роли «продавца»-«настройщика» выступил «мальчик» из «скорой компьютерной помощи», который поленился (или не знал) сходить на сайт ОФД и посмотреть необходимые настройки (hostname или IP-адрес и номер порта).
                                                P.S. Данный комментарий не означает отмену обязательной установки антивируса и настройки файрволла на компьютерах под управлением Windows.
                                                  0
                                                  Для выполнения требования ФЗ-54 им был приобретен POS терминал, к которому подключен фискальный регистратор.
                                                  Уже неправда.
                                                  POS-терминал — да. А вот «фискальный регистратор» — это то, что было раньше. Теперь это даже называется иначе: «ККТ Онлайн».
                                                  И, хотя внешне разница видна только специалистам — по сути, отличие весьма радикальное. Дело в том, что эта самая «ККТ Онлайн» сама умеет выполнять все необходимые (в рамках пресловутого 54-ФЗ) функции. В том числе и выходить в интернет, и передавать чеки «куда следует». Для этого она оснащена либо Ethernet (RJ-45), либо Wi-Fi. Причём во многих случаях кроме ККТ ничего больше и не нужно (прайс с продаваемыми товарами можно «залить» прямо в неё).
                                                  Так что все описанные автором проблемы связаны именно с POS-терминалом (или POS-компьютером — будь он десктоп, ноутбук, планшет или что-то еще). И, как показывает практика, причина проблем обычно кроется в желании «взять что-то подешевле», да ещё и б/у. Но тут уж ничего не поделаешь — это такой национальный российский спорт: слепить что-то из говна и палок, а потом удивляться, что оно некрасивое и разваливается.
                                                    +1
                                                    «фискальный регистратор» — это то, что было раньше.

                                                    Фискальный регистратор как формфактор неавтономного устройства работающего в связке с другими устройствами ввода и обработки данных в противоположность автономной кассе никуда не делся. При этом и то и то является, в рамках определений 54ФЗ, онлайн ККТ.
                                                    Да, чтобы они соответствовали 54 ФЗ в старые ФР нужно ставить комплекты доработки, покупать ФН и перепрошивать. Но при этом «новые» ничем не отличаются от них по железу т.к. они просто изначально в процессе производства собраны из этого же набора блоков.
                                                    Pos- терминал не является ключевым звеном для выполнения требований закона, но является, ввиду кривой настройки, источником проблемы описанной в статье.

                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                  Самое читаемое