«Нас не тронут»: почему малому бизнесу не стоит откладывать внедрение ИБ-решений

Защита данных — реальная инвестиция

По данным Роскомнадзора, за первое полугодие 2025 года зафиксировано более 35 масштабных утечек персональных данных. В результате было скомпрометировано более 39 млн учетных записей: на 40 % больше, чем за аналогичный период 2024 года. Эти цифры показывают: цифровые угрозы растут, и под ударом оказываются как крупные, так и небольшие компании.

При этом малый бизнес часто воспринимает риск утечек как второстепенный. Для них подобная информация нередко не кажется критичной, а сами предприниматели могут не придавать значения защите собственных данных и данных заказчиков. Кроме того, злоумышленники редко афишируют сливы небольших компаний — их просто используют «втихую» для своих целей. А штрафы остаются фактором риска только в случае, если нарушение вскроется. При этом многие компании и вовсе не знают об изменениях в законах, например, о введении оборотных штрафов за утечки.

Но пока бизнес концентрируется на производстве, продажах и работе с клиентами, злоумышленники видят в нем только одно: «счет в банке, доступный для опустошения», и компанию, которую можно шантажировать. Поэтому инвестиции в информационную безопасность — это вовсе не трата на «стоящее без дела решение», а реальная защита денег и деловой репутации.

Такое ощущение безопасности во многому иллюзорно. Вообще, когда говорят об ИБ, обычно имеют в виду взломы компаний и утечки данных. Но что происходит внутри бизнеса при атаке APT‑группировок или хакеров‑самоучек? На самом деле риски для его финансового состояния очень серьезны. В первую очередь же страдают критичные системы, например, CRM: в результате инцидента может полностью приостановиться формирование заказов, расчеты, логистика и другие процессы.

Помимо CRM есть и другие ИТ‑ресурсы, которые злоумышленники могут «заморозить» ради выкупа. Зашифровав инфраструктуру, они могут оценить выручку компании и потребовать сумму, сопоставимую с ее доходами. Оплата такой «атаки» может поставить бизнес на грань банкротства. Остается альтернатива — ничего никому не платить и восстанавливать данные из архивов, чтобы возобновить бизнес‑процессы, но это потребует драгоценного времени и приведет к простоям. Для малого бизнеса даже короткая остановка таких процессов способна нанести ощутимый финансовый и репутационный ущерб: каждый час простоя — это же, по сути, упущенная выгода, сорванные сделки и уходящие к конкурентам клиенты.

Восстановление после серьезной атаки может занять некоторое время (несколько дней или даже недель). Затраты включают не только возможный выкуп (который, к слову, вовсе не гарантирует возврат данных), но и оплату услуг специалистов по ликвидации последствий. Причем практика показывает, что повторные атаки после выплаты выкупа встречаются довольно часто. Выгода информационной безопасности очевидна: предотвращение простоев сохраняет непрерывность бизнеса и репутацию — клиенты ценят надежность и, зная о вашей защите, уверены, что вы выполните обязательства в полной мере и в срок.

Руководитель отдела развития продуктов компании «АйТи Бастион» Алексей Ширикалов
Фото: АйТи Бастион

Уязвим каждый бизнес с выходом в Интернет

Именно массовый и автоматизированный характер современных атак объясняет, почему профилактика столь важна. Существуют два подхода распространения угроз: целенаправленные атаки на крупные компании «по заказу» с целью сорвать «большой куш» и «ходьба по открытым дверям» — попытки проникнуть к тем, у кого есть доступные для эксплуатации уязвимости. Злоумышленники не тратят ресурсы на ручной отбор целей. Их инструмент — это автоматизация: сканеры ищут открытые порты, уязвимые версии ПО, слабые пароли и незащищенные веб‑интерфейсы по всему Интернету, без разбора по масштабу бизнеса; фишинговые рассылки уходят сотнями тысяч, вредоносные ссылки распространяются в мессенджерах и корпоративной почте.

Любая компания с подключением к Интернету становится частью такой цифровой воронки. Задача злоумышленника — заработать деньги. Взлом крупной компании с серьезной защитой потребует много времени и ресурсов, а потенциальная выгода может быть ограниченной. А автоматизированный взлом десятков или сотен малых компаний позволяет получить намного больше: даже если выкуп удастся «вытянуть» только с 70 % компаний, общая сумма может существенно превышать потенциальную прибыль от одной крупной цели. Именно поэтому малый бизнес остается легкой и привлекательной добычей.

Эксперты подчеркивают: такой подход делает все компании одинаково уязвимыми, а небольшие — особенно. «Киберпреступникам сегодня не нужно выбирать цели вручную. Автоматизированные инструменты находят уязвимые точки входа за считанные минуты — и в этом смысле малый бизнес ничем не отличается от крупного. Если вы не защищены — вы в зоне риска. Сюда же относятся и украденные данные: это не только перепроданные базы, но и учетные записи от вашей инфраструктуры, которые достаточно купить в даркнете, чтобы зайти в ИТ-системы компании через парадную дверь», — отмечает руководитель отдела развития продуктов компании «АйТи Бастион» Алексей Ширикалов.

Даже небольшие компании под ударом

При этом даже небольшие объемы данных или доступов могут стать критичными. По его словам, одна из самых распространенных ошибок — недооценка стоимости данных. Даже минимальный объем клиентской информации (ФИО, контакты, история заказов) представляет интерес для злоумышленников. Еще больше интерес вызывают доступы: к облачным сервисам, бухгалтерии, внутренним системам. Утечка или компрометация таких данных влечет за собой не только оборотные штрафы со стороны законодательства и прямые финансовые потери, но и потенциальные репутационные риски. Хотя представители малого бизнеса отмечают: утечки для них — обычное явление, и если компания не связана напрямую с ИБ, репутацию это часто не портит, поскольку окружающие воспринимают это как «да, бывает, ничего страшного». Но в особо тяжелых случаях возможны ситуации, когда работа компании становится невозможной.

«Бывали случаи, когда небольшие компании теряли бизнес из-за банального фишинга: письмо от условного «банка» открыл бухгалтер и ввел данные, администратор использовал один и тот же пароль для личного и рабочего аккаунта или забыл поменять пароль уволенного, обиженного сотрудника. После каждого из этих случаев злоумышленник получает приглашение на доступ. Эти истории — не исключения, а типичная практика», — поясняет эксперт.

Также Алексей Ширикалов добавляет: «Бывают и более хитрые случаи. Например, злоумышленник попал в инфраструктуру компании и подменил драйвер принтера так, что при отправке платежки на печать автоматически подставлялся другой номер счета — и деньги могли уйти мошенникам. Удалось ли преступнику получить желаемое — история умалчивает, но сам подход очень нестандартен и интересен. Потери в таких случаях исчисляются не десятками миллионов, а меньшими суммами, но стоит только задуматься: на что способна смекалка мошенников, чтобы добраться до чужого кармана».

И это лишь один пара примеров. В целом количество атак продолжает расти. Угрозы становятся не только массовыми, но и всеохватывающими: по данным аналитиков Innostage, уже в первом квартале 2025 года количество DDoS-атак на малый и средний бизнес выросло более чем на 60 % по сравнению с аналогичным периодом 2024 года. При этом под удар попадают даже сайты индивидуальных предпринимателей, одностраничные интернет-магазины и небольшие локальные сервисные компании — те, кто еще недавно считал себя «неинтересными» для киберпреступников.

Простой и доступный шаг без ИБ-отдела

Становится очевидным: безопасность — не роскошь, а базовая потребность бизнеса. И это подтверждается статистикой: 37 % средних и малых компаний признают, что уровень их информационной безопасности недостаточен. С 2022 года их доля выросла на 32 % и продолжает расти до сих пор. При этом значительная часть таких компаний вовсе не имеет выделенных ИБ‑специалистов и бюджетов или даже простых механизмов контроля за удаленными ИТ‑подрядчиками, например. В условиях острого дефицита экспертов — согласно исследованию 2024 года — 41 % компаний сталкивается с нехваткой ИБ‑кадров.

С чего начать? Как минимум стоит обратить внимание на несколько ключевых аспектов. Прежде всего необходимо осознать, что информационная безопасность является неотъемлемой частью любого бизнеса. Одним из приоритетов должна стать защита сервисов, направленных в Интернет. Эту задачу целесообразно передавать аутсорсинговым компаниям, которые обеспечат круглосуточную защиту от DDoS-атак, сканеров, brute force и других методов поиска уязвимостей.

Не менее важна сегментация сети: она позволяет локализовать злоумышленника в случае проникновения и не допустить его доступа к критически важным системам. Существенную роль играет и обучение сотрудников — самый сложный элемент в цепочке. Здесь необходим индивидуальный подход, практические занятия и регулярные проверки усвоения материала.

Создание резервных копий также критично: они служат точкой возврата к исходному состоянию, при этом хранить их необходимо отдельно от основной инфраструктуры. Отдельного внимания требуют привилегированные учетные записи. Если злоумышленник получает доступ к учетной записи администратора, он фактически получает контроль над всей инфраструктурой.

Сегодня на российском рынке стремительно растет число решений и методов защиты ИТ-инфраструктуры. Одновременно увеличивается и спрос на базовые инструменты, которые позволяют закрыть самые опасные точки в компании и минимизировать критические риски.

Именно поэтому на рынке появляются решения, ориентированные на реалии малого бизнеса, которые можно внедрить даже при ограниченных ресурсах. Например, СКДПУ НТ Старт — более «легкая» версия корпоративной системы контроля привилегированных пользователей (ПАМ (en. PAM — Privileged Access Management), модернизированная специально с прицелом на малый и средний бизнес. Она помогает закрыть основные риски, связанные с доступом к критическим системам, и не требует сложной инфраструктуры. Установка, настройка и эксплуатация возможны силами штатного ИТ-специалиста — без необходимости привлекать отдельный отдел информационной безопасности.

Это решение не просто функционально, но и удобно для ежедневного использования. Старт позволяет контролировать, кто и когда получает доступ к системам, фиксировать все действия пользователей с повышенными правами, записывать сессии и даже предотвращать инциденты ИБ до того, как они произойдут. При необходимости система также предоставляет доказательную базу. Решение поддерживает внешнюю двухфакторную аутентификацию, гибкое управление ролевыми моделями.

Как отмечают разработчики, решение учитывает реальную практику компаний. «Мы видим, что малый бизнес все чаще сталкивается с необходимостью контролировать действия аутсорсеров, особенно в сфере ИТ, — комментирует Алексей Ширикалов. — И здесь ключевое слово — доверие, подкрепленное контролем. СКДПУ НТ Старт помогает выстроить этот контроль прозрачно, без сложных внедрений и больших затрат, но получить функционал, доступный ранее только большим корпорациям. Он и назван так специально, чтобы было с чего стартовать в ИБ».

Особенно актуально это для компаний, которые работают в облачных сервисах, используют удаленный доступ или привлекают внешних подрядчиков для технической поддержки. Опасность последних в том, что их действия мы не можем полностью контролировать, и в случае инцидента часто невозможно доказать их вину. Если сложно доверять своим сотрудникам, как довериться тем, кого никогда не видел? Старт становится логичным первым шагом — не требующим крупного бюджета, но дающим быстрый и осязаемый результат: контроль и спокойствие за критически важные ресурсы.

Не ждать проблемы, а действовать сейчас

Игнорирование базовых мер защиты по-прежнему остается массовой проблемой. Один общий пароль администратора, подрядчик без контроля, внутренние сервисы, выходящие в Интернет по стандартным портам, забытый тестовый сервер без обновлений или письмо от генерального директора — и перед злоумышленниками открываются двери в «сердце» компании. Например, эксперты Лаборатории Касперского отмечают, что в 2022-2023 годах основной вектор атак на малый и средний бизнес как раз пришелся на RDP (протокол службы удаленного рабочего стола), когда преступники использовали украденные или подобранные учетные данные.

На этом фоне внедрение даже базовых решений значительно снижает риски. Так, СКДПУ НТ Старт помогает малому бизнесу избавиться от таких очевидных уязвимостей: ограничить и зафиксировать доступ, вести учет действий, подключить двухфакторную авторизацию, разграничить полномочия. Но не только. Это инструмент для постепенного построения комплексной ИБ-культуры, где безопасность — не стихийная мера, а осознанный элемент управления бизнесом.

«Безопасность — это долгий и многоэтапный процесс. Но он должен с чего-то начинаться. И задача продуктов ИБ — сделать этот первый шаг понятным, недорогим и максимально эффективным», — резюмирует эксперт.

Тем более что сегодня целью преступников становятся не только корпорации, но и те, кто послабее. Если у бизнеса нет средств на полноценную ИБ-команду, тем более важна прозрачность и автоматизация контроля доступа. Поэтому внедрение решений, подобных Старту, — это не просто страховка, а шаг к зрелости и устойчивости. Неважно, сколько человек работает в компании — важно, как она готова защищать себя изнутри. Стоимость базовых мер защиты сопоставима с ценой одной атаки, но несравнимо меньше тех сил и нервов, которые придется потратить на устранение ее последствий. Чем меньше рисков у компании, тем устойчивее ее положение. И среди множества возможных угроз нельзя забывать об одной из самых опасных и непредсказуемых — атаках на ИТ-инфраструктуру бизнеса.