Скопировать ссылку
Сегодня компании SMB-сектора стали полноценными целями для киберпреступников. Если раньше хакеры атаковали только крупные компании, то теперь переключились и на SMB. Это объясняется несколькими причинами. Во-первых, активная цифровизация бизнеса, особенно после перехода на удалённую работу, значительно расширила возможности для атак. Чем больше цифровых сервисов использует компания, тем больше потенциальных уязвимостей. В SMB обычная схема: хакеры блокируют доступ к критически важным системам, полностью останавливая бизнес, например, работу интернет-магазина. Или похищают конфиденциальную информацию — базы данных клиентов, финансовую отчетность, внутреннюю корпоративную переписку — с целью дальнейшего шантажа. Средняя цена сегодня за возврат данных или работоспособности компании — несколько десятков миллионов рублей.
Особой интерес у хакеров представляют компании-поставщики или подрядчики крупного бизнеса. Их системы стали удобной «дверью» для атак на более серьёзные цели. Через взлом слабо защищенных систем небольших компаний-партнеров киберпреступники получают доступ к более ценным активам их крупных заказчиков. Как, например, было с компанией Right Line, клиентами которой были банки из топ-10 России. Взломав подрядчика, хакеры получили доступ к 600 ГБ данных клиентов: резервным копиям исходных кодов продуктов, внутренней документации, облаку со служебными документами и др.
Еще одна причина, почему хакеры переключились с крупного бизнеса на SMB, — геополитическая обстановка. Если до 2022 года кибератаки в основном преследовали финансовые цели, то сейчас появились новые, некоммерческие мотивы. Возникло такое явление, как хактивизм — кибератаки с политическими или идеологическими мотивами, где демонстрация собственной силы становится самоцелью, а финансовая выгода отходит на второй план.
В итоге все это привело к тому, что сегодня жертвами киберпреступников становятся представители SMB, которые еще два-три года назад считали себя «неинтересными» целями. Тем более, что современные хакеры редко тратят время на индивидуальный взлом конкретных компаний. Вместо этого они используют автоматизированные системы массового поражения и могут одновременно атаковать тысячи организаций. Причем атака может случиться в любой момент — завтра, через неделю или месяц. Поэтому всем компаниям, независимо от масштаба бизнеса, критически важно выстраивать надежную систему информационной безопасности.
Главные риски SMB-компаний: три критические точки атак
Как в SMB, так и в крупных компаниях наиболее уязвимым элементом системы защиты остаются люди. Достаточно бухгалтеру перейти по фишинговой ссылке в письме как будто бы «от банка», чтобы злоумышленники получили доступ к финансам. Или менеджеру подключиться к публичному Wi-Fi — и переписка с клиентами окажется в руках посторонних. Домашние Wi-Fi сотрудников и личные устройства также являются точками входа для хакеров, оставаясь вне контроля ИТ-отдела. VPN и межсетевые экраны теряют эффективность, когда половина команды работает с уязвимых ноутбуков и смартфонов. Главная ошибка — считать это временной проблемой. Хакеры уже давно атакуют через домашние сети сотрудников, используя слабую защиту личных устройств как троянского коня для проникновения в корпоративные сети. Поэтому учить сотрудников кибербезопасности нужно постоянно. Разовых лекций мало: правила защиты важно регулярно повторять и отрабатывать на практике, чтобы каждый сотрудник автоматически следовал им в работе.
Цифровая трансформация, при всех своих преимуществах, принесла и новые риски. Чем больше процессов автоматизировано, тем больше возможностей для хакеров найти брешь в программах, настройках или оборудовании. Например, компания может внедрить современную CRM-систему, но забыть настроить права доступа. В результате обычный менеджер увидит контракты всех клиентов, включая конфиденциальные. Или бухгалтерия переходит на облачный сервис, оставляя стандартный пароль «12345» — это выглядит так, как будто замок висит, но ключ лежит под ковриком для всех.
Кроме этого, многие организации, активно использующие виртуальные среды, даже не подозревают о скрытой опасности. Компании разворачивают тестовые машины для проектов, а потом попросту о них забывают. Эти «цифровые призраки» работают где-то на задворках инфраструктуры с устаревшим ПО и дырами в безопасности. Хакеры обожают такие цели: они не шумят, не занимают место в серверной, не требуют обслуживания, но через них можно получить доступ ко всей корпоративной сети. Незакрытый порт или необновленная программа на заброшенной виртуальной машине — и все, защита провалена.
Проблема усугубляется в облачных средах, где виртуальные машины продолжают потреблять ресурсы (и бюджет), оставаясь вне поля зрения ИТ-отдела. Решение требует системного подхода: внедрение строгого учета всех виртуальных активов, автоматического мониторинга их активности и четких процедур вывода из эксплуатации.
Как провести первую инвентаризацию и разобраться в своей ИТ-инфраструктуре
Для первичного аудита инфраструктуры, которая не потребует больших затрат, есть два варианта. Первый — воспользоваться бесплатными инструментами с открытым исходным кодом, например, Nmap — утилитой для сканирования сетей и выявления активных узлов инфраструктуры. Однако стоит учитывать, что подобные решения требуют определенного уровня экспертизы. Бесплатное программное обеспечение, как правило, неудобно в использовании и не имеет технической поддержки, поэтому на освоение и проведение сканирования может потребоваться дополнительное время.
Второй вариант — обратиться в специализированную компанию, оказывающую услуги по аудиту ИТ-инфраструктуры. Подрядчик не только проведет обследование, обнаружит потенциально уязвимые места, но и предоставит рекомендации по усилению защиты. Это оптимальный выбор, если в организации нет собственных компетенций для подобной работы.
Проведенный аудит выявит не только уязвимые места, но и неочевидные угрозы. Например, в компании с распределенной ИТ-инфраструктурой был случай, когда сотрудник незаметно установил на сервер программу для майнинга криптовалюты. Это не только замедляло работу систем, но и создавало дополнительные риски для безопасности. Благодаря сканированию сети и анализу трафика компания выявила майнера. Это позволило остановить нецелевое использование ресурсов.
Главное — начать с базового аудита, даже если он будет неидеальным. Это уже принесет позитивный эффект, который можно оценить в деньгах. После проверки инфраструктуры часто обнаруживаются неиспользуемые или избыточные мощности — их оптимизация сразу даст прямую экономию бюджета.
Что будет, если оставить уровень ИБ как есть
В июне 2025 года российский бренд одежды 12Storeez стал жертвой кибератаки. Хакеры проникли в корпоративную сеть через 1С — это позволило им получить доступ к критически важным данным. Злоумышленники не только зашифровали информацию, но и уничтожили около 30% резервных копий, что значительно осложнило восстановление. «Воротами» для входа в данном случае стали удаленные рабочие столы и VPN, не защищенные двухфакторной аутентификацией. Атака имела серьезные последствия: в магазинах сети произошли сбои в работе кассового оборудования, сайт и мобильное приложение полностью прекратили работу. Продажи как онлайн, так и в офлайн-точках были парализованы на 2–3 дня. Общий ущерб от инцидента составил около 48 миллионов рублей, включая убытки от простоя, потерянную выручку и затраты на восстановление инфраструктуры. Хотя 12Storeez не относится к малому бизнесу, этот случай остается тревожным сигналом для компаний любого масштаба и примером того, как недостаточные меры защиты могут привести к катастрофическим последствиям.
Чек-лист: 5 простых шагов по защите SMB-бизнеса
Определите критичные активы
После завершения инвентаризации наступает время для следующего шага — определения критически важных активов. Теперь, когда общая картина инфраструктуры ясна, необходимо выделить те элементы, от которых напрямую зависит непрерывность бизнес-процессов: какие серверы, системы или данные являются жизненно важными для операционной деятельности компании.
Такой анализ не требует сложных инструментов — начать можно даже с обычной таблицы, где последовательно описать каждый актив, его роль в бизнес-процессах и потенциальное влияние на работу компании в случае его недоступности или компрометации. Это позволяет создать карту приоритетов для дальнейшего планирования мер защиты.
Избавьтесь от лишнего
Параллельно с анализом критичности активов необходимо провести их оптимизацию. Это может быть следующим шагом. Исходя из понимания реальной востребованности оборудования и программного обеспечения, следует исключить из эксплуатации неиспользуемые компоненты. Например, виртуальная машина, которая не задействована в текущих процессах, должна быть немедленно отключена и удалена. Это не только снижает поверхность для потенциальных атак, но и сокращает затраты на обслуживание. Резервные копии таких систем можно сохранить на случай будущей необходимости, но их постоянная работа в активной среде недопустима.
Усильте защиту ключевых систем
Когда мы определили наиболее критичные для бизнеса активы, наступает этап укрепления их защиты. Очевидный шаг — это приобретение специализированных средств защиты. Но даже без приобретения ИТ-решений можно повысить безопасность: организовать регулярное резервное копирование данных, обновить пароли, отключить неиспользуемые службы, ограничить права доступа. При отсутствии внутренних экспертов разумно привлечь внешних специалистов для реализации защитных мер.
Сделайте безопасность процессом
Ну и наконец, необходимо выстраивать полноценную систему безопасности — не статичной конфигурации, а динамичного непрерывного цикла. Основу такой системы составляет регулярность ключевых действий: постоянный мониторинг активов, плановая оптимизация инфраструктуры, периодическая проверка критических компонентов. Важно интегрировать эти процедуры в операционную деятельность компании, чтобы безопасность стала органичной частью рабочих процессов.
Обучайте сотрудников постоянно
При этом критически важно интегрировать в этот процесс регулярную работу с персоналом. Сотрудники — самое уязвимое звено безопасности. Технику и программы можно защитить автоматически: вендоры выпускают обновления, устраняющие уязвимости в ПО, антивирусы обнаруживают практически все известные угрозы. Но человека автоматизировать нельзя. Чтобы сотрудники стали надежным звеном защиты, необходимо внедрить непрерывное и практико-ориентированное обучение. Короткие ежеквартальные тренинги должны имитировать реальные угрозы — например, фишинговые симуляции с мгновенным разбором ошибок или сценарные упражнения по отработке инцидентов. Регулярные тренировки по ИБ и тесты на проникновение (пентесты) также обязательны. Если сотрудник не проходит проверку, необходимо разобрать с ним ошибки и провести повторное тестирование. Критически важно предоставить персоналу понятные и доступные инструкции для повседневных задач: как проверить подлинность письма от руководства, как действовать при подозрительном звонке, как безопасно использовать устройства в удаленном режиме и т. д.
Цена бездействия
Утечка данных — это не только финансовые потери, но и удар по репутации, а также юридические последствия. Если вы храните данные клиентов, сотрудников или партнеров — вы уже оператор персональных данных и обязаны соблюдать требования закона № 152-ФЗ. За нарушения предусмотрены штрафы по статье 13.11 КоАП РФ до 300 тысяч рублей, а также возможна блокировка сайта.
Но финансовые и юридические последствия иногда не так страшны, как потеря бизнеса. Яркий пример — история небольшой юридической фирмы, специализировавшейся на сделках с девелоперами. В результате компрометации облачного хранилища произошла утечка договоров купли-продажи с персональными данными клиентов, заключений по объектам коммерческой недвижимости, финансовых условий сделок с инвесторами и т. д. Крупнейший заказчик (девелопер жилых комплексов) немедленно расторг контракт, остальные приостановили сотрудничество. Через четыре месяца компания закрылась. Причина — конфиденциальные документы хранились в открытом облаке без шифрования, обновления ПО игнорировались.
Поэтому сегодня информационная безопасность — не опция «для галочки» и не привилегия крупного бизнеса. Это фундаментальная потребность любой компании, работающей в цифровой среде. SMB-компании особенно уязвимы: их инфраструктура проще, бюджеты скромнее, но риски — те же, что и у корпораций. При этом выстроить базовую защиту часто дешевле, чем ликвидировать последствия одной успешной атаки.
