Малый бизнес под прицелом: почему 70% утечек данных приходится на МСБ

Российские компании малого и среднего бизнеса стали основной мишенью киберпреступников — на них приходится около 70% всех утечек данных в результате атак. При этом многие владельцы до сих пор уверены, что злоумышленникам они неинтересны. Эта ошибка обходится дорого: один день простоя может стоить компании больше, чем годовые вложения в защиту, а штрафы за утечку персональных данных достигают 15 млн рублей. Разбираемся, сколько на самом деле нужно вкладывать в безопасность и что будет, если этого не делать.

Смена тактики: от выкупа к разрушению

По данным экспертно-аналитического центра InfoWatch, порядка 70% утечек данных приходятся на малый и средний бизнес. Руководитель отдела по работе с клиентами среднего и малого бизнеса «Лаборатории Касперского» Алексей Киселев подчеркнул, что Россия стала самой атакуемой страной в мире. «Отмечу, что по данным нашей киберразведки (Threat Intelligence), в третьем квартале этого года российские организации столкнулись с беспрецедентным числом кибератак — инциденты фиксировались практически ежедневно», — рассказал эксперт.

Сейчас атаки делятся на две группы: хактивизм с целью нанести ущерб и получить огласку, и финансово-мотивированные преступления, поясняет руководитель отдела защиты информации InfoWatch ARMA Роман Сафиуллин. Злоумышленники подстраиваются под масштаб бизнеса и требуют такой выкуп, который компания способна заплатить.

При этом если раньше злоумышленники охотились в основном за крупной добычей, то теперь цель — нанести максимальный ущерб любому бизнесу, включая самый мелкий. «Если раньше целью мошенников было получение денег от атакуемого, то сейчас — просто нанесение ущерба», — объясняет директор технического департамента RTM GROUP Федор Музалевский. По его словам, атаки типа отказа в обслуживании и вирусы-шифровальщики, которые фактически парализуют работу компании, стали преобладать именно в последние год-два.

Новая угроза: МСБ как слабое звено в цепочке

Особую опасность представляют атаки через цепочки поставок, где малый бизнес становится уязвимым промежуточным звеном для проникновения к крупным партнерам.

Старший аналитик направления аналитических исследований в Positive Technologies Дарья Лаврова приводит тревожную статистику: если в 2023 году и первой половине 2024-го доля атак через цепочку поставок составляла лишь 2%, то сегодня этот показатель вырос до 4%. «Однако не следует обманываться относительно невысокой долей таких инцидентов – они особенно опасны, поскольку компрометация даже одного поставщика открывает злоумышленникам путь к атакам сразу на несколько компаний», — говорит эксперт.

Еще более драматичный рост показывают атаки с использованием шифровальщиков: с 1 июля 2024 года по 26 сентября 2025 года их доля выросла с 25% до 35%. Малый и средний бизнес особенно уязвим к таким атакам из-за высокой чувствительности к репутационным потерям, что побуждает компании идти на уступки вымогателям, чтобы избежать проверок и крупных штрафов, пояснила Лаврова.

Меняется и характер социальной инженерии. Эксперты подчеркивают, что теперь это не массовые рассылки, а целевые атаки с многоступенчатой подготовкой.

«Вашему бухгалтеру придет письмо именно от вашего гендиректора с требованием срочно предоставить какой-то отчет по форме во вложении. Форма, разумеется, содержит специальные макросы, и надо отключить антивирус, чтобы ее посмотреть. Что дальше — вы понимаете». 

Федор Музалевский, директор технического департамента RTM GROUP

Злоумышленники сначала завоевывают доверие, маскируясь под представителей компаний той же отрасли или потенциальных клиентов, и только спустя время направляют вредоносные вложения.

Реальная картина защищенности МСБ

«В среднем защищенность МСБ находится на уровне ниже среднего», — считает основатель компании Soltecs Анатолий Волков. По его словам, для таких организаций характерно, что не все пользовательские компьютеры или даже серверы имеют развернутые системы антивирусной защиты, есть проблемы с полнотой резервных копий, их регулярности выполнения и проверкой возможности восстановления.

МСБ характерно тратить как можно меньше средств на защиту данных.

«Сейчас для представителей МСБ кибербезопасность — это скорее что-то вынужденное и чужеродное».

Анатолий Волков, основатель компании Soltecs

В свою очередь, генеральный директор ИТ-компании Lansecurity Николай Барков делится опытом своей компании. «По опыту, большинство наших клиентов вообще не задумываются о проблеме безопасности, пока не столкнутся с последствиями атаки. Поэтому при работе с новым заказчиком мы обязательно проводим аудит и создаем базовые уровни защиты», — рассказал эксперт.

Избаенков считает, что главная проблема такой картины — заниженная оценка рисков. Вторая причина, по мнению эксперта, — нехватка знаний и времени: предприниматель думает о продажах, а не о настройках политик безопасности.

Музалевский подчеркивает, что бизнес должен понимать свои риски. Он приводит такой пример, что для пилорамы кибератака влечет несущественные потери, а вот для интернет-магазина — весьма весомые. Как только МСБ начнет рассчитывать риски — сразу появится и бюджет, и приоритет, и знания, уверен эксперт.

Цена вопроса: во что обходится отсутствие защиты

Последствия успешной кибератаки можно разделить на четыре группы: убытки от приостановки бизнеса, затраты на восстановление, штрафные санкции и репутационные потери, рассказывает руководитель департамента информационной безопасности BPMSoft Александр Казаков.

Эксперт приводит конкретные цифры: крупный ритейлер или промышленник могут терять ежедневно десятки миллионов рублей из-за остановки процессов. Один день простоя федеральной торговой сети может привести к убыткам вплоть до 100 млн руб.

«Многие думают: мы маленькие, нас не тронут, или авось пронесет. На деле атакуют всех, кто виден в интернете — от сайта пекарни до регионального магазина».

Артем Избаенков, директор платформы облачной киберзащиты Solar Space, ГК «Солар» 

Говоря о сроках реабилитации, то при уничтожении ключевых конфигураций или шифровании всей базы данных процесс может длиться месяцами, особенно если речь идет о восстановлении серверов с нуля, подчеркнул Казаков.

Штрафы за нарушения добавляют существенную статью расходов. По словам Казакова, за нарушение закона о персональных данных максимальная санкция при утечке достигает 15 млн руб., а за нарушение условий хранения биометрической информации — до 20 млн. При повторной утечке возможны штрафы размером до 1–3% годовой выручки компании, но не менее 20 млн и не более 500 млн руб.

Минимум, который спасет бизнес

Ключевой вывод всех экспертов единодушен: очень важно, чтобы сотрудники знали правила информационной безопасности. «Минимальный уровень — это обученный персонал. Причем не только ИТ и ИБ, но и рядовые пользователи. При плановом обучении основам безопасности более 90% атак не действуют», — сообщает Музалевский.

Помимо человеческого фактора, есть обязательный технический минимум, на котором нельзя экономить: 

Первое — антивирусная защита на всех устройствах без исключения. Это могут быть как встроенные решения вроде Windows Defender, так и платные продукты российских вендоров с централизованным управлением, которые позволяют контролировать порты, внедрять шифрование и запрещать запуск нежелательного ПО. 

Второе — резервное копирование данных с обязательной регулярной проверкой восстановления. Причем копии должны храниться изолированно от основной сети, чтобы шифровальщик не добрался и до них. 

Третье — регулярное обновление всего программного обеспечения для закрытия уязвимостей.

Следующий уровень защиты — это контроль доступа и сетевой периметр. Здесь речь идет о правильно настроенном межсетевом экране, который отделяет корпоративную сеть от интернета и блокирует нежелательные подключения. Казаков подчеркивает важность сегментации сети: «Как минимум нужно отделить офисную сеть от производственной, и если есть публичные ресурсы, то изолировать их в dmz (Demilitarized Zone)». Обязательны строгая парольная политика, многофакторная аутентификация и систему защищенного доступа к корпоративной сети.

Барков приводит пример из практики: у многих компаний без системного администратора нет никакой защиты периметра, и их компьютеры часто доступны напрямую из интернета — это открытые ворота для злоумышленников.

Для компаний, которые всерьез зависят от цифровых процессов, критически важны системы мониторинга и анализа. SIEM-системы или хотя бы централизованное логирование позволяют расследовать инциденты и видеть картину целиком. Дополнительно стоит внедрить систему поиска уязвимостей, которая будет регулярно сканировать инфраструктуру на слабые места, и если у компании есть сайт или приложение — обязателен WAF для защиты веб-приложений.

Лаврова из Positive Technologies также рекомендует малому и среднему бизнесу средства для защиты конечных точек EDR, анализа сетевого трафика NTA или NDR, сетевые песочницы для проверки подозрительных файлов. «Целесообразно выстраивать эшелонированную защиту, сочетая решения, обеспечивающие защиту периметра сети, отдельных хостов и чувствительных данных», — подытоживает она.

Важно понимать, что у каждого класса решений есть своя цена не только покупки, но и внедрения и поддержки. Ведущий специалист департамента кибербезопасности UDV Group Николай Нагдасев предупреждает: все, что выходит за рамки базового набора — опционально, и при отсутствии требований регулятора на результативную безопасность влияет косвенно, а совокупная стоимость покупки, внедрения и поддержки достаточно высокая. Поэтому выбор нужно делать исходя из реальных рисков конкретного бизнеса.

Сколько тратить: конкретные расчеты

Директор платформы облачной киберзащиты Solar Space, ГК «Солар» Артем Избаенков рекомендует выделять 5–10% от ИТ-бюджета или 1–3% от оборота компании. Для микробизнеса это может быть 5–10 тыс. рублей в месяц, для компаний побольше — несколько сотен тысяч в год. Главное — не ноль.

Киселев предлагает другой подход к оценке: если бизнес-процессы автоматизированы и сбой в доступе к данным может привести к остановке или потере бизнеса — пора снижать риски. Он советует считать ROI на новые проекты с учетом их защиты, задаваясь вопросами: сколько компания потеряет при возможном сбое и во сколько обойдется защита. После этого выводы приходят сами.

Когда нужен CISO, а когда — аутсорсинг

Вопрос найма собственного специалиста по безопасности требует трезвого расчета. Руководитель экспертно-аналитического центра InfoWatch Михаил Смирнов отмечает, что CISO — это уровень вице-президента или заместителя директора, что вряд ли целесообразно в небольшой компании. «Желательно, чтобы был собственный специалист, который будет формировать требования ИБ на основании ценности цифровых данных, процессов для бизнеса и документов регуляторов. В штате он будет или на аутсорсе — неважно, зависит от его ответственности согласно трудовому договору», — отмечает эксперт.

Практические выводы для владельцев бизнеса

Суммируя опыт экспертов, можно выстроить четкую стратегию защиты в зависимости от масштаба компании. 

Для микробизнеса с минимальным бюджетом достаточно обучения персонала основам кибергигиены, антивируса на всех устройствах, резервного копирования с проверкой восстановления и базового файрвола на роутере. 

Для малого бизнеса со штатом до 50 человек добавляются система защищенного доступа к корпоративной сети, строгая парольная политика, многофакторная аутентификация, система поиска уязвимостей и регулярное обновление программного обеспечения. 

Средний бизнес должен внедрить полноценную сегментацию сети, SIEM-систему или централизованное логирование, средства защиты конечных точек, систему контроля доступа и при наличии онлайн-сервисов — WAF. 

Во всех случаях обязательны три вещи: обучение персонала, резервное копирование с регулярной проверкой и план реагирования на инциденты. Экономия на этих базовых элементах оборачивается потерями, которые в десятки и сотни раз превышают стоимость защиты.