Криптография для МСБ: как шифрование данных спасает от утечек и штрафов

С чего начать шифрование данных?

Для малого бизнеса наиболее критичны: клиентская база, персональные данные клиентов и работников, бухгалтерские документы, договоры, коммерческие предложения, сканы документов, доступы к личным кабинетам, резервные копии, выгрузки из CRM и 1С.

Первое, что нужно сделать, это зашифровать пользовательские устройства. В первую очередь ноутбуки руководителей, бухгалтерии, отдела продаж, HR и работников на удаленке. Для Windows подойдет BitLocker. Для Linux обычно применяют LUKS через cryptsetup. Для macOS используется FileVault. Для Astra Linux также работают LUKS и штатные средства защитного преобразования данных.

Ноутбук легко потерять, украсть, забыть в такси, сдать в ремонт или списать без корректной очистки диска. Если диск не зашифрован, данные извлекаются напрямую с накопителя. Если же диск зашифрован, а пароль и ключ восстановления не лежат рядом с устройством, риск раскрытия информации резко снижается.

Второе направление — внешние носители. Флешки и внешние диски часто становятся источником утечек. Их теряют, передают подрядчикам, подключают к чужим компьютерам, оставляют у клиентов. Если на носителе есть документы компании, клиентские данные или персональные данные, носитель должен быть зашифрован.

Если оборудование или принтер не поддерживают зашифрованные носители, флешку можно использовать только для конкретной задачи. На ней не должно быть клиентских и персональных данных, архивов документов и постоянного рабочего набора файлов.

Третье направление, о котором часто забывают, — резервные копии. Компания может защищать рабочую базу, но хранить её копию на внешнем диске, сетевом хранилище или в облаке без шифрования. В таком случае атакующему не нужно взламывать CRM или сервер, достаточно получить резервную копию.

Четвертое направление — защищённые каналы связи. Удаленный доступ работников во внутреннюю инфраструктуру должен идти через корпоративную сеть или другой закрытый шлюз. Доступ должен быть управляемым: с многофакторной аутентификацией, журналированием и своевременным отключение учетных записей уволенных работников.

Отдельно стоит сказать про TLS. Доступ к внутренним системам через обычный HTTP без шифрования несёт риски. Это касается CRM, административных панелей, файловых порталов, систем мониторинга, внутренних API и других веб‑сервисов.

Пятое направление — передача файлов. Если работник отправляет договор, акт, реестр клиентов или выгрузку с персональными данными, файл не должен уходить обычным вложением в почту без защиты. Минимальный вариант — зашифрованный архив с надежным паролем (его нужно передавать по другому каналу).

Нужно ли шифровать серверы?

Если шифрование ноутбуков почти всегда оправдано, то с серверами ситуация сложнее из‑за RAID‑массивов, виртуализации и резервного копирования. Бездумное полнодисковое шифрование может создать проблемы при перезагрузке и восстановлении. На серверах шифруют резервные копии, выгрузки баз данных, тома с чувствительной информацией, виртуальные машины с критичными данными, секреты и конфигурации. Полнодисковое шифрование защищает только от физического доступа к накопителю и не работает, если злоумышленник получил права администратора в работающей системе.

Спасет ли шифрование от штрафов

Шифрованиене гарантирует отсутствие штрафа, но снижает вероятность утечки и помогает доказать, что меры защиты принимались.

Если компания работает с персональными данными, она является оператором персональных данных. Значит, она должна выполнять требования 152‑ФЗ, постановления Правительства РФ № 1119, приказа ФСТЭК России № 21, а в случае применения криптографических средств — ещё и приказа ФСБ России № 378.

Закон оценивает не только сам факт утечки, но и то, какие меры компания принимала для защиты информации. Поэтому шифрование лучше воспринимать не как способ не получить штраф, а как часть доказательной базы. Если у компании был защищённый канал СКЗИ (средства криптографической защиты информации), учёт ключей, ограничение доступа, журналы, инструкции и порядок реагирования на инциденты, её позиция при проверке и в суде будет сильнее.

Цена ошибки высока. За утечку персональных данных от 1 000 до 10 000 субъектов для юридического лица предусмотрен штраф от 3 до 5 млн рублей, от 10 000 до 100 000 субъектов — от 5 до 10 млн рублей, более 100 000 субъектов — от 10 до 15 млн рублей. При повторной утечке возможен оборотный штраф в размере от 1% до 3% выручки, но не менее 20 млн и не более 500 млн рублей.

Отдельный риск — неуведомление Роскомнадзора об инциденте. За это для юридических лиц установлен штраф от 1 до 3 млн рублей. Оператор обязан сообщить об инциденте в течение 24 часов, а в течение 72 часов предоставить результаты по итогам внутреннего расследования.

Для малого бизнеса почти всегда дешевле заранее внедрить базовую защиту, чем платить штраф после утечки. Напомню, что минимальный штраф за утечку от 1 000 субъектов начинается с 3 млн рублей.

Для небольшой компании на 5–10 рабочих мест стоимость клиентских лицензий, настройки защищённого доступа, базового комплекта документов и работы специалиста обычно исчисляется сотнями тысяч рублей, а не миллионами. Даже проект на 300–500 тысяч рублей обычно дешевле первого штрафа в 3–5 млн рублей.

Типичные ошибки и ограничения

Первая ошибка — это отсутствие управления ключами. Если ключи для восстановления лежат в открытом файле на общем диске, это не защита. Знание ключа только одним администратором накладывает риск остановки бизнеса.

Вторая ошибка — подмена контроля доступа шифрованием. Такая схема не мешает работнику с легитимным доступом выгрузить базу клиентов и отправить её себе на личную почту.

Третья ошибка — забытые резервные копии. Рабочая база может быть защищена, а её копия может находиться в открытом виде в сетевом хранилище или внешнем диске.

Четвертая ошибка — передача пароля тем же каналом, что и файла. Зашифрованный архив и пароль к нему в одном письме почти не отличаются от обычного вложения.

Пятая ошибка — шифрование серверов без плана восстановления. После сбоя может выясниться, что пароль никто не знает, удаленная консоль недоступна, ключи не сохранены, а восстановление невозможно.

Шестая ошибка — самодельная криптография. Для рабочих данных нельзя использовать самописные скрипты и непроверенные реализации.

Важно помнить, что шифрование не спасает от фишинга, вредоносного ПО в разблокированной системе, инсайдера, слабых паролей и ошибок в облачных правах доступа. Криптографическая защита — лишь один из уровней безопасности. Наряду с ней должны быть внедрены многофакторная аутентификация, резервное копирование, антивирусное средство, своевременное обновление, принцип использования минимальных прав, журналирование, обучение работников и план реагирования на инциденты.

Реализация на практике

Если доступ открыт через Интернет по логину и паролю, то это считается уязвимой схемой. Пароль могут скомпрометировать через фишинг. Работник может подключиться из небезопасной сети. Административные панели и внутренние сервисы не должны быть доступны напрямую из Интернета.

В такой ситуации нужно организовать защищённый канал между рабочим местом работника и облачной инфраструктурой. В облаке размещают шлюз или сервер доступа. На рабочем месте работника устанавливают клиентское приложение СКЗИ. Пользователю выдают ключевой набор или сертификат. После этого работник подключается к CRM или к базе через безопасный канал.

В части установки программы в компании должен быть назначен специалист, ответственный за работу с СКЗИ. Пользователи должны быть допущены к работе и ознакомлены с инструкциями. Установка фиксируется актом. СКЗИ, документация и ключевые документы учитываются в журнале. При выводе ключей из эксплуатации оформляется их уничтожение или списание.