Трансформация киберугроз: основные риски для сегмента МСБ

Основные цели злоумышленников — базы данных веб‑приложений с данными клиентов (интернет‑магазины, сервисы бронирования, доставки и тп) и учётные системы с информацией о сотрудниках (в первую очередь, корпоративные порталы). Через них добывают персональные данные, логины и пароли клиентов, платёжную информацию.

О типичных ошибках администраторов, новых угрозах с применением ИИ и пошаговом плане защиты для небольших компаний рассказываю в статье.

Экономия на безопасности

Обновления. В отличие от крупных компаний, в малом бизнесе редко разделяют тестовые и рабочие системы, а к базам данных пускают десятки сотрудников, хотя многим это и не нужно. Злоумышленники редко ищут уникальные баги. В большинстве случаев они просто заходят через «старые» уязвимости, которые бизнес забыл или не успел устранить.

Социальная инженерия. Фишинговые письма с подменой отправителя, звонки от псевдосотрудников техподдержки, взлом аккаунтов в публичных мессенджерах, установка вредоносного ПО под видом легитимного на рабочий компьютер. Конечная цель всех этих манипуляций — обманом получить права доступа, которые сотрудник никогда не отдал бы добровольно.

Базовая защита. Третий фактор, влияющий на рост кейсов с утечками — отсутствие настроенных базовых средств защиты информации, включая антивирусное ПО, мониторинг зловредной активности, двухфакторную аутентификацию, настройку прав доступа в соответствии с минимально необходимыми полномочиями.

Управление доступом. Безответственное отношение к привилегированным учетным записям, их групповое использование, бесконтрольная передача подрядчикам также приводит к утечкам через атаки на цепочки поставок. В результате злоумышленники получают несанкционированный доступ к панели управления хостингом, «админке» сайта, CRM и другим системам с чувствительными данными.

Тренд 2026 года: ИИ ускоряет атаки, время на размышления исчезает

Теперь проактивное реагирование становится единственной выигрышной стратегией. Необходимо максимально скрупулёзно отслеживать любые аномалии: от банального входа под учётной записью из нехарактерной геолокации до мониторинга запущенных нетипичных процессов, загрузки процессора и памяти. Не менее важно мониторить сами чувствительные данные и их окружение: события скачивания, срабатывание вебхуков, нетипичные запросы к базам данных или API, резкий рост исходящего трафика и любые изменения в настройках систем защиты.

В подобных реалиях у МСБ есть три пути:

1. Использовать облачные сервисы по автоматизации бизнес‑процессов, которые имеют встроенное качество безопасности за счет применения всех необходимых механизмов защиты, наличия средств мониторинга ИБ и специальных команд реагирования на инциденты.
2. Наладить внутренний контроль, то есть самостоятельно настроить системы так, чтобы они фиксировали все подозрительные действия, и заранее прописать план: что делать и кого отключать, если замечена атака.
3. Нанять «цифровую охрану», а именно передать безопасность на аутсорс в специализированный центр (SOC). Это как ЧОП, только для вашей ИТ‑инфраструктуры: профессионалы будут круглосуточно следить за вашими системами и вмешаются при первой попытке взлома.

Как МСБ защитить себя

В первую очередь необходимо регулярное практическое обучение пользователей, тренинги по распознаванию фишинга, безопасной работе с инструментами внешних коммуникаций и источников данных: почтой, мессенджерами, флешками, инфорамционными сайтами, маркетплейсами ПО. Такие занятия стоит проводить минимум раз в полгода с проверкой усвоения.

Обязательно внедрение EDR (Endpoint Detection and Response) на всех корпоративных устройствах. Классических антивирусов недостаточно: EDR‑агенты позволяют видеть аномальное поведение, например попытки шифрования или подозрительные скрипты, и блокировать атаки на конечных точках.

Двухфакторная аутентификация должна быть обязательно включена для всех внешних сервисов, тем более для любого административного доступа внутри сети. Аутентификация по SMS лучше, чем ничего, но предпочтительнее использовать TOTP‑приложения или аппаратные ключи.

Внутренняя сегментация сети и минимизация публично доступных сервисов помогает значительно затруднить действия хакера по компрометации систем и дает время атакуемой компании на реагирование и недопущение ущерба.

Для сайтов и веб‑приложений обязателен WAF (Web Application Firewall). Правильно настроенный межсетевой экран уровня приложений отсекает современные общеизвестные атаки. Современные облачные решения делают WAF доступным даже для микро‑бизнеса.

Также необходимо обеспечивать своевременные обновления всех компонентов программного обеспечения, исключение использования небезопасных версий ПО.