UDV Group: Разбираем самые дорогостоящие ошибки SMB в безопасности

В статье разберем самые частые и дорогостоящие ошибки SMB в безопасности и дадим готовый план действий, как проверить свои слабые места и усилить защиту за короткий срок.

Ваш бизнес уже работает в интернете, даже если вы просто принимаете заказы через мессенджеры или храните отчеты в облаке. А значит, он уже находится в зоне видимости хакеров, которые сканируют тысячи компаний одновременно в поисках уязвимостей. Их не интересует ваш оборот — только слабые пароли, устаревшее ПО и беспечность сотрудников. Рассказываем, какие ошибки открывают двери хакерам и как создать надежный барьер против атак без миллионных бюджетов.

Почему SMB привлек внимание хакеров

Еще недавно кибератаки ассоциировались исключительно с крупным бизнесом: банками, корпорациями, государственными структурами. Но сегодня правила игры изменились. Хакеры всё активнее обращают внимание на сегмент SMB, и теперь он стал для них не менее интересной целью, чем крупные компании. Почему так произошло?

Цифровизация. Пандемия и переход на удаленную работу ускорили цифровую трансформацию SMB. Компании активно внедряли облачные сервисы, CRM-системы и инструменты для удаленного доступа. Но каждый новый цифровой канал стал потенциальной лазейкой для злоумышленников. Хакеры используют автоматизированные сканеры, которые массово проверяют тысячи компаний на наличие уязвимостей: открытые RDP-порты, устаревшее ПО, стандартные пароли. Как только находится слабое звено — следует немедленная атака.

Высокий доход, низкие риски. Для киберпреступников SMB — идеальная цель: такие компании часто пренебрегают резервным копированием, не имеют штатных ИБ-специалистов и готовы заплатить выкуп ради быстрого восстановления работы. Блокировка интернет-магазина или шифрование баз данных парализует бизнес, заставляя владельцев идти на условия шантажистов. Средний выкуп измеряется миллионами рублей, что делает такие атаки высокодоходным бизнесом.

Атаки через поставщиков. Особую группу риска представляют компании-поставщики крупного бизнеса. Взлом слабо защищенного подрядчика становится «троянским конем» для доступа к данным его крупных клиентов. Яркий пример — история с IT-компанией Right Line, через которую хакеры получили доступ к исходному коду решений, используемых в банках из топ-10 России.

Геополитика и хактивизм. С 2022 года добавился некоммерческий фактор — хактивизм. Идеологически мотивированные хакеры атакуют компании для демонстрации силы или политического протеста. Финансовая выгода для них вторична, что делает угрозу менее предсказуемой и более разрушительной. Кстати, ответственность за недавнюю атаку на «Аэрофлот» взяло на себя украинско-белорусское объединение Silent Crow и Belarus Cyber-Partisans.

Сегодня кибератаки стали массовыми и неизбирательными — каждый подключенный к интернету бизнес уже в зоне риска 

Киберпреступники используют автоматизированные системы сканирования и эксплуатации уязвимостей, которые меньше чем за минуту способны проанализировать тысячи компаний, выявить слабые места и запустить атаку — без участия человека.

Это превратило киберпреступность в конвейер: злоумышленникам не нужно целенаправленно атаковать конкретную жертву вручную. Их инструменты работают как «сетевые тралы», вылавливая всех — от локального кафе до ритейл-стартапа. Достаточно иметь хотя бы одну уязвимость в публичном доступе — и атака неизбежна.

Самые частые ошибки SMB, которые упрощают жизнь хакерам

SMB-компании не обучают своих сотрудников кибергигиене, хотя персонал — главная дверь для хакеров. По статистике 50% утечек данных происходят из-за того, что хакеры манипулируют людьми, а не взламывают коды. Прямо сейчас ваш бухгалтер может переводить деньги мошенникам, думая, что выполняет ваше указание, присланное с вашего ТГ-аккаунта. Или менеджер по продажам передает переписку с клиентами, подключаясь в кафе к публичному Wi-Fi. Это не теория. Это реальные случаи, которые происходили с компаниями SMB. Все технологии бессильны, когда человек по незнанию или невнимательности открывает дверь хакерам. Они давно поняли: зачем взламывать системы, если можно просто обмануть человека? Это дешевле и быстрее, и главное, работает даже в компаниях с дорогими системами защиты.

SMB-компании допускают слабые пароли. А вы уверены, что ваши сотрудники не используют «ключи» вроде «12345678» или «admin»? Такие простые варианты алгоритмы хакеров взламывают менее чем за минуту. Для них это даже не взлом, а табличка «Добро пожаловать».

SMB-компании не обновляют вовремя ПО. Устаревшие программы — это мины замедленного действия в IT-инфраструктуре. Пока вы читаете этот текст, хакеры сканируют интернет в поисках серверов с незакрытыми уязвимостями в популярном ПО: 1С, WordPress, Java, Windows Server и др. Как только находится система без последних обновлений — следует мгновенная атака. Правило «Работает — не трогай» здесь совсем не подходит. Хакеры не ищут новые уязвимости — они используют старые, которые компании ленятся закрывать.

SMB-компании игнорируют резервное копирование. Хотя всего одна атака вируса-шифровальщика способна не только парализовать работу, но и полностью уничтожить бизнес. Классическая схема: хакеры шифруют все данные — от финансовых отчетов до баз клиентов — и требуют выкуп за «ключ». Сумма выкупа может варьироваться от размера бизнеса и аппетитов хакеров.

Например, с фешн-сети 12Storeez в июле 2025 года они потребовали 20+ млн рублей за ключи к расшифровке данных, а с «Винлаба» за то же самое около $100 млн по данным «Коммерсантъ». Но они отказались платить, и правильное сделали: нет никакой гарантии, что после перевода выкупа вам пришлют ключ, а если пришлют — не факт, что с его помощью получится расшифровать данные (хакеры не особо беспокоятся по поводу качества ключей). Плюс кошелёк злоумышленников, на который они просят перевести выкуп, может быть связан с финансированием терроризма. И любой, кто перевел бы на него средства, может попасть под уголовную ответственность.

SMB-компании не уделяют достаточно внимания настройке межсетевых экранов, особенно тех, которые обеспечивают удаленную работу сотрудников. Проблема обычно возникает из-за желания сделать всё быстро и просто. Например, если у сотрудника не работает VPN, вместо того чтобы разбираться в причине, ему могут просто выдать все возможные права — «чтобы наверняка подключился».

В этот момент компания решает сиюминутную проблему, но создаёт огромную брешь в безопасности. Хакеры атакуют через незакрытые порты, избыточные права сотрудников и т.д. Они особенно активно ищут такие «временные» настройки, которые компании забывают исправить месяцами. Проникновение происходит не благодаря сложным атакам, а из-за элементарной небрежности.

Почему SMB не обеспечивают достойные меры защиты? Дорого! 

«Кибербезопасность — это дорого» — одно из самых частых и опасных заблуждений, с которым сталкиваются владельцы SMB 

Этот миф давно устарел, но продолжает мешать компаниям защищаться от реальных угроз. Когда собственники слышат непонятные термины вроде SIEM, EDR или DLP, то сразу представляют себе космические технологии. А когда узнают, что крупнейшие корпорации отрасли тратят на безопасность миллионы, и вовсе опускают руки — кажется, что это не для них.

Но на самом деле ситуация изменилась. На российском рынке уже появились новые средства защиты, разработанные специально для сегмента SMB. Они отличаются доступной стоимостью, быстрым внедрением и не требуют глубоких знаний по информационной безопасности для сопровождения. Сейчас рынок ИБ меняется, как рынок сотовой связи в начале 2000-х: как 25 лет назад сотовые телефоны из предмета роскоши стали массовым продуктом, так и технологии защиты уровня Enterprise становятся доступны для малого и среднего бизнеса.

С чего начать ИБ. Чек-лист по бесплатным или бюджетным способам защиты ИТ-периметра

Проведите аудит. Составьте полный список используемого в компании программного обеспечения и оборудования (рабочих компьютеров, серверов, виртуальных машин и т.д.). Необходимо проверить, где есть дыры в защите, прежде чем их найдут хакеры. Сделать это можно своими силами, с помощью решений для инвентаризации активов и сканирования на уязвимости, или пригласить внешних экспертов.

Определите недопустимые события ИБ. Выделите 2-3 системы, простой которых остановит бизнес, и начните с них. Это не только сэкономит ресурсы, но и создаст реальный барьер против угроз, которые действительно имеют значение.

Помните: хакеры всегда бьют в самое уязвимое место. Ваша задача — сделать так, чтобы этим местом оказалась не ваша ключевая система. Например, для интернет-магазина критичными будут сайт и платёжный шлюз, для юридической фирмы — система документооборота. Производственные компании наиболее уязвимы при остановке систем управления цехом, а финансовые стартапы должны в первую очередь защищать платформы переводов и базы данных клиентов. При этом важно понимать, что критичные системы часто связаны между собой. Взлом корпоративной почты может открыть путь к финансовым системам, а утечка данных из CRM — стать причиной шантажа и репутационного кризиса.

Установите/обновите антивирус. Это как раз тот самый продукт, который легко внедрить самостоятельно в любую инфраструктуру. Установите его — и уже через 10 минут ваши компьютеры начнут отбивать атаки вирусов и вредоносных программ. И он точно обойдется вам дешевле, чем простой бизнеса в случае взлома.

Настройте межсетевой экран для защиты периметра инфраструктуры. Его главная задача — не пропускать трафик, которого быть не должно. Он защитит сеть от сканирования, вирусов, хакерских атак и утечки важной информации. Для настройки стандартного пакетного продукта понадобится чуть больше компетенций чем для антивируса, но разобраться самостоятельно вполне реально. По стоимости: рынок предлагает как дорогие, так и вполне бюджетные варианты программ. Есть и полностью бесплатные open-source решения — с них можно и начать. Но вот для настройки именно таких решений лучше пригласить эксперта, потому что они похожи не на готовый автомобиль, где нужно просто повернуть ключ, а на набор высокотехнологичных деталей для его сборки.

Создайте резервные копии критически важных данных. Это простое и практически бесплатное действие может спасти ваш бизнес в момент кризиса, и главное, оно не требует специальных знаний. Как вы копируете фото с телефона в облако, так же можно сохранить и все важные файлы.

При резервном копировании следуйте простой инструкции 

Определите самое ценное. Выделите только критичные данные: базы 1С, финансовые документы, контакты клиентов и настройки ключевых сервисов. То, без чего бизнес встанет в случае взлома.

Используйте правило «3-2-1». Храните минимум три копии данных, размещайте их как минимум на двух разных носителях и держите хотя бы одну копию за пределами инфраструктуры компании.

Автоматизируйте процесс. Не полагайтесь на память. Настройте автоматическую выгрузку данных, например, из 1С в облако, и используйте встроенные инструменты Windows («История файлов») для резервирования папок.

Для сервисов (сайт, онлайн-записи) перейдите на хостинг с опцией автоматического бэкапа. Это базовая страховка от сбоев.

Настройте двухфакторную аутентификацию, если вы храните в облаке хоть что-то важное. Большинство сервисов предоставляют эту защиту бесплатно. Настройка занимает 2–3 минуты в параметрах безопасности вашего аккаунта. Так можно настроить почту (Gmail, Яндекс), облачные диски (Google Drive, Dropbox), CRM-системы, соцсети для бизнеса, бухгалтерские сервисы (например, Контур.Эльба), платформы для онлайн-записей, корпоративные мессенджеры и т.д. Эта опция — как второй замок на двери: даже если украдут пароль, без кода с личного телефона злоумышленник не сможет навредить.

Проводите регулярное обучение по кибергигиене. Какая бы крутая система информационной безопасности ни стояла в компании, если сотрудник перешел по фишинговой ссылке или отправил данные мошенникам — защита не сработает. Поэтому критически важно внедрить в компании культуру кибербезопасности.

При формировании кибергигиены в компании следуйте простым правилам 

Сформулируйте 5-7 понятных и обязательных для всех сотрудников правил. Например, «Не пересылай рабочие файлы в личную почту», «Не передавай никому коды из СМС — даже IT-отделу», «Отправляй в спам все подозрительные письма», «Используй для работы только утвержденные компанией сервисы», т.д.

Учите коротко и регулярно. Вместо одного длинного годового семинара используйте ежемесячные дайджесты-напоминалки с одним правилом и примером его нарушения. Замените долгие лекции на пятиминутки в чатах. Частота важнее длительности.

Проверяйте практикой. Раз в квартал проводите учебные «атаки» — например, можно отправить сотрудникам смоделированные фишинговые письма. Того, кто ошибся, отправьте на дополнительное обучение.

Если компания готова пойти дальше в усилении защиты, то следующий логичный шаг это внедрение продвинутых средств. Что выбрать? Если главный риск — внешние атаки или несанкционированный доступ, то SIEM. Если боитесь утечки данных изнутри, то DLP. Здесь тоже можно сэкономить и использовать бесплатные open-source решения.

Например, Wazuh — популярный инструмент для сбора и анализа событий безопасности, который помогает выявлять инциденты. Также есть бесплатные IDS-системы, которые отслеживают сетевой трафик и находят подозрительную активность. Однако эти бесплатные решения требуют глубоких знаний для настройки и поддержки, поэтому лучше привлечь специалиста. При этом сегодня на российском рынке появляются продукты, изначально спроектированные именно для МСБ: они проще во внедрении и обслуживании, стоят дешевле «тяжелых» промышленных систем и позволяют закрывать базовые потребности малого и среднего бизнеса в киберзащите.

Представьте: вы открываете утром ноутбук… 

а вместо привычного рабочего стола — черный экран с угрожающим таймером. «Все ваши файлы зашифрованы. До удаления данных осталось 47 часов. Переведите 5 000 000 рублей на биткоин-кошелёк». Ваш интернет-магазин парализован. Клиенты шлют вопросы и обсуждают в соцсетях. Бухгалтерия замерла. Курьерские службы отменяют заказы. Это не сценарий фильма. Это ежедневная реальность для десятков российских компаний, которые неделю назад тоже говорили: «Нас это не коснётся».

Главный вывод прост: не стоит ждать кибератаки, чтобы начать действовать

Угрозы возникают внезапно, и готовность к ним определяет стоимость последствий. Когда дело касается кибербезопасности, то лучше работать на опережение, чтобы потом не пришлось устранять последствия с прайсом х5. 

© Т-Бизнес секреты