Опыт «1С-Битрикс»: почему малый бизнес — главная мишень хакеров

МСБ как двери в большие корпорации

Малый и средний бизнес занимает около 22% в экономике страны. Но для киберпреступников это не просто сектор экономики, а плацдарм для нападений. Сегодня хакеры атакуют МСБ не ради выкупа 100 тыс. рублей — эпоха шифровальщиков-вымогателей уходит. Их цель — выйти на Enterprise-сегмент, чьи операции выходят далеко за рамки одного офиса или региона.

Поэтому, главный тренд последних лет — атаки через цепочку поставок. Крупный бизнес имеет мощные контуры безопасности. Взламывать их в лоб дорого и сложно. Гораздо проще проникнуть в сеть их подрядчика, поставщика услуг или партнёра, у которого есть легитимный доступ в инфраструктуру корпорации. Самое слабое звено в этой цепочке — сотрудники.

Проблемы в коммуникациях и доступах

По результатам нашего опроса, на вопрос «Как вы оцениваете общий уровень информационной безопасности в вашей компании?» 33% респондентов ответили, что уровень низкий, а 55% — что средний.

Статистика показывает удручающую картину цифровой гигиены в российских компаниях:

1. Публичные мессенджеры. 82% сотрудников обсуждают рабочие вопросы в личных WhatsApp (принадлежит Meta, которая признана в РФ экстремистской и запрещена) и Telegram. Корпоративные защищённые мессенджеры часто игнорируются. Результат: корпоративные данные лежат на серверах, которые компания не контролирует.
2. Пароли. Только 42% сотрудников защищают паролями какие-то важные файлы, а остальные этого не делают, оставляя чувствительную информацию без базовой защиты. Около 45–50% сотрудников меняют пароли вовремя, но в большинстве случаев это происходит не по их инициативе, а потому, что система принудительно требует смены по минимальной парольной политике. То есть у половины и больше компаний парольная политика формально существует, но по факту остаётся слабой и формальной, что делает пароли одним из векторов атаки. С двухфакторной аутентификацией ситуация хуже: всего 34% компаний используют 2FA, и хорошо, если это закреплено внутренними политиками и технически принудительно применяется к сотрудникам. В малом и среднем бизнесе проконтролировать реальное использование двухфакторки крайне сложно.
3. Проблема офбординга. Только у половины сотрудников доступы к системам закрывают сразу при увольнении, ещё у 33% доступ остаётся как минимум на неделю, то есть бывший сотрудник продолжает видеть корпоративные данные и может ими воспользоваться. Это создаёт прямой риск инсайдерских инцидентов.
4. Контроль данных. Лишь у 33% компаний есть хоть какая-то защита для съёмных носителей и внешних хранилищ, остальные её не используют. В результате уровень информационной безопасности в малом и среднем бизнесе в целом остаётся на зачаточном уровне.

Как изменились атаки

Целенаправленное нападение. Прежде всего изменился сам поход. Фокус сместился на конкретные B2B-компании и подрыв доверия к их бизнес-моделям. Злоумышленники стали часто подделывать сайты сервисов и бизнес-страницы, к которым у жертв уже есть доступ, и строить фишинг вокруг этих подделок. Вместо грубого брутфорса теперь массово используют купленные на чёрном рынке слитые базы с парами логин-пароль, из-за чего такие атаки сложнее отследить и остановить. У многих компаний нет внедрённых систем анализа и контроля входов по учётным данным, поэтому подобный целевой подбор приводит к успешным компрометациям.

ИИ на службе у хакеров
Раньше фишинговые письма было относительно легко распознать по неаккуратной вёрстке и очевидным языковым ошибкам. Теперь у злоумышленников появились мощные инструменты: генеративный ИИ и качественные дипфейки, которые обладают идеальной грамотностью и пониманием контекста. Например, сотрудникам отправляют по почте письмо с практически неотличимым от корпоративного стиля оформлением.

ИИ-модели помогают атакующим очень быстро собирать и анализировать большие объёмы данных об утечках, структуре компаний, ролях и должностях, после чего за короткое время формируется и проводится высокоточный, персонализированный фишинг или иная целевая атака. Такие подработанные под жертву сценарии занимают настолько мало времени, что системы мониторинга иногда просто не успевают их зафиксировать до успешного завершения. В итоге вместо массовых примитивных рассылок появляются краткие, очень точные ИИ-усиленные атаки, адресованные конкретным пользователям или ролям внутри организации.

Можно прогнозировать, что 2026 год станет переломным в противостоянии ИИ-атак и средств защиты, причём пока преимущество на стороне атакующих.

Стратегия защиты

Я часто слышу: «У МСБ нет бюджета на безопасность». Это отговорка. Существуют бесплатные отечественные решения для базовой защиты. Проблема не в бюджетах, а в мышлении топ-менеджмента.

Если меры информационной безопасности внедрены в МСБ, то это для крупных партнёров фактор того, что с этим бизнесом можно работать. Не исключаю, что в скором времени для МСБ наличие понятного набора защитных решений станет не «опцией», а обязательным условием, без которого они не смогут войти в цепочку поставок и работать с крупными заказчиками.

Несколько обязательных шагов для обеспечения ИБ:

1. Уход от публичных мессенджеров в сторону корпоративных коммуникационных платформ.

Они позволяют:

• логировать действия пользователей и связывать их с другими событиями безопасности (сеть, доступы, почта);
• обеспечивать шифрование данных;
• централизованно внедрять строгую аутентификацию (как минимум 2FA) и политику работы с учётными записями.

Критически важно подключать внешние или централизованные системы мониторинга и корреляции событий (SIEM): они собирают логи из разных источников (корпоративные мессенджеры, почта, VPN, серверы, СУБД, облако), выявляют аномалии и помогают вовремя обнаружить атаки до того, как они приведут к компрометации крупного заказчика.

2. Информационная работа с сотрудниками.

В малом и среднем бизнесе сотрудники фактически становятся основной линией обороны: кроме базового файрвола и антивируса, у некоторых компаний часто ничего нет, а основной удар социальной инженерии приходится именно на людей. Поэтому с персоналом нужно системно работать: повышать осведомлённость, обучать распознавать фишинг.

Внутренними документами стоит чётко определить, какие задачи сотрудник может решать через какие каналы, какие мессенджеры допустимы для рабочих процессов, где обязательно использовать двухфакторную аутентификацию и что категорически запрещено. Также нужно внедрить регулярные фишинг-симуляции.

Однако важно не только ловить ошибки, но и поощрять правильное поведение. Сотрудников, которые вовремя заметили и сообщили о подозрительном письме или сообщении, нужно публично отмечать и использовать их кейсы как живые примеры правильного реагирования.

3. Жёсткие регламенты для финансовых операций.

Нужно формализовать принцип четырёх глаз: любая значимая транзакция проходит согласование минимум у двух, а лучше трёх-четырёх сотрудников (инициатор, бухгалтер, финансовый директор, при необходимости — руководитель), и без этой цепочки операция просто не проводится. Такой подход резко снижает риск сценариев, когда злоумышленник выдаёт себя за директора в письме или мессенджере и просит срочно перевести деньги.

В регламенте также следует закрепить, что крупные платежи, особенно по новым или изменённым реквизитам контрагентов, обязательно перепроверяются по альтернативному каналу. Например, звонком по заранее известному номеру, а не по номеру из письма или мессенджера. Такая комбинация многоступенчатого согласования и проверки по независимому каналу практически отсеивает типовые финансовые мошенничества.

4. Использование антифишинговых решений.

Антивирус антифишинговыми фильтрами сегодня используют многие. Он хорошо работает с почтой, но почти не помогает против коротких ссылок и атак в мессенджерах, особенно на мобильных устройствах. На уровне операторов связи и провайдеров теоретически можно блокировать часть трафика, но это доступно далеко не всем и часто слабо масштабируется. Есть решения, которые позволяют отслеживать на мобильных устройствах активность, но они очень дорогие и малый и средний бизнес также не может себе их позволить.

Поэтому в приоритете — настройка мониторинга и фильтрации сетевого трафика внутри самой компании. Есть open source-решения для логирования и анализа сетевой активности, они позволяют агрегировать события, поднимать алерты и проактивно блокировать подозрительные запросы. Конечно, grep по логам не заменит полноценный SIEM, когда у вас 100500 событий в секунду. Но на начальном этапе, если у вас 10–20 сотрудников и настроен файрвол, умение анализировать его логи через grep — это уже 50% успеха в расследовании инцидентов.