Сегодня даже небольшой стартап работает с персональными данными клиентов, использует облачные сервисы, онлайн-платежи и мессенджеры. При этом большинство таких компаний не имеют специализированных отделов, которые обеспечивали бы информационную безопасность компании на ежедневной основе. О том, что можно предпринять малому бизнесу для защиты от кибератак, директор по информационной безопасности сервиса «Яндекс 360» Игорь Вербицкий рассказал Biz360.ru.
Игорь Вербицкий – директор по информационной безопасности сервиса «Яндекс 360». Опыт в сфере информационной безопасности более 10 лет: работал в госсекторе, банках, нефтяной индустрии, геймдеве и ритейле, сейчас сфокусирован на IT-сфере. Специализируется на построении комплексных систем защиты и управлении рисками.
По данным отраслевых исследований, более 80% компаний сегмента малого и среднего бизнеса регулярно сталкиваются с кибер-угрозами: фишингом, вирусами, бот- и DdoS-атаками.
В 2025 году зафиксировано более 450 атак на бизнес с использованием «вымогательского» ПО, а сумма выкупа за расшифровку данных варьируется от 4 до 40 млн рублей. Для малого бизнеса диапазон ниже – от 100 тысяч до 5 млн, но последствия зачастую сопоставимы: остановка работы, потеря данных и клиентов. При этом бывает так, что даже заплатив требуемую сумму, вы не получите доступ к данным.
Малый и средний бизнес постепенно становятся одними из ключевых целей злоумышленников. Компании этого сегмента обладают ограниченными ресурсами, но при этом часто выступают подрядчиками более крупных игроков. Ошибки в их инфраструктуре используются как точка входа в атаках по цепочке поставок. Поэтому именно для малого бизнеса особенно важно выстроить систему базовой защиты. Рассмотрим, как она может создаваться пошагово.
Любая компания хранит конфиденциальные данные: клиентские базы, внутренние отчёты, сведения о сотрудниках, различную документацию. Доступ к ним должен быть строго регламентирован. Каждый сотрудник должен работать только с теми файлами и сервисами, которые необходимы ему для выполнения задач.
Ошибка на этом уровне часто приводит к масштабным последствиям. При компрометации одной учётной записи злоумышленник может получить доступ ко всей корпоративной информации. В небольших компаниях, где администрирование ведётся вручную, важно отслеживать актуальность рабочих аккаунтов, особенно при увольнении сотрудников. Несвоевременное закрытие доступа становится причиной многих инцидентов.
Даже при использовании облачных сервисов ответственность за управление доступами остаётся на стороне бизнеса. Провайдер обеспечивает защиту серверов и шифрование данных, но не контролирует внутренние разрешения. Поэтому настройка уровней прав и своевременное отключение неактуальных учётных записей – ключевые меры для минимизации рисков.
Для малого и среднего бизнеса, где нет собственных специалистов по кибербезопасности, оптимальным вариантом становятся комплексные решения «из коробки» – виртуальные офисы. Они объединяют почту, облачное хранилище, сервисы для видеоконференций, документы, мессенджер, календарь и другие инструменты, необходимые для ежедневной работы. Сотрудникам не нужно переключаться с одной платформы на другую и тем самым увеличивать вероятность человеческой ошибки.
Все элементы связаны между собой: файлы, созданные в документах, сохраняются на диске и доступны с любого устройства, а встречи из видеосервиса автоматически отображаются в календаре. Через единый профиль компании можно добавлять сотрудников, распределять права доступа, создавать группы.
Инфраструктура виртуальных офисов изначально строится с учётом требований информационной безопасности. Данные шифруются при передаче и хранении, системы регулярно проверяются на уязвимости и проходят внутренние и внешние аудиты. Серверы располагаются в защищённых дата-центрах.
Ненадёжные пароли – одна из самых распространённых причин взломов. Комбинации вроде «123456» или названия компании легко подбираются, а пароли, хранящиеся в открытых файлах или на стикерах, делают систему полностью уязвимой.
Для минимизации риска необходимо использовать менеджеры паролей и включать двухфакторную аутентификацию. Даже если злоумышленник узнает логин и пароль, дополнительное подтверждение через код из SMS или приложения заблокирует вход. Эти меры особенно важны при работе с корпоративной почтой, облачными сервисами и финансовыми системами.
Некоторые компании практикуют регулярную смену паролей и пересмотр прав доступа. Такой подход помогает снизить риск компрометации, если учётные данные случайно попали в чужие руки. Для малого бизнеса эти меры не требуют значительных затрат, но существенно повышают устойчивость к атакам.
Даже при наличии технологических инструментов большинство инцидентов происходит из-за человеческого фактора. Сотрудники могут открыть вредоносное письмо, использовать личное устройство без антивируса или отправить конфиденциальный файл по ошибке. Поэтому в каждой компании необходимо закрепить правила безопасной работы с данными.
Регламент безопасности описывает порядок доступа к информации, требования к паролям, алгоритм действий при подозрении на инцидент. Документ можно разработать самостоятельно или с привлечением внешнего специалиста. Для малого бизнеса это недорогой и эффективный инструмент, который помогает внедрить единые стандарты поведения.
Не менее важно обучение сотрудников. Даже короткий инструктаж по кибергигиене снижает вероятность фишинговых атак и утечек. Безопасность должна восприниматься не как действие «для галочки», а как часть ежедневной работы.
Информационная безопасность напрямую влияет на деловую репутацию компании. Клиенты, партнёры и инвесторы оценивают не только качество услуг, но и готовность бизнеса защищать данные. Утечка персональных сведений, взлом сайта или компрометация учётных записей подрывают доверие и наносят репутационный ущерб, который трудно компенсировать.
Информационная безопасность – это не только защита от кибератак, но и показатель грамотного менеджмента. Для небольших компаний, работающих в условиях ограниченных ресурсов, она становится способом поддерживать устойчивость и сохранять доверие клиентов. Те, кто выстраивает даже базовую систему защиты, снижают вероятность инцидентов, сокращают время восстановления после атак и укрепляют позиции бизнеса в долгосрочной перспективе.
Чтобы не пропустить интересную для вас статью о малом бизнесе, подпишитесь на наш Telegram-канал и страницу в «ВКонтакте».
