За первое полугодие 2025 года российские компании пережили более 63 тысяч кибератак — на четверть больше, чем за аналогичный период 2024 года. Общая статистика успешных нападений непрерывно растет, но 20-летний опыт работы «ОБИТ» доказывает, что проактивная профилактика и защита могут изменить статистику в отдельно взятых компаниях.

Мы составили список  уязвимостей бизнеса в сфере информационной безопасности (ИБ), которые наиболее часто встречали при проведении аудитов у клиентов. Используйте эту статью как чек-лист, чтобы проверить, насколько крепка киберзащита вашего бизнеса.

№1. Отсутствие парольной политики

Первое место в нашем топе нарушений информационной безопасности — нерегулируемая система паролей: слабые пароли вроде «123456», «password» или названия компании, их переиспользование для разных учетных записей и небезопасное хранение в открытых мессенджерах и записных книжках — рискованные практики, с которыми нужно бороться.

Небольшие компании крайне редко выделяют отдельную ставку для ИБ-специалиста, а потому не вырабатывают единые требования к сложности, хранению и частоте обновлений паролей для защиты корпоративной информации. Злоумышленнику достаточно получить доступ к одной учетной записи сотрудника, чтобы проникнуть на более глубокие уровни инфраструктуры. Это работает как эффект домино, особенно, если сотрудник обладает расширенными информационными правами. В 2024 году около трети успешных кибератак на российские компании начинались именно с компрометации профилей.

Что делать?

  1. Подключить двухфакторную (2FA) или многофакторную аутентификацию (MFA) и внедрить корпоративные стандарты ИБ в части парольной политики: минимум 12 символов, наличие прописных и строчных букв, цифр и спецсимволов.

  2. Ввести практику ежеквартальной или ежемесячной смены пароля и исключить переиспользование старых комбинаций для новых аккаунтов.

  3. Использовать менеджеры паролей для сотрудников (1Password, HashiCorp Vault, «ОдинКлюч).

№2. Устаревшие версии программного обеспечения (ПО)

Вторая по частоте угроза, которую мы выявляем во время аудитов кибербезопасности, — намеренно игнорируемые уязвимости.

Не стоит откладывать обновления операционных систем, приложений и плагинов, чтобы не потерять привычный функционал, интерфейс или условия пользования. Когда выходит новая версия программы, разработчик прекращает регулярно исправлять уязвимости в устаревшей версии, количество «дыр» возрастает, а вместе с тем — вероятность, что хакер проникнет в систему.

Адаптироваться к свежему приложению проще, чем разбираться с последствиями утечки данных, которые включают и репутационные потери, и выплату штрафов до 15 млн рублей.

Что делать?

  1. Провести инвентаризацию ПО с указанием версий программ и установить график проверки и установки обновлений. Для критичных систем — минимум каждые 30 дней.

  2. Подключить автоматизированные средства управления обновлениями, чтобы минимизировать человеческий фактор и освободить сотрудников от лишней рутины.

  3. Тестировать обновления на отдельном окружении, если их безопасность вызывает сомнения.

№3. Небрежное обращение с облачными хранилищами

Облако — это арендованное пространство на удаленном сервере для хранения бэкапов (Backup — резервная копия), документов и других файлов, запуска приложений и совместной работы. Облачные решения пользуются популярностью благодаря легкому внедрению: чтобы подключить готовые сервисы вроде «Битрикс24», Zoom или «Яндекс 360», достаточно завести аккаунт и оплатить подписку. Однако тщательная настройка безопасного доступа к таким программам требует внимательности, а адаптация — времени.

Если поделиться доступом к программе со всеми коллегами «на всякий случай» или установить галочку «Общий доступ для всех в интернете» в файле с клиентской базой, сохранность данных окажется под угрозой.

Что делать?

  1. Пользоваться корпоративными сервисами через виртуальную частную защищенную сеть. Шифрование превращает ваш трафик для злоумышленника в нечитаемый код, который невозможно «перевести» без специального ключа доступа.

  2. Организовать управление системой ресурсов по принципу наименьших привилегий (PoLP или Principle of Least Privilege). Каждый сотрудник должен получать доступ к минимальному набору данных, которые необходимы для успешного выполнения задачи.

  3. Тестировать настройки безопасности облаков с помощью специальных программ (Prowler и другие).

№4. Уязвимость к внешним социальным угрозам информационной безопасности

Число киберпреступлений с использованием фишинга и манипуляций растет: с января по июнь 2025 года на эту область пришлось 60% всех атак — на 20% больше, чем в прошлом и позапрошлом году.

Преступники используют не технические нападения, а психологические приемы, чтобы вынудить жертву совершить целевое действие: предоставить доступ, отправить файл или перевести деньги. Частые сценарии:

  • Фейковый рабочий чат с топ-менеджерами. Поддельные аккаунты руководителей дают «срочное задание» провести платеж партнеру, оперативно предоставить доступ к файлу или подключиться к совещанию. В «Лаборатории Касперского» подсчитали, что в 2025 году половину вредоносных файлов маскируют под сервисы для видеозвонков.

  • Чат-бот, замаскированный под банки. Бот запугивает блокировкой доступа за незаконные транзакции с корпоративного счета.

  • Претекстинг — манипуляция с убедительной легендой. К примеру, злоумышленник представляется менеджером по рекламе от бренда, с которым компания-жертва действительно заключила сотрудничество, и предлагает скидку, но просит авторизоваться в сервисе через корпоративный аккаунт.

Конечно, сотрудники не могут знать обо всех видах мошенничества, ведь злоумышленники совершенствуются, создают новые механики и разрабатывают сайты, приложения и аккаунты, которые точно копируют оригиналы. Однако снизить человеческий фактор до минимума — посильная задача для бизнеса любого масштаба.

Что делать?

  1. Инвестировать в Security Awareness и обучать сотрудников основам кибербезопасности. Умение распознавать изощренный фишинг, обнаруживать следы дипфейков (поддельных фотографий, видео- и аудиозаписей) и быстро реагировать на подозрительную активность — базовые навыки в технологической реальности. После обучения можно устроить тестовую внутреннюю атаку и проверить навыки коллег.

  2. Установить надежный спам-фильтр для почты и ограничить доступ к коммуникации в мессенджерах для тех, кто не находится в списке контактов.

  3. Настроить защиту домена (DMARC, SPF, DKIM), чтобы злоумышленники не могли отправлять письма от вашего имени.

№5. Уязвимость к внутренним угрозам информационной безопасности

Экспертно-аналитический центр InfoWatch подсчитал, что в 2024 году около 75% утечек информации произошли из-за человеческого фактора. Сюда включают как ошибки лояльных сотрудников, так и намеренные действия — внутренний фрод (fraud — обман).

«Большинство инцидентов ИБ по вине сотрудников происходит через интернет-сервисы, мессенджеры и корпоративные облака. При этом, по нашим подсчетам, почти половина российских компаний продолжает хранить активные учетные записи специалистов, которые ушли из организации. Оперативная деактивация доступа при увольнении — самое простое, что необходимо сделать для предотвращения инцидентов информационной безопасности», — Кирилл Тимофеев, руководитель департамента информационных технологий «ОБИТ».

Что делать?

  1. Держать под контролем действия привилегированных пользователей (администраторов, разработчиков с доступом к исходному коду и т. д.). Использовать журналы действий, чтобы отслеживать последние изменения, и придерживаться принципа наименьших привилегий.

  2. Немедленно деактивировать учетные записи и доступы сотрудников при увольнении.

  3. Усилить контроль в отношении сотрудников, которые планируют покинуть компанию или находятся на испытательном сроке.

№6. Отсутствие защиты от отказа в обслуживании

DDoS (Distributed Denial of Service) — это атака, при которой злоумышленники нагружают сервер огромным количеством запросов, чтобы система перестала работать. За первое полугодие 2025 года число DDoS-атак на российские компании выросло примерно на 60% по сравнению с тем же периодом 2024 года. Чаще всего нападают на финтех, ИТ, телекоммуникации и e-commerce. Под прицелом киберпреступников не только средние и крупные организации, но и малый бизнес.

Такая атака может быть отвлекающим маневром. Пока ИT-специалисты экстренно стабилизируют нагрузку и восстанавливают работу сайта, хакеры пытаются взломать платежную систему или систему администрирования.

Летом 2022 года веб-сервис крупнейшего российского организатора выставок и конференций подвергся мощной DDoS-атаке во время международного форума газовой промышленности. Турникеты работали с перебоями, регистрация участников нарушилась — мероприятие оказалось под угрозой. Специалисты «ОБИТ» оперативно обеспечили резерв защиты от DDoS на период форума, организовали защиту на уровнях L3-L4, L7 (сетевой, транспортный и прикладной) и восстановили работу сервиса с минимальным временем простоя.

Что делать?

  1. 1) Подключить надежные системы защиты от DDoS и настроить резервные каналы связи и распределения нагрузки.

  2. 2) Настроить автоматическое включение защиты при обнаружении аномалий в сетевом трафике.

  3. 3) Разработать план действий при DDoS-атаке для команды информационной безопасности.

  4. 4) Проводить пентесты (Penetration Test — тестирование на проникновение), чтобы корректировать устойчивость ИТ-инфраструктуры, вовремя реагировать на уязвимости и подготовиться к возможным сценариям атаки.

№7. Отсутствие плана аварийного восстановления

Как восстановить данные, если инцидент все-таки произошел, а резервных копий нет? Никак. Если вы задаете этот вопрос даже гипотетически, нужно настроить бэкапы. Важно не просто регулярно создавать копии, но и проверять их работоспособность в тестовой среде. В момент аварии может оказаться, что формально все файлы зарезервированы, но из-за повреждений не подлежат использованию.

Что делать?

  1. 1) Настройте резервное копирование в отдельном пространстве и изолируйте хранилища от сети.

  2. 2) Придерживайтесь правила «3–2–1»: 3 копии, 2 среды, 1 на изолированном носителе.

  3. 3) Ежедневно резервируйте критичные приложения и данные.

  4. 4) Каждый месяц тестируйте работу восстановления в безопасной среде.

  5. 5) Разработайте план аварийного восстановления.

«Мы проводим аудиты для компаний разного масштаба и наблюдаем общий паттерн: в 2025 году некоторые руководители все еще недооценивают риски информационной безопасности и считают, что киберзащита — это неоправданные инвестиции в проблему, которая затрагивает только многомиллионные корпорации. Статистика это отрицает: наибольшая доля успешных атак фиксируется именно в сегменте малого бизнеса. Решение типовых нарушений — программа минимум для компаний, которые дорожат репутацией и финансами в долгосрочной перспективе», — Андрей Рыков, заместитель генерального директора по ИТ и инновациям «ОБИТ».

Найти и устранить!

Обнаружили 1 или несколько уязвимостей из нашего списка? Начните исправление с самых критичных вопросов. А лучше — закажите полноценную проверку информационной безопасности. Если же вы уверены в базовой защите, советуем провести профилактический аудит и убедиться в отсутствии более редких угроз.

Команда «ОБИТ» проанализирует, в каком состоянии находится ваша ИТ-система, и предложит план внедрения мер защиты с учетом специфики бизнеса, внутренних процессов и бюджета. Помните: киберброня вашей ИТ-инфраструктуры — инвестиция, стоимость которой никогда не превысит цену реальных кибератак!

Давайте обсудим наше будущее сотрудничество на бесплатной консультации. Подробнее об услуге информационной безопасности для бизнеса читайте на сайте.

Поделиться: