Защита IT-инфраструктуры: как не стать кормом для хакеров и не потерять бизнес

Новости о взломах компаний стали настолько привычными, что уже мало кого удивляют. Утекли базы клиентов, зашифровали серверы под ransomware, украли коммерческую тайну. Чаще всего страдают не гиганты с собственной службой безопасности, а средний и малый бизнес. Владельцы думают: «нас хакеры не тронут, неинтересно». Ошибаются. Именно малый бизнес — самая лакомая цель: защита слабая, а заплатить выкуп за расшифровку часто готовы. Рассказываем, из чего складывается защита it-инфраструктуры, какие угрозы реальны и как выстроить оборону без бюджета спецслужб.

Почему вашу компанию взломают (это только вопрос времени)

Кибератаки перестали быть точечными. Сегодня это индустрия с конвейерной рассылкой фишинговых писем, автоматическим сканированием портов и атаками через уязвимости сайтов. Хакеру не нужно знать вашу компанию лично — бот найдёт слабое место сам.

• Фишинг. Сотрудник получает письмо «от начальника» или «из банка», переходит по ссылке, вводит логин и пароль. Всё, доступ к почте и корпоративной сети продан на чёрном рынке за 50 долларов.
• Необновлённое ПО. Вы не установили обновление безопасности на сервер с 1С или сайт на WordPress. Хакеры знают об этой уязвимости неделями и сканируют интернет в поиске неприкрытых дыр.
• Пароли «admin/admin» и «password123». До сих пор работают. Сотрудники используют один пароль для рабочей почты и личного аккаунта на пиратском форуме. Тот форум взломали — пароль слили.
• Устаревшая или неправильно настроенная система безопасности. Антивирус на компах есть, но не обновляется или отключён пользователем. Файрвол пропускает всё.
• Социальная инженерия. Хакер звонит в компанию под видом IT-поддержки, просит поставить удалённый доступ. Сотрудник делает — зря.

Три кита защиты IT-инфраструктуры: люди, процессы, технологии

Купить самый дорогой файрвол и забыть — не работает. Безопасность строится на трёх равноправных столпах.

Люди (самое слабое звено)

Какую бы защиту вы ни поставили, сотрудник скачает архив с вирусом и запустит его. Поэтому первое — обучение и регламенты.

• Регулярный фишинг-тренинг. Отправляйте тестовые фишинговые письма своим сотрудникам. Кто перешёл по ссылке — того на короткое обучение.
• Политика паролей. Минимум 12 символов, буквы+цифры+символы, менять раз в 90 дней, не повторять для разных сервисов. Используйте менеджер паролей (KeePass, Bitwarden).
• Двухфакторная аутентификация (2FA). Везде, где можно: почта, CRM, облака, удалённый доступ. Без кода из смс или приложения-аутентификатора даже украденный пароль бесполезен.
• Минимум прав доступа. Бухгалтеру не нужен доступ к серверу баз данных, менеджеру по продажам — к настройкам роутера. Правило наименьших привилегий.

Процессы (чтобы защита не зависела от настроения админа)

• Регламент резервного копирования. Резервная копия должна быть как минимум в двух местах: одно — быстрый доступ (NAS в офисе), второе — офлайн или в облаке. И, главное, её нужно восстанавливать раз в месяц по графику. Бесполезная копия — та, которую не проверили.
• Управление обновлениями. Система, которая сама ставит критические обновления безопасности. Нет — заведите список и контролируйте еженедельно.
• План реагирования на инциденты. Что делать, если обнаружили взлом? У кого отключать интернет? Кого вызывать? Без плана в панике вы наделаете глупостей (например, выключите сервер повредив следы).

Технологии (то, что стоит денег)

Набор минимальных технологий, без которых защита невозможна. Не нужно покупать всё сразу — начните с базы, расширяйтесь по мере роста.

• Антивирус с централизованным управлением. Не «Касперский на домашнем компе», а корпоративная версия, где администратор видит все недобросовестные устройства, может их заблокировать и удалённо запустить проверку.
• Межсетевой экран (NextGen Firewall). Блокирует не только порты, но и фишинговые сайты, вредоносные домены, атаки на протоколы. Для малого бизнеса подойдут Zyxel, MikroTik (нужны настройки), для среднего — UserGate (российский вендор).
• VPN для удалённого доступа. Никаких RDP-портов, торчащих в интернет. Только через VPN-сервер с 2FA.
• SIEM-система или логгирование. Инструмент для сбора и анализа событий безопасности. Помогает понять, что атака уже идёт. Для малого бизнеса — можно начать с бесплатного Elasticsearch + Wazuh.
• Защита электронной почты. Фильтр спама и вредоносных вложений на уровне облака. Многие провайдеры предоставляют услугу как дополнение к почте.
• Бэкап с защитой от шифрования. Решение, которое хранит копии в формате, не подверженном ransomware (например, с неизменяемыми снимками, как Veeam или Кибер Бэкап).

Атаки, от которых нужно защищаться в первую очередь

Не хакеры из фильмов, а приземлённые угрозы. Вот топ-5 наиболее вероятных для среднего бизнеса.

1. Фишинг и компрометация бизнес-почты (BEC)

Злоумышленник взламывает почту директора или бухгалтера. От имени бухгалтера приходит письмо контрагенту: «произошла ошибка, переведите оплату на новые реквизиты». Деньги уходят мошенникам. Защита: 2FA на почте, обучение бухгалтеров перезванивать контрагенту по телефону перед сменой реквизитов.

2. Атаки программ-вымогателей (ransomware)

Сотрудник открыл вложенный файл из письма. Запустился вирус, зашифровал все диски на сервере и сетевых папках. Появляется требование выкупа за расшифровку (в биткоинах). Защита: бэкапы вне сети, отключение макросов в Office, разрешение запуска .exe только из доверенных папок с помощью AppLocker.

3. DDoS-атаки

На сайт или внешний IP-адрес компании обрушивается лавина запросов, сервер падает. Для малого бизнеса DDoS часто является «отвлекающим манёвром», пока хакеры пытаются взломать что-то другое. Защита: облачная защита от DDoS (Яндекс DDoS Protection, Stormwall, Qrator).

4. Взлом через уязвимости веб-приложений (сайта)

Хакеры находят уязвимость в вашем интернет-магазине, внедряют код, получают доступ к базе данных клиентов и к серверу. Защита: регулярное обновление движка, использование WAF (Web Application Firewall) — например, Wallarm, Angara Security WAF.

5. Инсайдеры (свои сотрудники)

Обиженный уволенный сотрудник скачал базу клиентов или удалил важные файлы. Не по злому умыслу, а «чтобы насолить». Защита: отзывать доступы в момент увольнения, вести логи доступа к файлам, использовать DLP-системы (для крупных компаний).

Бюджет на информационную безопасность: сколько нужно потратить

Мировые стандарты рекомендуют закладывать на кибербезопасность 5–10% от IT-бюджета. Но для малого бизнеса эта цифра может варьироваться.

• Минимальная защита для компании до 10 человек (всё в облаках). Использование бесплатных версий антивирусов (Windows Defender) + 2FA везде + облачные бэкапы (например, Backblaze) + обучение сотрудников. Бюджет: 0–30 000 руб./мес.
• Стандартный набор для компании 10–50 человек. Корпоративный антивирус (Kaspersky Endpoint Security, Dr.Web) — 15 000 руб./мес, пользовательский firewall (Zyxel, UserGate) — 10 000 руб./мес, бэкап (Veeam Cloud) — 20 000 руб./мес, обучение и тестовый фишинг — 10 000 руб./мес. Итого: 60 000 руб./мес.
• Продвинутый для компании со своими серверами и важными данными. Деплой SIEM (Wazuh + аренда сервера) — 25 000 руб./мес, DLP для контроля утечек (Solar Dozor) — 50 000 руб./мес, пентесты раз в полгода (50 000–150 000 руб. за раз). Итого: от 150 000 руб./мес и выше.

Плюс непредвиденные расходы на восстановление после инцидента (которых может и не быть, если защита хороша).

Что делать, если вас всё же взломали

Паника — главный враг. Пошаговый план:

1. Изолируйте заражённые системы. Отключите их от сети и интернета. Не выключайте полностью – можно потерять следы для расследования.
2. Оповестите ответственных. Внутренний IT-отдел или провайдера кибербезопасности.
3. Смените все пароли. Административные, пользовательские, доступы в облака, почту. Делайте это с чистого (не взломанного) компьютера.
4. Подключите бэкапы. Если база данных зашифрована, восстанавливаем из последней чистой копии.
5. Вызовите эксперта по расследованию инцидентов (форензика). Он определит, когда и как произошёл взлом, помёт ли злоумышленник «закладки» (бэкдоры) в системе.
6. Оповестите клиентов и партнеров, если утекли их данные. Это неприятно, но скрывать ещё хуже — юристы и регуляторы накажут.

Выплачивать выкуп за расшифровку данных? В большинстве случаев это не гарантирует возврат данных и поощряет хакеров. Но, если нет бэкапов и бизнес умирает — бывают случаи, когда платят. Никто не даст однозначного совета, лучше делать бэкапы заранее.

Чек-лист: 10 пунктов, которые повысят вашу безопасность на 80% без огромных трат

1. ✅ Включите двухфакторную аутентификацию везде, где она есть (почта, CRM, облака, соцсети). 2FA отражает 99% атак с украденными паролями.
2. ✅ Настройте автоматические обновления Windows (критические обновления безопасности).
3. ✅ Установите корпоративный антивирус с централизованным управлением.
4. ✅ Сделайте бэкапы критических данных по схеме 3-2-1: 3 копии, 2 разных носителя, 1 — офлайн.
5. ✅ Проверьте свою базу паролей на утечки (сервис haveibeenpwned, или российские аналоги).
6. ✅ Настройте политику паролей в домене: длина не менее 12 символов, смена каждые 90 дней.
7. ✅ Проведите обучение сотрудников с тестовым фишингом хотя бы раз в полгода.
8. ✅ Отключите удалённый рабочий стол (RDP) в интернет — используйте VPN.
9. ✅ Настройте резервный канал интернета на случай DDoS (хотя бы 4G-модем).
10. ✅ Составьте план реагирования на инцидент и прогоните его в виде учения.

Защита IT-инфраструктуры — это не разовая покупка, а непрерывный процесс. Угрозы меняются каждый день, хакеры не дремлют, а сотрудники продолжают кликать по ссылкам «Ваш аккаунт заблокирован». Но это не повод опускать руки. Начните с малого: включите 2FA, настройте бэкапы, проверьте обновления. Даже эти три шага исключат 70% самых банальных атак. Не ждите, что ваша компания станет целью «белых хакеров» из кино — атакуют уже сегодня, может быть, прямо сейчас сканируют ваши открытые порты. Будьте к этому готовы.