Круглый стол «Информационная безопасность для малого и среднего бизнеса»

В рамках четвертого круглого стола совместного проекта Global Digital Space и Cyber Media эксперты обсудили, как малому и среднему бизнесу повысить свою информационную безопасность, ее уровень и при этом не разориться.

Специалисты поделились практическим опытом защиты малого и среднего бизнеса от киберугроз. В обсуждении приняли участие:

• Марина Громова, руководитель отдела по работе с партнерами Security Vision;
• Константин Родин, заместитель директора по развитию бизнеса компании «АйТи Бастион»;
• Михаил Серапионов, заместитель генерального директора по направлению Франшиза ИБ-аутсорсинга «СёрчИнформ»;
• Артем Москалев, предприниматель, эксперт в области финтеха и сооснователь международного финтех-стартапа Ivitech.

Эксперты рассказали порталу Cyber Media, почему социальная инженерия остается главной угрозой для МСБ, какие ошибки чаще всего совершают собственники при построении ИБ-систем и какие доступные решения помогут защитить бизнес в 2025 году.

Посмотреть видеоверсию интервью можно в Rutube, VK, YouTube.

Cyber Media: В свежем исследовании Киберпротекта и «Работа.ру» есть очень примечательные данные. В большинстве компаний сегмента малого и среднего бизнеса вопросы ИБ решаются по остаточному принципу. Только у 28% предприятий есть штатный безопасник, у 13% полноценная ИБ-команда и еще у 13% вообще нет ответственных за инфобез, а 16 компаний не применяют вообще никаких технологий и решений для обеспечения своей кибербезопасности. Оказалось, что 74% компаний готовы вкладываться в ИБ только в том случае, если возникает давление со стороны регулятора. При этом растет количество и глубина кибератак на российский малый и средний бизнес. Каждая третья опрошенная компания в этом исследовании столкнулась за последний год с последствиями кибератак. С чем все это связано и какие ключевые киберугрозы, на ваш взгляд, сегодня представляют основную опасность для МСБ?

Артем Москалев, Ivitech: Мы как раз недавно обсуждали эту тему в одном предпринимательском сообществе, оказалось, что истории о краже денег или компрометации корпоративных данных у малого и среднего бизнеса встречаются очень часто. Причем нередко сами предприниматели даже не до конца понимают, как с этим работать.

На мой взгляд, основная проблема для МСБ сегодня — это социальная инженерия: фишинг, обманные звонки, подмена писем в корпоративной почте и другие способы введения сотрудников в заблуждение. Именно таким путем злоумышленники получают доступ к:

• корпоративным аккаунтам и электронной почте;
• внутренним информационным системам;
• банковским клиентам и расчетным счетам компаний.

Сотрудник остается самым слабым и уязвимым звеном в системе информационной безопасности. В большинстве компаний нет внятного обучения персонала, отсутствуют внешние решения и сервисы ИБ, которые позволяли бы оперативно выявлять подозрительные действия. Часто бизнес узнает о проблеме уже постфактум, когда деньги украдены или мошеннические операции завершены.

Приведу типичный случай. У одной компании взломали корпоративную почту сотрудника, который вел переписку с контрагентом и отправил ему счет на оплату. Мошенники перехватили диалог, предложили оплатить «счет со скидкой» на личную карту и получили деньги. Компания узнала об этом только спустя время, когда средства уже были переведены.

Такие ситуации обсуждаются среди предпринимателей все чаще, и можно с уверенностью сказать, что человеческий фактор — одна из главных проблем безопасности МСБ сегодня.

Константин Родин, АйТи Бастион: Я соглашусь с коллегами. Действительно, социальная инженерия сегодня остается одной из главных угроз для МСБ. Но причина ее успешности глубже — это низкий уровень компетенций и слабая подготовка сотрудников в области кибергигиены.

Рядовые сотрудники зачастую просто не знают элементарных вещей: можно ли открывать вложения в подозрительных письмах, как отличить поддельное письмо от настоящего и какие простые действия могут дать злоумышленникам доступ к корпоративной инфраструктуре.

Но проблема не только в рядовых сотрудниках. Даже у большинства IТ-специалистов в малом и среднем бизнесе нет базовых знаний по информационной безопасности. В сообществе ИБ сейчас активно обсуждают идею, что вместо подготовки узких специалистов по безопасности нужно развивать компетенции в ИБ у айтишников. Это спорно, но логично: такой специалист будет понимать, как устроены технологии и как их можно обойти.

К сожалению, многие ИТ-специалисты не видят рисков или придерживаются принципа «работает — не трогай». Это касается и обновлений софта и оборудования: оборудование могут закупать с устаревшей прошивкой, системы годами не обновляются, никто не проверяет наличие известных уязвимостей.

МСБ, на мой взгляд, нужно начинать с базовых вещей:

1. Обучение сотрудников простым правилам кибергигиены.
2. Формирование минимального уровня ИБ-компетенций у IТ-специалистов.
3. Контроль за обновлениями и устранением уязвимостей оборудования и софта.
   

Это снимет огромный пласт проблем даже без внедрения сложных и дорогих ИБ-систем вроде SIEM, SOAR или DLP. Главная задача сейчас — донести до бизнеса понимание рисков, а уже после этого переходить к комплексным системам безопасности.

Марина Громова, Security Vision: На мой взгляд, главная угроза для малого и среднего бизнеса сегодня — это неизбирательные атаки. Многие предприниматели ошибочно думают: «Кому я нужен? У меня небольшой бизнес, продаю недвижимость, какая тут кибербезопасность?». Но современные атаки носят массовый характер: сегодня под удар попал один сегмент, завтра — другой. Это может быть фишинг, брутфорс, т.е. массовый подбор паролей. Злоумышленники действуют «по площади», и вопрос не в том, «прицельно ли охотятся за моей клиентской базой», а в том, что в один момент вы просто окажетесь в числе тех, кто «попал под раздачу».

Я бы сравнила ситуацию с радиацией: ее не видно, и пока не случится серьезный инцидент, многие даже не задумываются об опасности. В отличие от пожара или кражи денег, последствия кибератак сначала кажутся незаметными, и потому отношение к ним зачастую несерьезное.

Отдельная проблема — это недостаток осведомленности сотрудников. Каждый слышал истории про мошенников, которые обманом выманивают деньги у людей, но та же самая «соседка, рассказавшая о звонке мошенника», работает в МСБ и с такой же легкостью может стать жертвой социальной инженерии на рабочем месте, открыв вредоносное письмо или передав данные по телефону.

Теперь о специфике самого бизнеса. Те цифры, что вы привели, действительно показательны: штатный безопасник есть лишь у 28% компаний. В остальных случаях роль «и айтишника, и безопасника» отдают одному человеку. У собственников есть иллюзия: «У меня есть Вася-айтишник, он все решит». Но Васе приходится одновременно заниматься инфраструктурой, менять пароли, следить за доменами, обновлять оборудование — и при этом он не является специалистом по безопасности.

Поэтому в большинстве случаев реагирование начинается только после инцидента. После первого серьезного кейса руководитель дает задачу «тому самому айтишнику», и тот начинает внедрять что-то на скорую руку: опенсорсные решения, базовые меры защиты.

Михаил Серапионов, «СёрчИнформ»: Я бы дополнил коллег и обратил внимание не только на внешние, но и на внутренние угрозы. Сегодня все больше инцидентов связано именно с так называемым инсайдером — сотрудником компании, который по неосторожности или преднамеренно наносит ущерб бизнесу.

К внутренним угрозам относятся:

• промышленный шпионаж и утечки данных;
• мошенничество и злоупотребление служебным положением;
• подделка документов;
• саботаж и действия деструктивно настроенных сотрудников.

Причем, по международной статистике, более 90% утечек информации происходят по вине внутренних нарушителей, и далеко не всегда это преднамеренные действия — часто речь идет о банальной неосторожности.

Дополнительный фактор риска — усиление законодательства в сфере защиты персональных данных. Сейчас штрафы за утечки могут достигать миллионов рублей, и для малого и среднего бизнеса такие суммы становятся критическими.

Cyber Media: А как владельцы бизнеса вообще воспринимают ИБ-угрозы? Артем, есть ли вот какое-то понимание в сообществе о том, что с ними делать, с этими угрозами, и как их избегать?

Артем Москалев, Ivitech: Главная проблема начинается с того, насколько сам предприниматель или собственник бизнеса осознает реальность ИБ-угроз. Мы много говорим о сотрудниках, которые по неосторожности или под влиянием фишинга становятся источником риска, но часто и сам владелец бизнеса не придерживается базовой «кибергигиены» и не транслирует это своим сотрудникам.

Почему так? Дело не в том, что собственники не хотят разбираться в безопасности. Приоритеты у малого и среднего бизнеса совершенно другие. Если компания с годовой выручкой 20–100 млн рублей (иногда чуть больше) ежедневно решает вопросы продаж, производства, кассовых разрывов, поставок и развития продукта, то ИБ оказывается в конце списка задач. Мотивация проста: «Кому я нужен? Кто меня будет взламывать?».

Есть и другие причины:

• Недооценка последствий. Предприниматели не осознают, что одна утечка может обернуться серьезными финансовыми потерями.
• Страх больших затрат. ИБ воспринимается как дорогая история, а деньги нужны на развитие бизнеса.
• Отсутствие времени и ресурсов. Не хватает ни сил, ни специалистов, чтобы хотя бы настроить базовые меры вроде двухфакторной аутентификации.

Триггером часто становится реальный случай у коллег. После истории о краже денег или утечке данных предприниматели начинают задавать вопросы в бизнес-сообществах: «У меня украли деньги со счета, что делать?» и «Как защититься от утечки данных?» Именно тогда многие впервые задумываются, что выручку, добытую тяжелым трудом, можно потерять не из-за провала в бизнесе, а из-за того, что кто-то из сотрудников по неосторожности или умышленно слил данные.

Марина Громова, Security Vision: Соглашусь с Артемом. У владельцев бизнеса действительно есть устойчивое клише, особенно в регионах: «Информационная безопасность — это дорого и непонятно. Мне сейчас не до этого. Да и кому я вообще нужен?».

Даже когда предприниматели слышат, что у кого-то украли деньги, потребовали выкуп или произошла утечка данных — они часто рассуждают так: «Ну, ущерб у него все равно меньше, чем те потенциальные расходы, которые мне пришлось бы потратить на ИБ».

На самом деле это заблуждение, и этот миф нужно развеивать. Сегодня для малого и среднего бизнеса уже существуют доступные и понятные решения: вендоры предлагают сервисы и инструменты, которые не требуют огромных бюджетов.

Информационную безопасность часто не видно стороннему наблюдателю, но она есть. Важно принять этот факт, хотя бы немного разобраться самому и донести базовые знания до сотрудников. Наша задача как представителей рынка — показать, что кибербезопасность становится все более доступной и не требует гигантских инвестиций, чтобы защитить бизнес от реальных угроз.

Константин Родин, АйТи Бастион: Полностью согласен с Артемом — у владельцев бизнеса действительно много операционных задач, и на этом фоне информационная безопасность воспринимается как нечто аморфное и абстрактное. Это типичная проблема для любого IT, которое напрямую не выражено в деньгах. Ты должен защищаться от угроз, о которых слышал, но реальных примеров почти не видишь.

В России киберинциденты остаются невидимыми — о них почти не говорят публично. Компании страдают, но не рассказывают об этом. А раз нет кейсов, создается ложное впечатление: «Ну, если это где-то происходит, меня, наверное, обойдет стороной». Хотя есть и положительные примеры. Мы обсуждали случай, когда одна компания честно заявила клиентам: «Нас взломали, вымогают 20 миллионов, мы платить не будем, а вложимся в безопасность». Это правильный подход. О таких историях нужно говорить чаще — как мы рассказываем о ДТП, болезнях, вреде курения. Это тоже риски, пусть и не физические, но очень реальные.

Вторая важная проблема — неправильное восприятие ИБ как затрат. Даже в крупном бизнесе информационная безопасность рассматривается как расход, а не как инвестиция. На самом деле это вложение, которое влияет даже на стоимость компании. Если собственник решит ее продать, бизнес с выстроенной системой безопасности будет стоить дороже. Любой аудитор это подтвердит: компания, где кассовые терминалы защищены паролем типа admin-admin или база 1С лежит в открытом доступе, оценивается гораздо ниже и может просто закрыться при первой серьезной утечке.

Был показательный случай: я в автосервисе подключился к их гостевому Wi-Fi и увидел открытую папку с базой 1С — без пароля. Я даже попытался предупредить администратора, но услышал стандартное «Спасибо, ваш звонок очень важен для нас». Вот это общее отношение — от собственника и ниже.

Поэтому самое важное — изменить подход. Информационная безопасность — это не про «лишние траты», это про инвестиции в устойчивость и репутацию бизнеса.

Михаил Серапионов, «СёрчИнформ»: Интерес к информационной безопасности у среднего бизнеса действительно растет — мы это видим по нашим исследованиям и закрытым мероприятиям. Но чаще всего он ограничивается только темами, которые на слуху: фишинг, взлом почты, утечки данных. При этом бизнесмены часто не представляют, какие еще угрозы существуют и какие инструменты можно использовать для их предотвращения.

Например, в одной компании после внедрения нашей системы выявили сотрудницу, которая сливала клиентскую базу своему мужу, а он работал у конкурентов. Такой «семейный подряд» — это и прямой убыток, и серьезный риск попасть на штрафы за утечку персональных данных.

Большинство собственников малого и среднего бизнеса даже не знают о существовании DLP-систем. А ведь такие решения позволяют контролировать действия сотрудников за компьютером, перехватывать передаваемую информацию и выявлять массу инцидентов, происходящих ежедневно, но о которых руководство даже не подозревает.

Когда мы предлагаем провести бесплатный тест или внутренний ИБ-аутсорсинг, часто слышим: «Мы своих людей знаем, они годами проверены, у нас все хорошо». Но как только тест все-таки проводится, это часто сравнимо с открытием «ящика Пандоры»: собственники впервые видят реальную картину происходящего и начинают понимать, что в информационную безопасность действительно стоит вкладываться.

Cyber Media: Как сегодня малый и средний бизнес справляется с киберугрозами, и какие подходы используют?

Артем Москалев, Ivitech: Если говорить о малом и среднем бизнесе, то, к сожалению, большинство компаний пока не используют такие решения, как DLP-системы. Но у тех предпринимателей, кто все же задумывается о защите, есть базовый набор мер, которые постепенно становятся нормой.

Во-первых, это обучение сотрудников и хотя бы минимальное внедрение правил кибергигиены: что можно открывать, на какие письма не стоит отвечать, как не попасться на фишинг.

Во-вторых, учитывая, что многие компании работают в смешанном формате — часть сотрудников в офисе, часть удаленно со своих устройств, — все чаще применяются облачные решения и удаленные серверы, чтобы не хранить важные данные на компьютерах сотрудников.

В-третьих, некоторые компании привлекают ИТ-специалистов или аутсорсинг по ИБ, чтобы настроить базовую защиту: обновления программного обеспечения, антивирусы, файрволы и более профессиональные инструменты.

При этом важно понимать, что большинство таких мер носят реактивный характер: бизнес начинает заниматься безопасностью уже после инцидента, когда кто-то столкнулся с утечкой данных или финансовыми потерями.

Cyber Media: Как выстроить эффективную систему ИБ при очень ограниченном бюджете и при очень ограниченных ресурсах?

Марина Громова, Security Vision: Для малого и среднего бизнеса с ограниченными ресурсами действительно характерен реактивный подход: пока ничего не случилось — никто ничего не делает, обновления не ставятся, меры безопасности не предпринимаются. Но даже при небольшом бюджете можно выстроить базовую систему ИБ, если придерживаться нескольких ключевых принципов.

Во-первых, инвентаризация активов. Нужно четко понимать, какие у вас есть устройства, программы и данные. Часто в компаниях хаос: купили сервер, выдали сотруднику ноутбук, кто-то работает с планшета из дома. Никто не следит, какое оборудование устарело, какое программное обеспечение не обновляется, а учетная запись уволенного сотрудника все еще активна. Без понимания, что именно нужно защищать, невозможно выстроить систему безопасности.

Во-вторых, управление уязвимостями. Большинство атак строится на эксплуатации уже известных уязвимостей. Нужно хотя бы периодически проверять, какие уязвимости есть в вашей инфраструктуре, и вовремя их закрывать. Даже регулярное обновление ПО и смена паролей решает часть проблем.

В-третьих, кибергигиена и обучение. Даже самая простая осведомленность сотрудников может спасти от серьезных потерь. Базовые правила — не пересылать пароли в чаты, не вставлять непонятные флешки в рабочий компьютер, не открывать подозрительные письма. Элементарные вещи, но именно на них ломается большинство компаний.

И наконец, просвещение — это основа. Повышение уровня осведомленности должно начинаться не только с сотрудников, но и с владельцев бизнеса. Мы, как вендоры, стараемся работать даже с детьми: например, в «городах профессий» для детей есть зоны, где в игровой форме объясняют, что такое фишинг, вирусы и киберугрозы. Почему? Потому что только через понимание можно изменить подход.

Михаил Серапионов, СёрчИнформ: При ограниченном бюджете и ресурсах малому и среднему бизнесу в первую очередь стоит задуматься, строить ли собственную систему информационной безопасности или использовать аутсорсинг. Построение собственной системы требует серьезных вложений: нужно купить программное обеспечение и серверное оборудование, найти и нанять квалифицированного специалиста по ИБ, постоянно обновлять инфраструктуру и поддерживать систему. При этом есть риск, что специалист, которого удалось нанять, через какое-то время уйдет — ему нужны интересные задачи и возможности для развития, а в малом бизнесе такие условия часто отсутствуют. В результате компания может остаться с дорогим ПО, но без человека, который умеет с ним работать.

Для небольших компаний все чаще актуален аутсорсинг информационной безопасности. Это модель по подписке, когда компания получает не только программное обеспечение, но и внештатного специалиста, который сам работает с системой, выявляет инциденты и готовит отчеты. Аутсорсинг удобен тем, что его можно подключать не на постоянной основе, а, например, только для расследования инцидентов или при подозрении на утечки данных.

Есть показательный пример. В одной торговой компании заподозрили, что конкурент на тендерах подозрительно точно подбирает цену и всегда выигрывает. Подключили аутсорсинг ИБ даже не на постоянной основе, а в тестовом режиме. Выяснилось, что бывший топ-менеджер создал собственную компанию и через оставшегося «сообщника» внутри сливал всю коммерческую информацию. Потери оценили в 100–200 миллионов рублей, и это выяснилось буквально на этапе тестирования системы.

Константин Родин, АйТи Бастион: Если вам кажется, что кибератаки вас не коснутся, это иллюзия. Малый и средний бизнес — одна из основных целей злоумышленников. И если сейчас у вас нет бюджета на ИБ, велика вероятность, что в будущем его не будет вообще. Просто потому, что вы можете потерять деньги из-за успешной атаки. Но есть и хорошая новость: рынок ИБ развивается, и многие вендоры уже предлагают решения, специально адаптированные для небольших компаний. Стоимость владения такими системами снижается за счет того, что они рассчитаны на более компактную инфраструктуру и решают конкретные, локальные задачи.

Один из примеров — системы контроля привилегированного доступа. Привилегированные пользователи есть в каждой компании: это бухгалтер, который работает в 1С и может проводить крупные платежи, или айтишник, который обслуживает инфраструктуру. В малом и среднем бизнесе часто привлекают сторонних специалистов и аутсорсеров, а учетные записи остаются активными даже после увольнения сотрудников. Бывает, что человек уходит, а доступ к критической инфраструктуре у него сохраняется годами — просто потому, что некому заняться этим вопросом.

Решение здесь может быть простым. Даже если у вас нет денег на полноценную систему ИБ, стоит хотя бы начать с консультации. Любой адекватный вендор готов на первом этапе просто поговорить, задать вопросы и подсветить потенциальные проблемы. Это бесплатно и не обязывает вас к покупке. Но уже после такого разговора вы сможете понять, где у вас слабые места и какие риски реально критичны.

Cyber Media: Как обосновать в малом и среднем бизнесе инвестиции в специализированные решения?

Михаил Серапионов, СёрчИнформ: Вопрос возврата инвестиций в специализированные решения по информационной безопасности действительно часто вызывает сомнения у собственников малого и среднего бизнеса. Но даже на этапе бесплатного тестирования можно увидеть, какую ценность дает такая система.

Во-первых, внедрение специализированных решений, например, DLP или аутсорсинга внутренней ИБ, нередко окупается сразу за счет оптимизации рабочего времени сотрудников. Например, в компании из 50 человек после внедрения услуги выяснилось, что 32% рабочего времени тратится неэффективно — на личные дела, перекуры, развлекательные сервисы. После запуска системы этот показатель сократился до 16%. При средней зарплате в 60 000 рублей компания только за счет повышения эффективности получила дополнительную выгоду около 6 млн рублей в год при затратах на услугу всего 1,8 млн.

Во-вторых, такие системы помогают выявлять инциденты, прямой ущерб от которых значительно превышает стоимость их внедрения. Например, в одной торговой компании сразу после старта услуги обнаружили две серьезные схемы: группа сотрудников организовала собственное ООО и переводила туда часть контрактов, а менеджер оформил на себя ИП, покупал товары с максимальной скидкой и одновременно работал с конкурентом. Убытки от таких действий измерялись уже десятками миллионов рублей.

Артем Москалев, Ivitech: Я бы разделил ответ на три плоскости.

Первая — базовая обоснованность инвестиций. Любой предприниматель, который задумывается о внедрении систем информационной безопасности, например, DLP, делает это в первую очередь для снижения рисков. Да, на начальном этапе эффект может быть неочевиден, но живые примеры показывают, что результаты часто видны сразу. В долгосрочной перспективе это защита от серьезных финансовых и репутационных потерь. Особенно важно помнить о доверии клиентов: если, не дай бог, утекут их данные, вернуть доверие и удержаться на рынке будет гораздо сложнее.

Вторая плоскость — законодательные и регуляторные требования. В финтехе, например, без инвестиций в ИБ просто невозможно работать: строгие требования банков и регуляторов, обработка персональных данных и финансовой информации заставляют внедрять необходимые решения, чтобы не получить штрафы и не нарушить закон.

Третья — оптимизация бизнес-процессов. Внедрение инструментов информационной безопасности нередко приводит к пересмотру и автоматизации процессов, что в итоге снижает операционные расходы и улучшает соответствие требованиям комплаенса клиентов и партнеров.

При этом не всегда нужны огромные бюджеты и решения уровня крупных корпораций. Обычно все происходит по сценарию: ничего не делаем, пока «жареный петух» не клюнет, а потом в спешке покупаем самое дорогое. Гораздо разумнее начать с аудита и получить рекомендации по простым и доступным мерам, которые будут эффективны без колоссальных вложений.

Cyber Media: Часто говорят, что для малого и среднего бизнеса ИБ целесообразнее предлагать в формате сервиса. Но действительно ли это оправдано? Какие плюсы и минусы есть у такого подхода, и стоит ли он вложенных ресурсов?

Константин Родин, АйТи Бастион: Конечно, стоит. Единственная проблема в том, что рынок услуг информационной безопасности в России пока очень слабо развит. Хотя это действительно более доступный и удобный инструмент для внедрения ИБ, многие его до конца не понимают. Людям и так сложно разобраться в вопросах информационной безопасности, а когда появляются термины вроде MSSP или Security as a Service, у многих просто голова идет кругом — непонятно, как это работает и как применять.

Но с точки зрения выгоды такой подход максимально оправдан. Выигрывают все: вендоры могут развивать продукты, адаптированные под конкретные сегменты, и снижать цены, а заказчик не тратит сразу огромный бюджет и не рискует своей финансовой подушкой ради внедрения дорогостоящих решений.

Мы, например, запустили программу амбассадорства — привлекаем заинтересованных заказчиков, помогаем им выстроить систему информационной безопасности на наших решениях, а они, в свою очередь, делятся опытом в своем бизнес-сообществе: «как было» и «как стало». Это тоже своего рода сервис и инструмент продвижения.

Еще один пример — решения класса PAM. Мы адаптировали его под формат сервиса, и это особенно удобно для малого бизнеса. Чаще всего такие сервисы предоставляют облачные провайдеры, когда инфраструктура, платформа или даже сама безопасность поставляется как сервис. По сути, компания отдает не только инфраструктуру на аутсорс, но и получает сразу безопасную инфраструктуру, где все вопросы защиты уже решены.

В итоге выигрывают все: это снижает стоимость владения, позволяет распределить расходы на несколько лет и планировать бюджет. Вопрос лишь в том, когда до потребителей дойдет понимание всех преимуществ, а вендоры активнее начнут продвигать эту модель. У нас, как всегда, есть некоторая задержка по сравнению с мировым опытом, где такой подход уже стал стандартом.

Марина Громова, Security Vision: Информационная безопасность как услуга действительно имеет смысл. Мы, как вендор, сотрудничаем с московскими и региональными security operation-центрами. Если еще три года назад таких SOC-центров было буквально пара крупных известных игроков, то сейчас ситуация изменилась: примерно 90% российскихSOC уже используют решения более высокого класса и активно масштабируются. Они сами вкладываются в развитие, закупают необходимые решения и видят от этого реальный эффект — к ним все чаще подключаются клиенты, в том числе малый и средний бизнес. Причем не только МСБ: даже крупные компании начинают использовать услуги информационной безопасности как сервис.

Для малого и среднего бизнеса это не «таблетка от всех болезней», но точно один из вариантов, который стоит рассматривать. Все зависит от специфики бизнеса и его задач, но как способ закрыть вопрос отсутствия собственной системы ИБ этот подход действительно работает.

Почему это оправдано? Во-первых, это проще: вы перекладываете ответственность на компанию, которая специализируется в ИБ. Во-вторых, это быстрее и менее затратно в моменте: регулярный прогнозируемый платеж в формате OPEX всегда легче осилить, чем большие капитальные вложения. И, наконец, это снижает зависимость от собственных сотрудников — не нужно надеяться на условного Васю, который может уволиться завтра, оставив компанию без поддержки.

Кроме того, SOC-центры не стоят на месте — они расширяют спектр услуг. Например, уже предлагают сканирование уязвимостей и помощь в управлении уязвимостями. А это важно для МСБ, ведь эксплуатация известных уязвимостей — один из самых распространенных способов проникновения в компанию. Так что для малого и среднего бизнеса это действительно хороший вариант, который стоит учитывать при построении системы информационной безопасности.

Михаил Серапионов, СёрчИнформ: Прибегнуть к аутсорсингу для малого и среднего бизнеса действительно имеет смысл — у этого подхода есть ряд плюсов. Во-первых, это снижение рисков и отсутствие крупных вложений на старте. Не нужно сразу закупать дорогостоящее ПО и искать специалиста по информационной безопасности. Вместо этого можно платить регулярные, но предсказуемые и комфортные ежемесячные суммы.

Во-вторых, это бесперебойность работы. Собственный специалист может уйти в отпуск, заболеть или уволиться, и в этот период компания рискует остаться без защиты. А аутсорсинг гарантирует постоянный контроль.

В-третьих, это гибкость. Услугами можно пользоваться не постоянно, а только в пиковые периоды. Например, одна сеть шиномонтажа прибегает к услугам аутсорсинга осенью и весной, когда идет наплыв клиентов, и важно следить, чтобы сотрудники не превышали свои полномочия. Летом и зимой компания в этих услугах не нуждается.

Кроме того, аутсорсинг может помочь вырастить собственного специалиста. Внештатный аналитик выполняет основную работу, а нанятый в штат новичок учится, наблюдая за его действиями. Так сделала одна строительная компания: они полгода пользовались услугами аутсорсинга, одновременно обучая своего сотрудника без опыта. В итоге через шесть месяцев перешли на самостоятельную работу, сэкономив на обучении и минимизировав риски.

Cyber Media: Какие самые распространенные ошибки может допустить сознательный собственник малого или среднего бизнеса, решивший самостоятельно выстроить систему информационной безопасности? С какими проблемами он, скорее всего, столкнется на этом пути?

Константин Родин, АйТи Бастион: Самая распространенная ошибка — это неправильная оценка того, что действительно нужно защищать. Часто собственник решает, что надо «накрыть зонтиком безопасности» всю инфраструктуру — все 100 компьютеров и два сервера. Ему считают стоимость такого проекта, он видит огромную сумму, пугается и отказывается от идеи. На самом деле так делать не нужно: «слона едят по частям».

В первую очередь нужно определить, какие сервисы и оборудование критичны для бизнеса. Что именно при выходе из строя приведет к остановке работы, срыву продаж или простоям. Защиту нужно выстраивать постепенно, начиная с этого.

Вторая типичная ошибка — неправильный выбор подрядчика. Многие обращаются к знакомым «айтишникам», которых рекомендуют друзья или родственники, а на деле это человек, который умеет только устанавливать антивирусы. Бюджет уходит, а защиты как таковой нет. Поэтому важно обращаться к профессионалам. Если есть сомнения, стоит получить мнения хотя бы от двух разных компаний, чтобы сравнить подходы и выбрать оптимальный.

Третья проблема — выбор самих решений. Здесь часто возникает соблазн использовать open source. Это не плохо, но требует гораздо больше ресурсов и внимания. Нельзя просто установить бесплатное решение и забыть — нужен специалист, который будет его поддерживать и развивать. Если он уходит, возникает новый риск — система остается без сопровождения.

Собственнику малого и среднего бизнеса важно определиться: он хочет заниматься своим бизнесом или строить внутри полноценное IT- и ИБ-подразделение. Open source подходит, если есть собственная команда, готовая этим заниматься. Но для большинства МСБ, которые сосредоточены на основном бизнесе, целесообразнее работать с вендорами и внешними подрядчиками, которые обеспечат установку, поддержку и обновление решений. Часто бывает, что компании сначала выбирают open source, а через пару лет понимают: затраты на зарплаты сотрудников, поддерживающих это решение, превысили бы стоимость коммерческого продукта с сервисной поддержкой.

Марина Громова, Security Vision: Самая первая и самая частая ошибка — неправильная оценка активов и их критичности. Многие собственники не начинают с базовой инвентаризации: не понимают, какие у них есть активы, какие из них критичны для бизнеса и что именно нужно защищать в первую очередь. Без этого легко сделать неверные выводы — купить дорогое и популярное решение «от всех болезней», которое в итоге не закроет реальные риски, потому что базовые потребности остаются незащищенными.

Вторая ошибка — хаотичный выбор решений и подхода к их внедрению. Часто собственники поддаются рекламе или советам знакомых и просто поручают айтишнику: «поставь вот это». Но если инфраструктура не проанализирована и приоритеты не расставлены, даже дорогое решение будет просто «стоять сверху», а ключевые уязвимости останутся открытыми.

Третья проблема — чрезмерная ставка на open source. В условиях ограниченных бюджетов айтишники малого и среднего бизнеса часто используют бесплатные решения. Но open source требует постоянного сопровождения и обновлений. Через него также могут быть реализованы атаки, если вовремя не устранять уязвимости. Если внутри компании нет выделенного специалиста, который будет этим заниматься, лучше рассматривать более простые и поддерживаемые вендорские решения.

Четвертая ошибка — убежденность, что ИБ обязательно дорого и требует сложных корпоративных решений. На самом деле многие вендоры уже адаптируют продукты под малый и средний бизнес: урезают функционал до базового, уменьшают количество поддерживаемых пользователей, облегчают установку (вплоть до возможности развернуть решение силами своего айтишника без привлечения подрядчиков).

Михаил Серапионов, СёрчИнформ: Одна из самых распространенных ошибок малого и среднего бизнеса — иллюзия, что установка какого-нибудь программного обеспечения автоматически решит все проблемы. Часто собственники уверены, что такие решения «сами все делают»: выявляют инциденты, реагируют на них с помощью искусственного интеллекта и даже «наказывают виновных». На практике это, конечно, не так. Любая система требует правильной настройки, сопровождения и анализа.

Другая типичная ошибка — передача задач информационной безопасности системному администратору «по остаточному принципу». У него свои задачи, и он не всегда компетентен в вопросах ИБ. Гораздо эффективнее использовать комбинированный подход: подключать аутсорсинг или внешних специалистов, которые помогут хотя бы с базовыми задачами, например, с инвентаризацией оборудования и мониторингом изменений.

Например, в компании при помощи аутсорсингового сервиса выявили, что в новых партиях компьютеров начали пропадать видеокарты, а оперативную память заменяли на более дешевую. Сотрудник вынимал комплектующие, ставил дешевые аналоги и тут же продавал оригинальные детали на Авито. Благодаря системе контроля инцидент удалось быстро выявить, ущерб был возмещен, а сотрудника уволили. Такие случаи, как показывает практика, встречаются почти в каждой компании.

Еще одна проблема — отсутствие четко определенных задач для системы информационной безопасности. Если собственник не понимает, что именно он хочет защитить и от каких рисков, то любые инвестиции могут оказаться неэффективными.

Важный момент — корпоративная культура. Без нее невозможно построить качественную систему безопасности. Контроль за действиями сотрудников должен восприниматься не как инструмент наказания, а как способ оптимизировать процессы, закрывать уязвимые места и защищать как бизнес, так и самих сотрудников.

Артем Москалев, Ivitech: Одна из самых распространенных ошибок собственников малого и среднего бизнеса — недооценка человеческого фактора. Большинство инцидентов, так или иначе, связано с людьми: с их привычкой использовать простые пароли вроде «123456», отсутствием многофакторной аутентификации, низким уровнем киберграмотности. Без обучения и формирования корпоративной культуры безопасности любые технические меры будут малоэффективны.

Вторая ошибка — отсутствие комплексного подхода. Часто бизнес внедряет решения хаотично, без понимания, какие именно риски нужно закрывать. При этом специфика деятельности не учитывается. Для строительной компании, IT-бизнеса или финтеха приоритеты совершенно разные. Где-то важнее защита клиентских данных, где-то — контроль внутренних процессов, а где-то — борьба с мошенничеством.

Прежде чем что-то внедрять, нужно определить, что именно требует защиты, какие риски критичны и какие инструменты их закроют. Базовые меры — надежные пароли, многофакторная аутентификация, контроль прав доступа — должны быть в приоритете. А уже потом можно переходить к более сложным решениям.

Cyber Media: Какие конкретные решения и сервисы по информационной безопасности в 2025 году вы бы порекомендовали малому и среднему бизнесу в России?

Марина Громова, Security Vision: Для малого и среднего бизнеса информационная безопасность должна быть доступной, понятной и быстрой в развертывании. Важно обеспечить базовый уровень защиты и целостную картину происходящего.

Первое, с чего стоит начать, — это инвентаризация активов. Нужно четко понимать, какие системы и устройства есть в компании, в каком они состоянии и какие из них критичны для бизнеса.

Второй шаг — сканирование уязвимостей и управление ими. Мало просто знать, где есть «пробелы» в защите, важно понимать, что с ними делать и в каком порядке устранять. Особенно это актуально для компаний, которые продают товары или услуги и имеют сайт — это потенциальная точка входа для злоумышленников.

Лучше использовать вендорские решения, а не только open-source. Вендоры дают не просто список проблем, а рекомендации по их устранению. Например, решения от Security Vision позволяют не только сканировать внутренние активы, но и смотреть на инфраструктуру глазами потенциального злоумышленника (режим пентеста). Это помогает понять, какие уязвимости актуальны прямо сейчас и могут быть использованы против компании. Например, решение от Security Vision — сканер уязвимостей VS Basic позволяют не только сканировать внутренние активы, но и смотреть на инфраструктуру глазами потенциального злоумышленника (режим пентеста). Это помогает понять, какие уязвимости актуальны прямо сейчас и могут быть использованы против компании.

После базовой защиты, стоит обратить внимание именно на такие решения. Вендорский подход особенно полезен для МСБ, потому что дает доступ к экспертизе, проверенной на крупных заказчиках, но в более доступном и финансово оправданном исполнении.

Михаил Серапионов, СёрчИнформ: В первую очередь малому и среднему бизнесу важно определить, от каких угроз нужно защищаться и какие задачи должна решать система информационной безопасности. Не всегда стоит сразу платить за все — многие сервисы можно протестировать бесплатно.

Например, аутсорсинг внутренней информационной безопасности в первый месяц может предоставляться без оплаты. За это время уже можно получить ценную информацию о компании: какие данные есть внутри, кто к ним имеет доступ, куда они отправляются, как сотрудники используют рабочее время и с кем общаются.

Такой подход помогает понять, нет ли среди сотрудников тех, кто планирует недобросовестные действия, саботаж или обсуждает неконструктивные вещи с внешними контактами. Также можно увидеть дисциплинарные проблемы: кто опаздывает, кто пытается раньше уйти.

В результате компания получает более полную картину происходящего, что позволяет вовремя защититься от угроз и избежать финансовых и репутационных потерь.

Константин Родин, АйТи Бастион: В малом и среднем бизнесе часто существует миф, что безопасность мешает работе. В крупных компаниях есть регламенты и процессы, а в МСБ все динамично: решения нужно принимать быстро, иначе сорвется контракт или тендер. Из-за этого ИБ воспринимается как что-то замедляющее работу. Айтишники тоже иногда боятся контроля и сопротивляются новым решениям, считая, что это усложнит процессы.

На самом деле современные решения не мешают, а помогают. Пример – системы контроля привилегированного доступа. Они не только контролируют действия сотрудников, но и защищают их. Если что-то случилось с критичными для бизнеса серверами или базами данных, айтишник может доказать, что он не виноват: все действия фиксируются. У меня был случай, когда администратор отказался подключаться в обход системы, чтобы потом его не обвинили в сбое.

Важно сначала понять, что именно нужно контролировать и защищать. Для этого не обязательно сразу что-то покупать – есть бесплатные сервисы, которые позволяют оценить ситуацию и понять риски. Безопасность уже давно перестала быть неподъемной для МСБ, вопрос только в желании и понимании рисков.

Пример из практики: у компании, продающей дорогие товары, утекла база клиентов. Состоятельным покупателям начали массово звонить и предлагать сомнительные услуги. Репутация компании сильно пострадала, хотя финансовые последствия на момент утечки никто точно не мог просчитать.

ИБ – это не просто траты. Это защита бизнеса, его репутации и даже сотрудников. Сейчас безопасность касается каждого аспекта жизни, и вопрос лишь в том, готов ли собственник защищать свое «дитя» – бизнес – от угроз, которые могут все разрушить.

Артем Москалев, Ivitech: Для малого и среднего бизнеса универсальным и самым понятным шагом будет аудит текущего состояния информационной безопасности. Это базовый и рабочий инструмент, с которого стоит начинать.

Предприниматель, как правило, не специалист по ИБ и не будет разбираться в названиях систем и их технических особенностях. Гораздо проще провести аудит, выявить существующие и потенциальные риски, а уже потом, вместе с экспертами, выбрать подходящие решения. Это может быть как внедрение конкретных инструментов, так и использование ИБ как сервиса. В некоторых случаях достаточно даже обучить сотрудника, в других — выгоднее продолжать пользоваться аутсорсингом.

Еще один важный шаг — обучение сотрудников. Понимание базовых правил безопасности и внимательное отношение к работе с данными часто предотвращают множество проблем. И это как раз те меры, которые предприниматель может внедрить сразу, без глубокого погружения в технические детали и специфику конкретных решений.