«Да кому мы нужны?» — самая опасная фраза в ИТ малого бизнеса.
Малый бизнес ломают не хакеры в капюшонах — его ломает автоматический конвейер. Боты сканируют интернет круглосуточно: открытый RDP, слабый пароль, дырявый роутер, фишинговое письмо. Защита — это не одна программа, это система слоёв. Выстраиваем такую систему: антивирус, пароли, VPN, сегментация, бэкапы, регламенты.
01 / Реальность
Конвейер ботов работает 24/7
Вопрос не «интересны ли вы кому-то лично», а «насколько легко в вас зайти». Боты сканируют ваш IP прямо сейчас, пока вы это читаете.
02 / Подход
Защита — это система слоёв
Файрвол, VPN, пароли, антивирус, разграничение, бэкапы. Один слой пробьёт — остальные удержат. Антивируса самого по себе мало.
03 / Реализм
Готовность к ошибке человека
Сотрудники будут кликать по фишингу, забывать пароли, отвечать «директору» в Telegram. Система должна выдерживать одну ошибку без катастрофы.
Знакомо
Когда защита — это иллюзия
Четыре фразы, после которых у нас обычно появляется лёгкое беспокойство. И — отдельная история из практики, чтобы стало понятно, почему «обучение сотрудников» работает не так, как все думают.
«У нас антивирус стоит — значит, защищены»
— директор, 30 сотрудников
«К серверу подключаемся через RDP, порт открыт — так удобно»
— айтишник, 50 сотрудников
«Пароль один на всех, удобно, мы же все свои»
— главбух, 20 сотрудников
«Бэкапы вроде есть — лежат на том же сервере»
— владелец, 15 сотрудников
Из практики
«Здравствуйте, я ваш системный администратор»
В один из магазинов нашего клиента позвонил человек. Голос уверенный, представился системным администратором компании, назвал имя директора филиала, сослался на «срочную проверку». Попросил продиктовать пароль от компьютера. Потом — фамилии и телефоны коллег. Потом — передать деньги из кассы курьеру «на корпоративные нужды».
Сотрудник чуть не выполнил всё, что просили. Остановился буквально на последнем шаге, потому что курьер задержался. Если бы не задержка — компания потеряла бы деньги, а злоумышленники получили бы доступы к компьютерам и контакты сотрудников для следующих звонков.
Никакой антивирус, файрвол и сложный пароль не остановили бы эту атаку. Потому что атака шла не на компьютер, а на человека. И именно поэтому безопасность строится не из расчёта «все будут делать всё правильно», а из расчёта «кто-то обязательно ошибётся».
Главный принцип
Безопасность — это не одна программа, а 6 слоёв
Не существует одного волшебного средства. Есть слои защиты — снаружи внутрь. Если злоумышленник пробил один слой, остальные должны удержать. Это и есть «выдерживать одну ошибку».
01
Внешний периметр
Файрвол и закрытые порты
Не торчит наружу ничего лишнего. RDP, базы данных, админки — закрыты от интернета по умолчанию. Только то, что реально нужно снаружи. Боты-сканеры просто не находят, к чему подключиться.
02
Безопасный вход
VPN для удалёнки
Чтобы попасть в офисную сеть снаружи — нужно поднять VPN-туннель. Никаких «открытых RDP», никакого «AnyDesk на каждом ноутбуке». Сотрудник входит через VPN — и работает как из офиса.
03
Удостоверение личности
Пароли + 2FA
У каждого свой пароль, на каждый сервис — свой. Менеджер паролей вместо стикеров под клавиатурой. Двухфакторная аутентификация на критичных системах. Украденный пароль сам по себе доступа не даёт.
04
Защита рабочих мест
Антивирус с центральным управлением
Антивирус не панацея, но без него нельзя. Ловит большинство типовых угроз. Главное — централизованная консоль: видно, где работает, где базы устарели, где сотрудник отключил защиту.
05
Внутренний контур
Минимум прав каждому
Сотрудник видит только то, что нужно для работы. Стажёр — не админ. Менеджер — не имеет доступа к зарплатным ведомостям. Заражение одного компьютера — не убивает весь офис, потому что разрешения ограничены.
06
Последняя линия
Бэкапы и план восстановления
Если все остальные слои пробили — бэкапы возвращают компанию к жизни. Отдельное хранилище в отдельном месте, регулярные проверки восстановления. Не «бэкап Шрёдингера», а реальная страховка.
Частые ошибки
На чём горит малый бизнес
Шесть установок, которые делают компанию удобной мишенью. Все они — не про злой умысел или глупость. Это нормальные человеческие реакции на ситуацию, в которой нет нормальной системы. Решение — построить систему.
Ошибка 01
«Да кому мы нужны»
Самая опасная фраза. В голове у владельца — картинка из фильма: хакер целенаправленно ломает конкретную компанию. Логика «зачем хакеру наше ООО Ромашка» кажется бронебойной. А реальность другая: вас ломает не хакер, а автоматический конвейер. Боты круглосуточно сканируют интернет — им всё равно, кто вы. Они ищут открытые порты, слабые пароли, старые роутеры. Нашли — зашли.
Как правильноПринять, что вы не цель — вы мишень. Вопрос не в том, интересны ли вы кому-то, а в том, насколько легко в вас зайти. Закрыть открытые порты, навести порядок в паролях, обновить инфраструктуру — это базовая гигиена.
Ошибка 02
«У нас антивирус — значит, защищены»
Антивирус полезен. Но он решает узкий кусок проблем. Не спасёт от сотрудника, который сам ввёл пароль на фишинговом сайте. Не спасёт от открытого RDP с подобранным паролем. Не сделает домен, не настроит 2FA, не создаст бэкапы. Шифровальщик с компьютера сотрудника, кликнувшего по ссылке, антивирус может не успеть остановить — и зашифрует всё, до чего дотянется.
Как правильноАнтивирус — один слой. Нужны и остальные: пароли, 2FA, VPN вместо открытого RDP, разграничение прав, проверяемые бэкапы. Антивирус сверху хаоса в безопасность не превращает.
Ошибка 03
Пароли: один на всё, на стикере, 123456
Заходим к новому клиенту — поднимаем клавиатуру, на стикере: пароль от компьютера, от 1С, от почты. И все три одинаковые. У следующего сотрудника — то же. У третьего пароль 123456 или фамилия с годом. Бот подбирает такой за секунды. А когда у вас один пароль на все системы — взломали что-то одно, получили доступ ко всему.
Как правильноМенеджер паролей — Vaultwarden, 1Password или Пассворк. Помнить нужно один мастер-пароль. Уникальные сложные пароли в каждой системе генерируются автоматически. 2FA на критичных точках. Уволился — отключили учётку, остальное не трогаем.
Ошибка 04
Открытый RDP наружу
На роутере проброшен порт, сервер с удалённым рабочим столом доступен по IP из любой точки мира. Удобно — но это дыра размером с футбольные ворота. Боты находят открытый RDP за минуты и начинают перебор паролей. Слабый пароль угадывают. Дальше — шифровальщик, остановка работы и тяжёлая неделя на восстановление. У наших клиентов открытого RDP наружу нет вообще.
Как правильноRDP только через VPN. Снаружи виден только VPN, а доступ внутрь — после прохождения туннеля. Никаких «прокинутых портов на роутере». Бизнес-роутер MikroTik умеет это из коробки.
Ошибка 05
AnyDesk как постоянный инструмент
Поставили AnyDesk или TeamViewer на компьютер каждому удалённому сотруднику — и работают. Удобно, не надо настраивать VPN. Но трафик идёт через чужие серверы, контроля кто куда подключался — нет, при увольнении сотрудник продолжает иметь доступ. И если в самом сервисе найдут уязвимость (такое уже бывало) — злоумышленники получают доступ ко всем вашим машинам разом.
Как правильноVPN client-to-site как стандартная удалёнка для сотрудников. AnyDesk — только для разовых задач: подрядчик подключился, сделал работу, отключился. Не постоянный, не бесконтрольный.
Ошибка 06
Ставка на «обучим сотрудников»
Семинары, видеоролики, рассылки «будьте бдительны». Звучит правильно, но не работает. Каждый день в новостях рассказывают про мошенников по телефону. И каждый день кто-то отдаёт деньги. Образованные взрослые люди. В момент, когда тебе звонят и давят, ты не вспоминаешь семинар — ты реагируешь. Ваши сотрудники тоже будут ошибаться. Это не если, это когда.
Как правильноСтроить систему, которая выдерживает ошибку. Минимум прав каждому, регламенты на критичные операции (перевод денег — только по согласованию, не по звонку), запрет установки ПО, сегментация сети, бэкапы. Чтобы одна ошибка не убила бизнес.
Что делаем
Работы по безопасности
Системно — по всем шести слоям. Часть работ разовые (аудит, развёртывание, миграция), часть — постоянные (мониторинг, обновления, регламенты). Сильно пересекается с другими нашими услугами — это нормально, безопасность не существует отдельно от инфраструктуры.
Аудит безопасности
С чего всегда начинаем
- Сканирование внешнего периметра. Какие порты у вас открыты в интернет, что висит наружу, какие сервисы видны ботам. Часто находим RDP, SSH, базы данных — открытые сами по себе.
- Проверка паролей и доступов. Кто имеет доступ к чему, есть ли общие учётки, где пароли «один на всех», где нет 2FA там, где она нужна.
- Состояние антивируса и обновлений. На скольких машинах установлен, где базы устарели, где отключили, где не обновляется ОС.
- Карта рисков с приоритизацией. Что критично закрыть в первую неделю, что во вторую, что можно отложить. С реальными цифрами, не «мы что-то наулучшим».
Антивирус с центральной консолью
Корпоративные решения
- Развёртывание корпоративного антивируса. Из российских — Kaspersky или Dr.Web. С единой консолью управления, через которую видно состояние всех компьютеров.
- Централизованное обновление баз. Не «у каждого свой график», а единый, по расписанию. Никаких «забыл обновить полгода назад».
- Защита от отключения. Сотрудник не может сам отключить антивирус «потому что тормозит». Только через админа.
- Реакция на инциденты. Обнаружено заражение — уведомление в админ-панели сразу, не «через неделю на плановом обходе».
Пароли и 2FA
Вместо стикеров под клавиатурой
- Менеджер паролей под задачи. Vaultwarden на своей инфраструктуре (бесплатный, контроль ваш), 1Password или Пассворк — в зависимости от требований к интерфейсу и поддержке.
- Парольная политика централизованно. При наличии домена — минимальная длина, сложность, срок действия задаются один раз для всех. Без хождения по сотрудникам.
- Двухфакторка на критичных точках. Админка серверов и оборудования, почта руководства, VPN, банковские системы. Не везде подряд — а там, где взлом стоит дорого.
- Регламент при увольнении. Список систем, в которых нужно отключить доступ. Человек уходит — учётки блокируются в тот же день, не «через неделю разберёмся».
Удалённый доступ
VPN, не открытый RDP
- Закрываем открытые порты. RDP, SSH, базы данных — снаружи не видны. Доступ — только через VPN-туннель. Это первое и главное в любой нашей работе по безопасности.
- Client-to-site: OpenVPN как стандарт. Для удалённых сотрудников — OpenVPN. Стабильно, кросс-платформенно, проверено годами. WireGuard — альтернатива, особенно для мобильных устройств.
- Site-to-site: IPsec. Для связи офисов между собой — IPsec, при необходимости GRE+IPsec. OpenVPN site-to-site — альтернатива, когда IPsec по каким-то причинам неудобен.
- Персональные учётки и разграничение. У каждого сотрудника своя учётка VPN, свой профиль доступа. Бухгалтер видит только 1С и свои файлы — не всю сеть.
Регламенты и минимум прав
Чтобы ошибка не стала катастрофой
- Принцип минимума привилегий. У сотрудника — только те права, которые нужны для работы. Менеджер не админ на своём ПК, стажёр не видит зарплатных ведомостей, продавец не подключается к серверу.
- Регламент на критичные операции. Перевод денег — только через цепочку согласований, не по сообщению в Telegram. Директор не просит оплатить через мессенджер. Айтишник не спрашивает пароль по телефону. Если просит — это мошенник.
- Запрет установки программ. Сотрудники не могут ставить произвольное ПО на рабочие ПК. Даже если кликнули по фишинговой ссылке — программа просто не запустится.
- Регламент при инцидентах. Что делать, если кликнул не туда, открыл подозрительное письмо, потерял ноутбук. Заранее, не в момент паники.
Бэкапы и восстановление
Последняя линия обороны
- Схема 3–2–1 для критичных данных. Три копии, два разных носителя, одна — удалённо. Подробно — на странице файлового сервера.
- Изоляция бэкапов от шифровальщика. Бэкапы — на хранилище без прямого доступа с продакшена. Заразился сервер — копии остаются нетронутыми.
- Регулярные проверки восстановления. Раз в месяц поднимаем случайные данные из бэкапа в тестовой среде. «Бэкап есть» = «можем восстановиться».
- План реагирования на инциденты. Что делаем при шифровальщике, утечке данных, потере оборудования. Заранее, не в момент атаки.
Инструменты
С чем работаем
Не привязаны к одному вендору. Подбираем под задачи, бюджет и инфраструктуру клиента. Если уже стоит что-то рабочее — не перетаскиваем на «своё любимое», а интегрируемся.
Антивирусы
Для российских компаний — корпоративные версии с центральной консолью. Покрытие угроз из российского сегмента у локальных вендоров заметно лучше, реакция быстрее.
Менеджеры паролей
Vaultwarden на своей инфраструктуре — бесплатно, данные у вас. 1Password — лучший интерфейс и поддержка. Пассворк — российское решение для команд с российским юрлицом.
VPN-протоколы
Client-to-site: OpenVPN — приоритет, WireGuard — альтернатива (особенно для мобильных). Site-to-site: IPsec (или GRE+IPsec) — приоритет, OpenVPN — альтернатива.
Файрволы и периметр
MikroTik RouterOS как стандарт SMB — реальный файрвол, политики, журналирование. Для крупного бизнеса — Cisco, FortiGate. Закрытие портов и ограничение доступа — на уровне периметра.
2FA и аутентификация
Google Authenticator, Microsoft Authenticator, Yandex Key — программные. Аппаратные ключи YubiKey — для ролей с особо чувствительным доступом. Привязка к корпоративным данным, не личным.
Домен и групповые политики
Active Directory или его свободные альтернативы — для централизованного управления учётками, правами, политиками паролей. Один раз настроили — работает для всех.
Цифры
Что фиксируем в SLA
Безопасность измеряется не «всё хорошо, никто не взломал» — а конкретными показателями: что закрыто, что мониторится, как быстро реагируем на инциденты.
0
Открытых RDP наружу
У клиентов на нашем обслуживании — нет ни одного открытого RDP в интернет. Стандарт без исключений.
2FA
На критичных точках
Админки серверов и оборудования, почта руководства, VPN, банк — двухфакторная аутентификация по умолчанию.
15 мин
Реакция на инцидент безопасности
Подозрение на заражение, попытку взлома, утечку — приоритет максимальный. Подключаемся в течение 15 минут.
100%
Парк под антивирусом
Все рабочие компьютеры и серверы — под корпоративным антивирусом с центральной консолью. Не «у кого как».
3–2–1
Схема резервирования
Три копии данных, два разных носителя, одна — удалённо. Стандарт против любых одиночных событий.
NDA
До начала работ
Соглашение о неразглашении подписываем до получения первого пароля. Доступ к данным клиента — под обязательствами.
Как начинаем
От аудита до выстроенной защиты
Безопасность — не разовая работа. Аудит и первичная настройка — это старт. Дальше — постоянное сопровождение, обновление, реагирование. Иначе через полгода — снова открытые порты и устаревшие пароли.
Аудит
Сканируем периметр, проверяем доступы, оцениваем риски. По итогам — карта дыр с приоритизацией.
Срочное закрытие
Открытые порты, слабые пароли, отсутствие 2FA на критичных системах — закрываем в первую неделю.
Системные слои
Менеджер паролей, антивирус с консолью, VPN, разграничение прав, регламенты — последовательно за 1–2 месяца.
Сопровождение
Мониторинг, обновления, проверки бэкапов, реагирование на инциденты. Без этого через год — снова дыры.
С нами уже
Безопасность — без шумных лозунгов
Два примера: тотальная защита и контроль на стройке и корпоративный VPN для распределённой команды.
Строительная компания
Строительная компания
Анонимно, 2011
Анонимно, 2011
Руководство хотело тотальный контроль за действиями сотрудников и максимальную защиту корпоративной информации. Развернули кастомное решение: контроллер домена с жёсткими политиками, интернет-шлюз со статистикой по каждому пользователю, запись действий на ПК (скриншоты + клавиатура), запись телефонных разговоров. Все данные — в зашифрованном виде, ключ аппаратный и только у руководителя.
14 дней
срок реализации
100 %
шифрование данных
Аппаратный
ключ у руководителя
Студия Сюрприз
Event-агентство
12 лет с нами
12 лет с нами
Корпоративный VPN на 40+ устройствах: Windows, macOS, iOS. У каждого сотрудника свой профиль доступа: бухгалтер видит 1С и свои файлы, креативный отдел — только проектные папки. Аудит безопасности на каждом подключении, моментальная блокировка учётки при увольнении или утере устройства.
40+
устройств с VPN
3
ОС: Windows, macOS, iOS
0
инцидентов утечки
Стоимость
Сколько это стоит
Если вы уже наш клиент по абонентскому обслуживанию — большинство задач из этого раздела не потребует дополнительных расчётов. Если работаете с нами впервые — посчитаем стоимость отдельно.
Для клиентов на обслуживании
0 ₽
Все типовые задачи по этой услуге уже входят в абонентское обслуживание. Дополнительных счетов — нет.
Узнать про абонентское обслуживание →
Разовый проект
от 40 000 ₽
Аудит и внедрение безопасности
Аудит инфраструктуры, отчёт по уязвимостям, план устранения, базовая защита. Срок аудита — 3–5 дней, внедрения — 5–10 дней.
Заказать аудит →
Вопросы
Что спрашивают про безопасность
Если своего вопроса не нашли — напишите, ответим без маркетинга и страшилок.
Какой антивирус выбрать?
Для российских компаний — корпоративные версии Kaspersky или Dr.Web. С центральной консолью управления. Они быстрее реагируют на угрозы, актуальные именно для российского сегмента. Windows Defender — лучше, чем ничего, но как защита для бизнеса не подходит: его обходят первым, у него нет нормальной центральной консоли. Бесплатные потребительские антивирусы (Avast, 360 и подобные) — не используем.
Что делать, если шифровальщик уже сработал? Платить выкуп?
Выкуп — это лотерея. Никто не гарантирует, что данные восстановятся, даже если хакеры пришлют дешифратор. И часто это просто ставит вас в список «постоянных клиентов» атакующего: придут снова.
Рекомендуемый порядок действий при обнаружении шифровальщика:
Рекомендуемый порядок действий при обнаружении шифровальщика:
- Изолировать заражённые машины от сети физически — отключить кабель и Wi-Fi. Не выключать! Выключение уничтожает следы для криминалистического разбора.
- Проверить, какие бэкапы уцелели. Шансы есть, если они не подключены к домену и не доступны с заражённой машины.
- Восстановить из последней чистой копии.
- Сменить все пароли, ключи и токены — атакующий мог их украсть до шифрования.
- Параллельно искать точку входа: открытый RDP, фишинговое письмо, уязвимый сервис. Иначе через неделю зашифруют снова.
Какой менеджер паролей рекомендуете?
Для большинства клиентов — Vaultwarden, развёрнутый на собственной инфраструктуре. Это свободная реализация Bitwarden: бесплатно, ваши пароли у вас, есть мобильные приложения и расширения для браузеров. Если важен максимально удобный интерфейс и есть бюджет — 1Password. Для компаний, которым важно российское решение — Пассворк. Все три закрывают одну задачу: один мастер-пароль вместо стикеров под клавиатурой.
AnyDesk и TeamViewer — вообще нельзя?
Можно, но только для разовых задач. Подрядчик подключается, делает работу, отключается — для этого они нормально подходят. Как постоянный инструмент удалёнки для сотрудников — нет: трафик через чужие серверы, контроль доступов слабый, при увольнении сотрудник продолжает иметь доступ. Постоянная удалённая работа — это VPN. Это не модная рекомендация, это здравый смысл и контролируемость.
А что насчёт обучения сотрудников по безопасности? Семинары, ролики?
Помогает, но не спасает. Каждый день в новостях рассказывают про мошенников по телефону — и каждый день кто-то отдаёт деньги. В момент атаки человек не вспоминает семинар, он реагирует. Поэтому строить защиту на «обучим — перестанут ошибаться» нельзя. Нужно строить систему, которая выдерживает ошибку: минимум прав, регламенты на критичные операции (перевод денег — только по согласованию, не по сообщению), запрет установки ПО, сегментация. Обучение помогает на 20%, а 80% — это техническая защита.
Начнём с аудита
Покажем, какие двери у вас открыты — и что бот видит снаружи прямо сейчас
Просканируем внешний периметр, проверим доступы и пароли, оценим состояние антивируса и бэкапов. По итогам — карта рисков с приоритизацией. Что критично закрыть в эту неделю, что — в следующем месяце. С реальными цифрами и сроками.
- Аудит безопасности — бесплатно
- NDA подписываем до получения паролей
- Карта рисков остаётся у вас даже без договора