Выкуп 5 млн ₽ — как киберпреступники кошмарят малый бизнес, и что с этим делать
Раньше киберпреступников интересовали крупные компании. Но с 2024 года малый и средний бизнес в регионах стали атаковать в 3–6 раз чаще. Рассказываем, как защитить небольшую компанию от взлома.
Почему киберпреступники атакуют малый и средний бизнес
Эксперты посчитали, что в 2024 году злоумышленники атаковали российский бизнес в четыре раза чаще, чем в 2023-м. Зафиксировали 65 млн атак в месяц вместо 15 млн годом ранее. Под ударом не только сайты, но также корпоративные порталы и приложения.
Другая тенденция последних лет: злоумышленники стали чаще атаковать малый и средний бизнес. Раньше их интересовали в основном крупные столичные компании. Но теперь киберпреступники принялись за региональный бизнес. По данным компании «Солар», в первом полугодии 2024 года количество атак в Поволжье выросло в шесть раз, на Урале и в Сибири — в три раза.
Причина простая: у небольших компаний обычно нет системного подхода к кибербезопасности. Как правило, в штате нет специалиста по информационной безопасности (ИБ), а защита ограничивается антивирусом. Поэтому бизнес можно взломать даже с помощью недорогих инструментов, вроде сканеров уязвимостей.
Как взламывают небольшие компании и какой ущерб наносят
Автоматизированные сканеры уязвимостей — популярный инструмент для атаки на малый и средний бизнес. С их помощью можно массово искать «дыры» в ИТ-инфраструктуре компаний: на сайтах, в приложениях и корпоративных сетях. Но есть и другие способы.
Фишинговые письма с вредоносным ПО. Часто это — программы-вымогатели, они шифруют данные на компьютерах и парализуют работу. За разблокировку требуют денег. Письма с заражёнными файлами маскируют под заявки на закупку товаров, запросы цен, акты сверки, заявления на возврат или претензии.
В 2024 году в России зафиксировали более 500 атак с использованием шифровальщиков. По данным Лаборатории Касперского, так атакуют самый разный бизнес: бухгалтерские и клининговые компании, поставщиков стройматериалов и небольшие производства.
Скомпрометированные учётные записи. В 2024 году таких атак стало больше: 37% против 19% годом ранее. Например, в феврале 2025-го прославился новый вирус-шифровальщик PE32. От него пострадали многие малые и средние компании: заражались через скомпрометированные аккаунты в программе удалённого доступа. Злоумышленники требовали выкуп от 50 000 до 15 млн рублей в биткоинах.
Заражение через подрядчиков. Такой способ впервые попал в топ методов злоумышленников в 2024 году. Например, преступники встраивают вредоносный код в обновление ПО. Кстати, если небольшая компания сама выступает подрядчиком крупного бизнеса, её могут использовать для проникновения в систему клиента — например, через заражённые файлы в переписке.
Социальная инженерия. В последнее время особенно популярной стала схема FakeBoss. Злоумышленники отправляют сотрудникам компании письма и сообщения от имени руководителя с требованием открыть заражённый файл или перевести деньги. Иногда для этого используют голосовые сообщения с имитацией голоса. В 2024 году каждая пятая такая атака была успешной для мошенников.
DDoS-атаки. ИТ-ресурсы компании специально перегружают, так что те не справляются — это ведёт к простоям в работе.
DDoS (Distributed Denial-of-Service attack) — это когда злоумышленник одновременно отправляет миллионы запросов на сервер или в базу данных. Система попытается обработать такой поток, но из-за объёма не справляется и откажет в обслуживании вообще всем запросам — в том числе и легитимным.
Например, сайт онлайн-магазина посуды перестанет работать — сервер будет думать, что его пытаются одновременно открыть миллиарды пользователей.
Эксперты ИБ отмечают, что вместо использования заражённых IoT-устройств, киберпреступники стали чаще арендовать серверы и виртуальные машины в российских дата-центрах. Это позволяет проводить более мощные атаки.
📝 Подробнее разобрали разные типы атак в этой статье.
Ущерб от кибератак. Чаще всего злоумышленники вымогают деньги. По данным компании F6, в 2024 году за расшифровку данных с малого бизнеса требовали от 100 тысяч до 5 млн рублей, со средних и крупных — от 5 млн рублей.
💰 До 5 млн рублей требовали киберпреступники с малого бизнеса за расшифровку данных в 2024 году.
Также злоумышленники могут вызвать сбой в работе приложений и сайтов по заказу конкурентов или политическим мотивам — для этого обычно применяют DDoS-атаки.
Наконец, преступники охотятся за персональными данными: их можно выгодно продать. Обычно злоумышленники сначала похищают чувствительную информацию, а затем шифруют ИТ-инфраструктуру компании. А ещё потеря персональных данных клиентов грозит штрафом.
Три способа защитить малый и средний бизнес от взлома
(1) Определите недопустимые события
Недопустимое событие (НС) — это последствие кибератаки, которое приведёт к существенным потерям или закрытию бизнеса. Это критические угрозы, от которых нужно защититься в первую очередь.
📝 Подробнее про недопустимые события рассказали в отдельной статье.
Как определить НС:
1. Сформулируйте гипотезы о том, какие события могут повлечь критический ущерб для компании. НС могут быть типовыми: например, кража персональных данных клиентов или денег со счёта. Или специфическими: для промышленной компании это остановка производства, а для онлайн-магазина — сбой в цепочке поставок.
2. Определите порог ущерба для НС — это верхняя граница потенциального вреда, выше которой урон для бизнеса станет критичным. Порог можно измерять в деньгах, времени простоя или количестве пользователей.
Например, кража 100 000 рублей со счёта не станет критическим ущербом, а вот потеря 2 млн приведёт к закрытию бизнеса — значит, это НС.
3. Определите целевые системы, сценарии и критерии реализации НС. То есть, что могут атаковать киберпреступники, как они могут это сделать и при каких условиях возможна такая атака.
После этого шага можно организовать базовую защиту от недопустимого события. Например, если ваше НС — потеря данных клиентов, регулярно делайте резервную копию базы данных на внешний жёсткий диск.
(2) Пройдите Кибериспытание
Кибериспытание — это проверка защищённости компании по объективной методике, силами белых хакеров. Так, компания может узнать свои слабые места и понять, как защититься.
📝 Кто такие «белые хакеры» и чем отличаются от киберпреступников, рассказали в отдельном материале.
Этапы Кибериспытания:
1. Определить НС для заказчика.
2. Искать критические уязвимости в ИТ-инфраструктуре заказчика. Этим занимаются белые хакеры.
3. Оценить итоги. Это делает экспертный совет, он состоит из ведущих специалистов Лаборатории Касперского, Positive Technologies, BI.ZONE, 3 Side, Яндекса, Т-Банка и других технологических компаний.
Лучше проходить кибериспытание постоянно: в течение нескольких месяцев белые хакеры проверяют системы компании, та получает заключение экспертного совета, укрепляет свою защиту. Так, бизнес непрерывно тестирует и повышает свою готовность к новым потенциальным угрозам.
(3) Застрахуйтесь от киберрисков
Кибестрахование — это услуга, которая позволяет бизнесу компенсировать убытки от кибератак. Если застрахованную компанию взломают, например, зашифруют данные, расходы по восстановлению возместит страховая компания, а не сам бизнес.
Российский рынок киберстрахования в 2025 году — это менее 0,1% от общего страхового рынка. Это почти нулевое значение и вот почему:
— бизнес не верит, что страховщики выплатят компенсацию,
— страховщики не понимают, что именно страховать.
Чтобы оценить киберриски, страховым компаниям нужно провести аудит ИТ-систем бизнеса, но компании не хотят давать доступ. В результате страховщики предлагают полисы по высокой цене, потому что не знают, насколько бизнес защищён.
Тем не менее киберстрахование может быть эффективным инструментом управления остаточным риском, если бизнес:
— знает свои недопустимые события,
— прошёл кибериспытание и получил независимую оценку защищённости,
— готов разделить ответственность: например, допустить регулярные внешние ИБ-проверки.
По словам исполнительного директора АО «СОГАЗ», страховая компания выплатила 150 млн рублей по реализации киберриска в 2025 году. Это одна из крупнейших выплат на российском рынке. Важно отметить, что выплата стала возможной, потому что клиент допустил аудит, и страхования компания смогла чётко зафиксировать риски.
Чтобы пощупать этот инструмент, можно начать с малого: страхового покрытия на 200 000–500 000 рублей. Это позволит рынку киберстрахования развиваться, и бизнесу получить хоть какую-то финансовую подушку в случае успешной атаки злоумышленников.
Главное: как небольшой компании защититься от киберпреступников
👉 Сформулируйте недопустимые события — это такие последствия кибератак, которые приведут к закрытию бизнеса. От них и нужно защищаться. Сначала определите НС на «уровне бизнеса»: например, компания не переживёт кражу 2 млн рублей и остановку логистики на неделю. Затем с помощью экспертов ИБ разберитесь, как злоумышленники могут реализовать эти НС в вашей ИТ-инфраструктуре.
Когда НС определены, кибербезопасность обретает рамки — вы знаете, от каких угроз защититься и можете построить базовую защиту. Например, инструктировать сотрудников, внедрить систему обнаружения вторжений и резервное копирование файлов.
👉 Пройдите Кибериспытание — это поиск уязвимостей в ИТ-инфраструктуре, которые могут привести к наступлению НС. Это «проверка боем», которую проводят привлечённые белые хакеры. Она поможет найти пробелы в кибербезопасности компании и покажет, как их устранить. Затраты на кибериспытание меньше, чем потенциальный ущерб от наступления НС.
👉 Застрахуйтесь от киберрисков — страховка не заменит киберзащиту, но поможет пережить взлом. Важно помнить, что полис — это не гарантия, что кибератака не случится, а способ компенсировать остаточные риски, если остальные ИБ-меры не сработали.