Информационная безопасность в небольших компаниях: что делать и с чего начать

С какими рисками и угрозами ИБ сталкивается малый и средний бизнес, стартапы и молодые команды и как некрупным компаниям защитить свои данные и системы от кибератак?

Автор: Екатерина Киселева, руководитель группы продаж ИТ-решений и аутсорсинга ИБ ГК XCOM.

С 1 сентября 2025 г. начнут действовать поправки в ч. 1 ст. 9 закона от 27.07.2006 № 152-ФЗ, а значит, вступят в силу новые требования к операторам ПДн, а бизнесу будут грозить гораздо более высокие штрафы за их утечки. Согласно Федеральным законам от 30.11.2024 № 420-ФЗ и 421-ФЗ, штраф для компаний и индивидуальных предпринимателей за утечку ПДн от 1 тыс. до 10 тыс. физлиц составит 3–5 млн руб., а при более масштабных утечках он кратно возрастет.

По сути, теперь под действие 152-ФЗ попадает любой бизнес, поскольку в каждой компании так или иначе работают с персональными данными. Тем временем, для субъектов МСБ ущерб, вызванный инцидентами ИБ, может оказаться не просто ощутимым, а фатальным: у малого бизнеса и стартапов, как правило, нет «финансовой подушки», которую они могли бы использовать в случае кражи, простоя бизнеса или прочих финансовых потерь.

Такая суровость закона является мировым трендом: во многих европейских странах размеры штрафов за компрометированные персональные данные составляют существенные суммы, выплатить которые малому бизнесу может быть и не под силу. Например, недавно собственник одного отеля в Бухаресте был оштрафован на 15 тыс. евро за нарушение безопасности ПДн после того, как в Интернет попала фотография бумажного листа с данными 46 клиентов, заказавших завтраки в свои номера. Суд посчитал владельца отеля виновным в том, что он не принял достаточных мер для обеспечения безопасной обработки ПДн.

Впрочем, и российская судебная практика в последнее время становится все менее терпима к некорректному обращению с персональными данными. Известен случай, когда менеджер небольшой ИТ-компании регулярно передавал сведения о заказчиках (в том числе ПДн) бывшим коллегам, основавшим компанию в той же сфере деятельности. Когда пострадавшая компания обратилась в суд, он отказал ей в компенсации вреда из-за недостаточности принятых ею мер ИБ.

Как защитить информацию в новых условиях? В этой статье мы рассмотрим, какие меры и технические средства ИБ будут актуальны для стартапов и в целом компаний-представителей сегмента МСБ.

Чем особенны стартапы и компании МСБ с точки зрения ИБ?

Небольшие компании и стартапы, как правило, функционируют по несколько другим принципам, нежели команды и отделы внутри корпораций. Часть из них — коллективы, где работает семейный подряд или группа давних знакомых, поэтому отношения внутри компании становятся более личными, а значит, большинство вопросов решается «на доверии». Часть из них — стартапы и молодые коллективы, где большинство сотрудников и вовсе работает удаленно. Для многих актуален вопрос финансовых затрат на информационную безопасность, так как объемы прибыли сравнительно невелики. Наконец, у подавляющего большинства малых компаний зачастую нет строгого регламента работы с документами и другими рабочими данными, а средства ИБ они не считают необходимыми. Все это создает слабые звенья в информационной безопасности: рабочие конфликты между сотрудниками или обычная халатность порой приводят к существенным потерям.

Вот достаточно типичная ситуация: менеджер по продажам, работавшая на ИП, увольняясь, прихватила с собой списки контрагентов и сведения о бизнес-модели своего работодателя, затем зарегистрировалась как индивидуальный предприниматель и продолжила сотрудничество с этими контрагентами в новом качестве. Бывший работодатель обратился в суд с иском о возмещении убытков, однако суд ему отказал по причине того, что компания не приняла достаточных мер для защиты своих систем и данных. Исход иска мог бы быть совсем иным, если бы в компании был организован контроль работы сотрудников с применением средств ИБ.

Статистика подтверждает жизненный опыт: по данным опроса компании ESET (их приводит Forbes), респонденты считают расходы на ИБ желательными, но необязательными, каждый пятый (21%) готов покупать ПО для ИБ только в случае необходимости, а 13% и вовсе не считают нужным за него платить. И только 27% респондентов убеждены, что в ИБ нужно вкладываться, а это меньше трети респондентов!

Тем временем, малый и средний бизнес лидирует по количеству инцидентов ИБ. По данным исследования InfoWatch, 70% зафиксированных в мире в 2024 году утечек информации пришлись на малые (до 50 сотрудников) и средние (до 500 сотрудников) организации.

Таким образом, можно утверждать, что вопрос информационной безопасности для малого бизнеса актуален.

Вот несколько типичных вещей, характерных для сегмента СМБ и особенно малых компаний. Если в вашей компании найдется хотя бы два-три пункта из этого списка, то стоит серьезно задуматься о безопасности данных:

• Средства защиты данных и систем отсутствуют либо задействованы по минимуму.

• Права доступа к файлам, системам и облачным сервисам не разграничиваются, все сотрудники имеют высший, «админский» уровень доступа.

• Одним аккаунтом пользуются сразу несколько человек, а иногда и вся команда.

• Сотрудники и сисадмины используют простейшие пароли.

• Активность в системах (включая доступ к данным и документам) не отслеживается.

• Резервное копирование (backup) данных и систем не проводится.

• Пакеты безопасности к легальным программным продуктам не устанавливаются.

• Нередко применяются «пиратские» копии программных решений, которые могут содержать «закладки» хакеров.

• Защита сетевых устройств от кибератак отсутствует.

Ключевые компоненты кибербезопасности

Согласно Федеральному закону от 27.07.2006 № 152-ФЗ, к персональным данным относится любая информация, которая так или иначе относится к конкретному человеку: фамилия, имя, отчество, пол, семейное положение, национальность, личные телефоны, адреса места жительства и электронной почты, паспортные и биометрические данные, а также некоторые технические детали (IP-адрес, cookies), поведенческие данные (время просмотра веб-страницы, просматриваемый контент) и пр. ПДн, как правило, имеются в базах контактов и рассылок, CRM-системах, программах лояльности, в договорах с физлицами и ИП, в их реестрах. Персданные также содержатся в списках персонала, трудовых договорах, кадровых документах, договорах с работающими по ГПХ, а также в любых других документах от контрагентов с данными физлиц. Есть и специальные категории ПДн: больничные листы, сведения о пациентах и пр. Всю эту информацию необходимо должным образом защитить.

Самый базовый набор для защиты — это антивирус, инструментарий двухфакторной аутентификации (2FA), менеджер паролей, средство резервного копирования и инструментарий для автоматического обновления ПО. Чуть более расширенный набор средств ИБ включает также межсетевой экран (firewall), продукт VPN для обеспечения удаленного доступа, инструментарий для защиты электронной почты. Эти средства — из разряда тех, которые нужны «по умолчанию», они позволят относительно спокойно вести деятельность, но с учетом нового законодательства их недостаточно для гарантирования сохранности персональных данных.

Обеспечить должную защиту информации можно с помощью внедрения специализированных ИТ-решений, которые обеспечат полный периметр защиты как от внешних, так и от внутренних угроз.

Например, обезопасить неструктурированные пользовательские данные в хранилищах файлов и документов помогают средства датацентричного аудита и защиты (DCAP). Бороться с утечками позволяют системы предотвращения утечек (DLP), а также средства мониторинга событий безопасности (SIEM): DLP предотвращает отправку вовне конфиденциальных данных, а SIEM отслеживает активность в сетях и системах компании и сигнализирует об инцидентах и потенциально опасных действиях.

Дополнительный контур защиты потребуется, если компания обрабатывает большой объем данных, в том числе финансовые данные, информацию, характеризуемую как интеллектуальная собственность или коммерческая тайна. Также это актуально для компаний, бизнес которых непосредственно связан с данными и ИТ-системами — fintech, medtech и пр.

Также, усиленное внимание ИБ следует уделять тем, кому необходимо соблюдать стандарт безопасности данных платежных карт PCI DSS, стандарт управления информационной безопасностью ISO 27001 (ГОСТ Р ИСО/МЭК 27001-2021) или иные государственные или отраслевые стандарты, затрагивающие ИБ.

Для надежной защиты необходимо выстроить управление учетными записями пользователей и их доступом к данным и системам. Доступ следует разграничить, исходя из принципа минимальной необходимости: разрешать только то, что требуется сотрудникам в рамках их обязанностей, а также ограничить доступ к конфиденциальным данным и установить политику безопасного удаления данных. Важную информацию на устройствах и в облаке нужно шифровать.

Двухфакторную аутентификацию следует по возможности расширить на все критически важные сервисы: почту, CRM, облака, платежные системы и пр. Общие учетные записи нужно запретить — у каждого должен быть свой логин и пароль. Необходимо регулярно выявлять и отключать неактивные аккаунты, прежде всего, тех, кто покинул компанию. Кроме того, нужно использовать менеджер паролей.

Для защиты от атак через электронную почту нужно создать бизнес-аккаунты в проверенной почтовой системе ― локальной или облачной, включить спам-фильтры и проверку ссылок в письмах, а также защитить почту с помощью направленных на это ИБ-продуктов.

Необходимо позаботиться и о сетевой безопасности: обеспечить использование только защищенных сетевых соединений (HTTPS, SSH, VPN), настроить гостевой доступ к Wi-Fi, отделив его от рабочей сети, закрыть неиспользуемые порты и сервисы на серверах и маршрутизаторах (роутерах). Желательно на всех устройствах включить межсетевые экраны и установить и настроить программно-аппаратный экран между локальной сетью и внешними сетями. Удаленный доступ пользователей к ИТ-ресурсам компании должен осуществляться через VPN. Для защиты от DDoS-атак (их цель ― парализовать интернет-сервисы компаний) следует подключить соответствующую фильтрацию трафика.

Для контроля и мониторинга событий нужно включить в важных сервисах и системах запись активности в системные журналы (логи) и настроить механизмы уведомлений о подозрительных действиях.

Рекомендуется хотя бы раз в квартал оценивать уровень безопасности компании и проверять, какие данные вашей компании попали в открытый доступ.

И вот пример того, как, в частности, SIEM помогает предотвратить серьезные инциденты. В одной небольшой оптовой компании к специалисту по ИБ поступил сигнал («алерт») от SIEM-системы о том, что под учетной записью одного из менеджеров-продавцов, ушедших в отпуск, наблюдается активность. Компания связалась со своим специалистом, и он объяснил, что, отправляясь на отдых, он передал свой логин и пароль коллеге — «на всякий случай». Казалось бы, ничего страшного. Но у этого отпускника был доступ к конфиденциальной коммерческой информации. Если бы произошла ее утечка или искажение, совокупный ущерб мог бы достигать около половины готового бюджета компании.

Готовый «коробочный» или облачный продукт или аутсорсинг ИБ?

На рынке сегодня представлены как готовые продукты, так и сервисы ИБ. Среди готовых решений сегодня популярны антивирусные системы, DLP, SIEM, межсетевые экраны, системы защиты почты и веб-трафика и некоторые другие продукты и сервисы. В число наиболее востребованных услуг аутсорсинга ИБ входят мониторинг безопасности (SOC), управляемое обнаружение угроз (MDR), проведение тестов на устойчивость к рискам ИБ, аудит безопасности, защита от DDoS-атак и услуги внешних специалистов по ИБ.

Ставку на готовые решения можно сделать компаниям с достаточно стабильным набором используемых бизнес-приложений и сервисов при условии, что в штате есть сотрудники, способные администрировать системы ИБ. Также готовые решения разумно выбрать тем, у кого есть конфиденциальные данные ― персональные, финансовые, медицинские, содержащие коммерческую тайну и пр. Такие данные найдутся в компаниях, обслуживающих розничных клиентов, а также в высокотехнологичных стартапах, командах НИОКР (R&D), у подрядчиков крупных предприятий с их коммерческими тайнами и интеллектуальной собственностью и пр.

Аутсорсинг ИБ — хорошая идея для предприятий, в штате которых нет специалистов по ИБ. Также аутсорсинг поможет тем, чей бюджет не позволяет приобрести набор готовых продуктов, но хотя бы базовые меры защиты требуются. Кроме того, аутсорсинг предпочтителен, если бизнес быстро растет, или работает в динамичной рыночной среде, или если требуется соблюдение стандартов, затрагивающих ИБ.

Еще одна важная возможность аутсорсинга ИБ — аудит информационных активов. Он поможет компании получить много важных сведений: есть ли у нее персональные данные, в каком объеме, кто имеет доступ к ПДн и кто фактически с ними работает, как они перемещаются внутри компании и уходят ли они вовне. Также аутсорсинг ИБ поможет выявить повреждение, искажение или удаление информации, предотвратить корпоративное мошенничество, нецелевое использование
рабочего времени и ИТ-ресурсов, обнаружить сотрудников с деструктивными склонностями, найти нарушения трудовой дисциплины и внутреннего распорядка, вскрыть факты непродуктивной работы и пр.

Возможен, конечно, и гибридный подход, сочетающий использование готовых решений и услуг внешних провайдеров.

Политика информационной безопасности стартапа или малого бизнеса

Стоит понимать, что, чтобы быть спокойным за киберустойчивость компании, недостаточно просто внедрить технические средства. Необходимо сформировать культуру безопасности среди сотрудников и правильно организовать процессы работы с данными. А для этого нужно сформировать политику ИБ, которую лучше прописать в отдельном документе.

В политике ИБ следует определить ответственного за ИБ, разграничить уровни доступа к данным и системам, прописать регламент проведения обучения сотрудников основам ИБ и назначить регулярный аудит ИБ. Как правило, за техническую часть в небольших компаниях отвечает системный администратор, а за организацию – кто-то из руководства.

В качестве указаний для системных администраторов стоит прописать такие меры, как автоматическое протоколирование событий в системных журналах, мониторинг подозрительных действий, отключение доступа к ненужным для работы приложениям и сервисам, а также регулярную проверку и обновление списков пользователей, имеющих доступ к внешним сервисам. Также, в список мер контроля и мониторинга желательно включить отслеживание активности пользователей, автоматическую рассылку уведомлений об инцидентах ИБ и регулярное тестирование систем на наличие уязвимостей. Кроме того, раз в несколько месяцев лучше проводить простейшие проверки — например, на фишинговые сообщения.

Также следует сформировать общие указания для сотрудников и включить несколько базовых простых рекомендаций, которым следует придерживаться в ежедневной работе.

Минимальный набор рекомендаций — использовать только проверенные приложения и облачные сервисы, и в частности, только те почтовые системы и мессенджеры, которые проверяются внедренными в компании средствами ИБ.

Это кажется очевидным, но не лишне напоминать работникам не скачивать вложения из писем от незнакомцев, не использовать один пароль для подключения к разным сервисам и пр. Такие мини-тренинги по актуальным киберрискам лучше проводить примерно раз в полгода либо в рамках онбординга новых сотрудников.

Ну и наконец, необходимо сформировать пул необходимых юридических документов. Кроме того, и в остальных юридических документах стоит прописать ключевые принципы работы с конфиденциальной информацией и персональными данными: разграничить уровни конфиденциальности информации, определить ответственность сотрудников за работу с такой информацией, с некоторыми сотрудниками стоит отдельно заключить NDA.