Киберугрозы малого и среднего бизнеса в 2026

Сильного админа и хорошего антивируса уже недостаточно для гарантии безопасности. Экономия на защите может обернуться убытками, превышающими годовую прибыль. В статье разбираем, почему малый и средний бизнес оказался в эпицентре кибератак и как выстроить защиту не раздувая бюджет до масштабов корпорации.

Всем привет. Это Авдей Мартынович, руководитель подразделения по работе со средним и малым бизнесом ALP ITSM. Эта статья — для собственников и ИТ-директоров, которые отвечают за устойчивость бизнеса. В статье поделюсь своим видением развития угроз малого и среднего бизнеса и как таким компаниям лучше противостоять мошенникам, а также перечислю базовые действия для проверки безопасности.

Почему нас волнует эта тема? Потому что только за 8 месяцев 2025 года экономика потеряла 1,5 трлн рублей. Взлом компаний перестает быть теоретическим риском, теперь это реальность. По данным Positive Technologies на Россию приходится 14–16% всех успешных кибератак в мире, а к 2026 году их число может вырасти еще на 30–35% по сравнению с 2025 годом. Мы на практике постоянно сталкиваемся с ситуациями, когда возникают инциденты безопасности, которые можно было бы предотвратить, если закрыть хотя бы гигиенический минимум информационной безопасности. О том, почему стоит сейчас внимательней отнестись к тому, какой возможный план мероприятий и что сделать именно сейчас рассказал в статье.

Масштаб киберугроз нельзя игнорировать

За последние три года киберугрозы для российских компаний выросли кратно.

В 2025 году количество атак на российские компании уже выросло на 20–45% к 2024-му, а в 2026-м ожидается новый скачок еще на 30–35%.

• Совокупный ущерб экономике России от кибератак только за первые 8 месяцев 2025 года составил около 1,5 трлн рублей — при трехкратном росте числа атак по сравнению с 2024 годом (по исследованиям Сбера).

И речь не только о крупном бизнесе, но 82% малых и средних предприятий столкнулись с киберинцидентами в 2025 году. Масштаб потерь вырос кратно:

• Средняя сумма выкупа при атаке программ-вымогателей: 4–40 млн рублей для крупного и среднего бизнеса, максимум достиг 500 млн рублей в 2025 году.​

• Высококритичные инциденты (длительная остановка процессов или утечка данных) могут обойтись от 1 млн рублей и выше.​

Угрозы атак перестали быть абстрактной. 

Причины роста киберугроз

Рост атак — не случайность. В основе три системных фактора — ускоренная цифровизация, импортозамещение в режиме аврала и появление ИИ в арсенале злоумышленников.

Цифровизация в спешке

С 2025 года в России стартовал национальный проект по «Экономике данных и цифровой трансформации государства». Компании массово переводят процессы в цифру, внедряют новые платформы, интеграции, автоматизацию. Но скорость внедрения технологий превышает скорость организации защиты. 

Ускоренное импортозамещение 

Государство требует импортозамещения от владельцев критической инфраструктуры (КИИ). На CNews FORUM в ноябре 2025 года глава Минцифры озвучил последний крайний срок импортозамещения КИИ — до 1 января 2028 года. За срыв сроков будут штрафы. Списки критичных объектов теперь утверждает правительство. Чтобы защитить свой периметр, крупные заказчики (субъекты КИИ) могут потребовать от поставщиков такой же «чистоты» ПО и сертификации.​ При том что уже атаки через подрядчиков выросли вдвое. 

Искусственный интеллект в руках атакующих

ИИ служит не только помощником, но и стал оружием злоумышленников. Через ИИ организуют персонализированный фишинг, создают поддельные аудио и видео, организуют многоступенчатые компании. 

Атаки становятся умнее, но защита многих компаниях осталась в 2020 году.

Почему старые методы не работают

Многие компании до сих пор живут в логике:

«У нас есть админ, стоит какой-то антивирус, значит, мы защищены».

Цифры показывают обратное.

По результатам проектов PT SWARM при внешних тестах на проникновение получить доступ к внутренней сети удалось в 89% компаний, а при внутренних — в 100% случаях специалисты смогли получить максимальные привилегии в домене.

Типовые причины:

1. слабые и словарные пароли;

2. отсутствие многофакторной аутентификации;

3. устаревшее ПО с известными уязвимостями;

4. ошибки в разграничении прав доступа;

5. отсутствие обучения сотрудников против фишинга.

То есть проблема в базовой ИТ-гигиене и управлении рисками.

«Админ на полставки» против профессионалов

Перекос особенно заметен в малом и среднем бизнесе. У компаний с выручкой до 15 млн рублей бюджет на информационную безопасность часто не превышает 5 тыс. рублей в месяц, у среднего бизнеса — около 25 тыс.​ При этом даже начинающий специалист по ИБ стоит от 60 тыс. рублей в месяц, а средняя зарплата в отрасли приближается к 99 тыс. рублей и растет быстрее, чем по ИТ в целом.​

Фактически малый бизнес пытается противостоять глобальному криминальному рынку с бюджетом уровня «один админ и один антивирус». В таких условиях вопрос не в том, взломают или нет, а в том, когда это случится и насколько вы к этому готовы.

Антивирус «для галочки» и мертвые лицензии

Отдельная проблема — иностранное ПО безопасности, которое многие продолжают использовать. Из-за санкций некоторые из решений перестают обновляться, продлить поддержку не получается. Т.е. формально антивирус установлен, но фактически уязвимости копятся, а риск успешности атак растет.

Наиболее атакуемые отрасли

По данным отчета CODE RED 2026 и независимой аналитики, больше всего достается следующим отраслям:

• промышленность — 17% всех атак (рост на 6 п.п. к 2023-му);

• госучреждения — 11%;

• ИТ-компании — 9%;

• телеком-операторы — 7%;

• финансовый сектор стабильно остается среди приоритетных целей.

Но если вы не относитесь к этим отраслям, то, скорее всего, вы, либо поставляете им услуги, либо зависите от их устойчивости.

При этом малый и средний бизнес становится «слабым звеном в цепочке»: через такие компании легко «войти» в крупный бизнес. Поэтому защита таких компаний должна быть тоже серьезной, т.к. сейчас вы один из самых удобных способов входа злоумышленников.

Шесть принципов информационной безопасности

Прежде чем мы перейдем к стратегии, хочу поделиться основами ИБ, которыми мы руководствуемся.

Строгий контроль доступа

Наш принцип Zero Trust: «никогда не доверяй, всегда проверяй». В компании не должно быть сотрудников, которым доверяют «по умолчанию». Это означает, что каждый запрос на доступ должен проверяться. Для этого необходимо внедрение мультифакторной аутентификации и систем управления привилегированным доступом (PAM), чтобы права выдавались гранулярно и только на то, что необходимо для работы.

Мониторинг и обнаружение угроз

Обязательно отслеживать подозрительную активность. Иногда для этого создают специальные «ловушки» (honeypots), например, сервис с названием «Управление паролями», который на самом деле никуда не ведет. Любая попытка доступа к нему — сигнал к действиям и вопросам заинтересовавшемуся. 

Регулярная гигиена безопасности

Это база. Внедрите жесткую парольную политику – сложность паролей, регулярные смены паролей. Все системы и сервисы безопасности должны регулярно обновляться. Проводите регулярные проверки с помощью пентестов, которые эмулируют действия злоумышленников.

Резервное копирование и аварийное восстановление

Внедрите в работу правило «3-2-1» (три копии данных, на двух разных носителях, одна из которых находится за пределами офиса).
В одной компании основные резервные копии «1С» хранились на том же сервере, что и рабочие данные, и были зашифрованы вместе с ними. Спасением стала выгрузка из «1С», которую когда-то настроил специалист и забыл отключить после внедрения процесса резервирования. В этой ситуации компании просто повезло. А бывают ситуации более плачевные, если не соблюдать это правило.

Управление человеческим фактором

Самое слабое звено в любой системе защиты – человек. Причем угроза может исходить как от сотрудника, который даже не подозревает, что совершает ошибку, так и от того, кто действует со злым умыслом.

Расскажу две истории про человеческий фактор.

Случайная ошибка «аналогового» пользователя. Сотрудники одной компании получили очень правдоподобное фишинговое письмо якобы от известного подрядчика с просьбой подписать спецификацию. В письме были указаны корректные ИНН и другие реквизиты компании. Нашелся человек, который, не задумываясь, кликнул по ссылке, ввел свои данные, и его учетная запись была скомпрометирована. А поскольку у него был доступ к файловому серверу, последствия не заставили себя ждать. Эта история – классический пример того, как одна ошибка сводит на нет многие технические усилия по защите.

Осознанные действия обиженного сотрудника. Часто перед увольнением сотрудник начинает копировать папки с регламентами, клиентские базы или другие ценные данные. Такие аномальные действия, например, внезапная попытка выгрузить месячный отчет, чего сотрудник никогда раньше не делал, должны стать поводом для немедленной реакции.

Эти примеры показывают, что важно не только обучать персонал, но и внедрять системы мониторинга аномальной активности, а также разделять обязанности так, чтобы ни у кого не было неограниченных прав «на все».

Стратегические инвестиции в кибербезопасность

Безопасность – это не то, на чем можно экономить. Хорошим ориентиром считается выделение на информационную безопасность около 10% от всего IT-бюджета. Это не расходы, а инвестиции в стабильность и непрерывность бизнеса.

Как создается ИТ-стратегия малого и среднего бизнеса

Малому и среднему бизнесу сложно конкурировать с гигантами, и средств на масштабные проекты кибербезопасности тоже нет, но все же можно сделать ряд действий, которые помогут снизить риски угроз.

Аудит инфраструктуры

Цель — получить честную картину того, где компания реально уязвима.

Что должно войти минимум:

Аудит учетных записей

Одна из самых частых точек входа злоумышленников — слабый контроль учетных записей. Исследования показывают, что до 30% атак начинаются с уязвимостей в неактивных «учетках» и слабых паролях (Cybersecurity Ventures, 2022). 

Периодические пентесты

Важно периодически проверять контур компании на прочность.

Инвентаризация средств защиты
Какие решения используются, где истекают лицензии, какие компоненты иностранные и подлежат замене до конца 2026 года.

Анализ готовности к импортозамещению
Карта: какое иностранное ПО есть в ИБ-контуре и инфраструктуре, какие есть российские аналоги, какова сложность миграции и риски.

Результат аудита должен быть в формате карты рисков с приоритизацией, что критично закрыть за 3 месяца, 6 месяцев, год.

Для МСП часто эффективнее провести такой аудит с привлечением внешней экспертизы, чтобы получить не просто отчет, а план действий.

Импортозамещение

Импортозамещение нужно превратить из «аврала к дедлайну» в управляемый проект. Должен появиться план как системы будут выводиться из эксплуатации и внедряться новые. Конечно же с пилотами, тестированием безопасности и вводом в эксплуатацию.

Важно отметить, что миграция не повышает безопасность, новые системы без настройки и встроенных контролей будут такими же дырявыми, как и старые.

Виртуальный ИТ-директор

Многие компании МСП объективно не могут позволить себе штатного CIO/CISO с опытом построения комплексной защиты, SOC, импортозамещения.

Выходом из ситуации может стать формат vCIO (virtual CIO), когда подключается внешний эксперт, который берет на себя разработку ИТ- и ИБ-стратегии, приоритизацию инициатив по уровню риска и последующую координацию проектов.

Это возможность «арендовать ИТ-директора» за долю от стоимости найма сильного инхаус-специалиста — для МСП это зачастую единственный реалистичный путь.

Базовый минимум, с которого начать уже сейчас

Независимо от масштаба компании, есть набор мер, который нельзя откладывать:

Контроль доступов и «мертвых душ»

Навести порядок в правах доступа. Часто это самая большая дыра в безопасности.

• Ревизия «забытых» учеток. Проверьте и отключите учетные записи уволенных сотрудников и тех, кто не заходил в систему более двух месяцев. 

• Аудит прав администратора. Регулярно пересматривайте, у кого есть права администратора. Часто их выдают временно для решения задачи, а потом забывают забрать.

• Ограничение удаленного доступа. Убедитесь, что доступ к серверам (например, по RDP) есть только у тех, кому это действительно необходимо для работы.

• Актуализация групп доступа. Периодически проверяйте, кто и на каком основании имеет доступ к важным ресурсам.

Парольная гигиена

Это фундамент, которым часто пренебрегают.

• Жесткая политика паролей. Внедрите обязательные требования: длина не менее 8 символов, наличие заглавных букв, цифр и символов. Система должна блокировать пользователя после нескольких неудачных попыток входа.

• Исключения только для сервисов. Убедитесь, что пароли, которые не нужно менять, есть только у технических учетных записей (например, для работы программ), но не у реальных людей.

• Смена паролей «локального админа». Не забывайте регулярно менять стандартные пароли локальных администраторов на всех серверах и рабочих компьютерах.

Базовые настройки инфраструктуры

Несколько ключевых технических мер, которые укрепляют защиту:

• Централизованное управление. Все компьютеры в офисе должны быть объединены в один домен для централизованного контроля.

• Аудит системных политик. Проведите ревизию групповых политик, чтобы отключить устаревшие и потенциально опасные правила.

• Включение логирования. Настройте систему так, чтобы она фиксировала все критически важные события безопасности (например, попытки входа с неверным паролем или доступ к системным файлам).

• Автоматическое завершение сессий. Настройте автоматический выход из системы для неактивных пользователей, например, через час бездействия. Эта простая мера может остановить атаку шифровальщика, не дав ему закончить работу.

Все, что здесь перечислено — это малая доля того, что требуется сделать, чтобы обеспечить защиту периметра, но если закрыть хотя бы эти вопросы, то вы уже станете на голову выше других компаний малого и среднего бизнеса.

Количество атак растет, их качество улучшается, цена ошибки увеличивается.

Старый подход «постоянно догонять угрозы точечными покупками лицензий и железа» больше не работает. Нужна осознанная ИТ-стратегия. Начать можно с честного аудита и разговора о том, какие потери компания готова терпеть, а какие — нет.

Когда в прогнозе рост киберугроз на +35% к прошлому году, лучшая стратегия — не надеяться «пронесет», а строить прочный дом.