? Это стартовая часть (часть 0) серии “Управление уязвимостями для самых маленьких” - практического руководства по VM с нуля. Главы самостоятельны, но если хочется по порядку - оглавление и все части серии тут.

Вы никому не интересны. И это не защита

От владельцев бизнеса часто звучит один и тот же аргумент: мы маленькое ИП, нас никто не знает, воровать у нас нечего, но самый любимы мой тезис: “Вы сами придумали проблему и теперь хотите продать нам ее решение”. Ну а даже если взломают, что с того?

Звучит логично. Работает плохо. Разбираем все по частям:

“Мы маленькие и неизвестные”. Кибератаки делятся на целевые и массовые (их еще называют распределенными или случайными). Целевая атака - это когда злоумышленник выбрал именно вас: изучил инфраструктуру, сотрудников, подрядчиков и методично идет к цели. Маленькая компания действительно редко оказывается такой целью: о ней просто никто не знает, либо добыча не окупит усилий.

А вот с массовыми атаками все наоборот. Никто не сидит и не выбирает жертву. Бот (советую еще и про Shodan почитать, для расширения кругозора) круглосуточно сканирует интернет и проверяет каждый найденный адрес на известные уязвимости. Ему все равно, кто вы: банк, шиномонтаж или сервер с фотографиями котов. Есть дыра - будет взлом. Это как домушник, который не выслеживает богатые квартиры, а просто идет по подъезду и дергает все ручки подряд. Открылась дверь - зашел. Почитайте вот этот телеграмм канал, там много примеров, где ломают не сильно крупные цели.

Насколько это массово? По данным отчета Verizon DBIR 2025, эксплуатация уязвимостей стала вторым по частоте способом проникновения в компании (20% всех взломов) и впервые обогнала фишинг. А уже в отчете 2026 года она вышла на первое место: 31% всех взломов начинаются именно с эксплуатации уязвимости [1]. Не с хитрого письма, не с подкупленного сотрудника, не с социальной инженерии. С обычной незакрытой дыры в софте.

И еще одна неприятная категория: атаки “из принципа”. Часть хакеров ломает системы просто чтобы показать, что умеют, или по политическим мотивам. В последние годы российские компании это прочувствовали особенно остро: ваш сайт могут атаковать просто потому, что он размещен в определенной стране. Размер бизнеса тут вообще не имеет значения.

“У нас нечего воровать”

Тоже спорно. Даже у небольшой компании почти всегда есть:

• данные клиентов (имена, телефоны, адреса, история покупок)

• финансовая информация и документы

• коммерческая тайна: цены закупки, база поставщиков, наработки

Утечка любого из этих пунктов бьет дважды. Первый удар - репутация: клиенты и партнеры не любят, когда их данные гуляют по слитым базам. Второй удар пришел от государства, и он становится все больнее. С 30 мая 2025 года в России действуют новые штрафы за утечки персональных данных: утечка данных от 1 000 человек обойдется компании в 3-5 млн рублей, более крупные - до 15 млн. А за повторную утечку предусмотрен оборотный штраф: 1-3% годовой выручки, минимум 20 млн рублей [2]. Для малого бизнеса это уже не “неприятность”, это вопрос выживания.

Есть и третий сценарий, о котором забывают чаще всего: злоумышленнику может быть не нужно ничего воровать. Ему нужны сами ваши серверы и компьютеры. Захваченные устройства объединяют в ботнеты и используют как интсрумент для DDoS-атак на других. Либо ставят на них майнер криптовалюты: ваше железо начинает работать на чужой кошелек, сервисы тормозят, сотрудники жалуются, счета за электричество растут. Вы превращаетесь из “жертвы” в невольного соучастника чужих атак, и разбираться с последствиями (включая блокировки и претензии) придется вам.

“Ну взломают, и что с того?”

Посчитаем. Финансовые потери от кибератаки складываются из четырех частей:

1. Восстановление: данные, системы, работа подрядчиков, экстренный аудит

2. Простой: каждый день, пока бизнес стоит, вы теряете выручку

3. Штрафы и иски: регуляторы и пострадавшие клиенты

4. Репутация: отток клиентов, сорванные контракты

Живой пример. В ноябре 2023 года хакерской атаке подверглась сеть магазинов “Верный”: несколько дней не работали онлайн-сервисы и не принималась оплата банковскими картами. По оценкам, которые приводили СМИ, доля безналичных платежей в рознице такого формата достигает 40% и более, то есть каждый день простоя эквайринга стоил сети десятки миллионов рублей [3]. Заметьте: у компании ничего не “украли” в привычном смысле. Просто остановили часть бизнеса, и этого хватило.

А полная остановка бизнеса - это, по сути, потеря всего денежного потока на неопределенный срок. Некоторые компании после таких инцидентов не открываются вообще.

Как считать риски и понять, сколько вкладывать в защиту

Глобальных подхода два:

• подход результативной кибербезопасности (РКБ)

• классический риск-ориентированный подход

Подход результативной кибербезопасности

Концепцию результативной кибербезопасности продвигает компания Positive Technologies [4]. Идея простая и притом радикальная: хватит измерять защищенность количеством купленных средств защиты. Компания должна уметь в любой момент доказать, что злоумышленник не сможет реализовать события, которые для нее недопустимы.

Недопустимое событие - это то, что приводит к серьезному сбою или полной остановке бизнеса. Для банка это кража денег со счетов, для ритейла - остановка касс, для завода - остановка производственной линии.

Шаги к РКБ выглядят так:

1. Определить недопустимые события и верифицировать их вместе с топ-менеджментом. Именно бизнес, а не ИТ-отдел, решает, что для него смертельно.

2. Усилить защищенность инфраструктуры и настроить мониторинг ключевых систем.

3. Провести киберучения: имитировать реальные атаки и посмотреть, дойдет ли “атакующий” до недопустимого события.

4. Подключить багбаунти-платформу: позвать внешних исследователей и платить им за попытки реализовать недопустимые события. Не нашли за год при тысячах попыток - значит, защита работает не на бумаге.

Расчет денег здесь прозрачный: берем каждое недопустимое событие и считаем, сколько стоит его реализация для бизнеса. День простоя касс, неделя простоя производства, кража клиентской базы. Получившаяся сумма и есть верхняя планка того, что вы теряете. С ней уже можно сравнивать бюджет на защиту: тратить 50 млн на предотвращение события ценой в 10 млн странно, а вот наоборот - вполне рационально.

Классический подход

Классическая оценка рисков занудливее, но универсальна. Разбиваем на этапы.

Этап 1. Инвентаризация активов. Определите все, что может пострадать:

• информационные активы: данные клиентов, финансовая информация, документы

• технические активы: серверы, рабочие станции, сетевое оборудование, сайты

• человеческие активы: сотрудники и их учетные записи

Забегая вперед: с инвентаризации начинается и все управление уязвимостями. Нельзя защитить то, о чем не знаешь. К этой мысли мы в серии постов вернемся еще не раз.

Этап 2. Что угрожает каждому активу. Типовой список:

• вредоносное ПО (вирусы, трояны, шифровальщики)

• фишинг

• внутренние угрозы (недобросовестные или невнимательные сотрудники)

• сетевые атаки (DDoS, перехват трафика)

• эксплуатация уязвимостей в ПО

Этап 3. Насколько это вероятно.

Для каждой угрозы прикиньте вероятность: низкая, средняя, высокая. Опирайтесь на исторические данные (что уже случалось у вас и у коллег по отрасли), текущие тренды и уровень уязвимости конкретного актива. Сервер с открытым в интернет RDP и паролем “admin123” - это “высокая” без долгих раздумий.

Этап 4. Во что это выльется.

Что будет, если угроза сработает: финансовые потери, репутационный ущерб, правовые последствия, простой.

Дальше арифметика: риск = вероятность × последствия. Оценивать можно в деньгах (количественно) или по шкале “низкий/средний/высокий” (качественно). Для первого раза качественной шкалы достаточно.

Рисков получится много, возможно неприлично много. Не пытайтесь обработать все. Составьте короткий список того, что не должно случиться ни при каких обстоятельствах, и работайте сначала с ним. В итоге вы придете к тем же недопустимым событиям из РКБ, просто другой дорогой.

Для каждого значимого риска выберите стратегию:

• уменьшить: обновить ПО, закрыть уязвимость, усилить контроль доступа

• принять: осознанно жить с риском, если закрыть его сейчас невозможно или нерентабельно

• передать: застраховаться или прописать ответственность подрядчика в договоре

• избежать: отказаться от уязвимого компонента или процесса целиком

И последнее: оценка рисков - не разовый документ для галочки. Инфраструктура меняется, угрозы меняются, появляется опыт новых инцидентов. Пересматривайте оценку регулярно, хотя бы раз в год, а лучше после каждого серьезного изменения в ИТ-ландшафте.

А как у вас?

А вы сталкивались с аргументом “мы маленькие, нас не взломают” - от руководства или от себя пару лет назад? Чем в итоге переубеждали (или что переубедило вас)? И считаете ли вы недопустимые события в деньгах или пока на уровне “ну, будет плохо”?

Навигация по серии: ⬅️ Введение · ? Оглавление серии · Следующая: Гл. 1. Управление уязвимостями с нуля ➡️

Если у вас в инфраструктуре что-то устроено иначе - расскажите в комментариях. Зашло - подписывайтесь, чтобы не пропустить следующую часть.