Поделиться • 21 января 2026
Автор: Юрий Бережной, руководитель направления по развитию защиты конечных устройств Positive Technologies
Фото: Unsplash
По нашим данным, более чем в 20% случаев для проникновения в инфраструктуру компании мошенники используют гаджеты ее сотрудников. Самая желанная добыча — компьютеры топ-менеджеров. Расскажу, почему злоумышленники выбирают для атак личные устройства и как руководителям защитить свой бизнес.
По нашим данным, более чем в 20% случаев для проникновения в инфраструктуру компании мошенники используют гаджеты ее сотрудников. Самая желанная добыча — компьютеры топ-менеджеров. Расскажу, почему злоумышленники выбирают для атак личные устройства и как руководителям защитить свой бизнес.
Топ-менеджеры часто забывают о том, что сейчас почти у всех бизнес-процессов есть «виртуальные двойники» в цифровом мире. В их числе:
- контроль доступа в офисах;
- хранение персональных данных клиентов и сотрудников;
- ведение клиентских баз и отчетности;
- обеспечение логистических цепочек;
- отслеживание остатков ресурсов.
Компрометация цифровой копии компании ведет к реальным убыткам. Например, слабые пароли из шести символов ИИ взламывает мгновенно (данные Home Security Heroes), а 65% распространенных комбинаций подбираются быстрее чем за час.
Слабые места
Частые ошибки, которые бизнес допускает, выстраивая цифровые процессы:
- «слабые» пароли;
- системные уязвимости;
- открытые сетевые порты (виртуальные точки соединения на компьютере или сервере, благодаря которым различные программы идентифицируют и принимают данные в сети. — Прим. ред.);
- устаревшие операционные системы и программное обеспечение;
- отсутствие процесса обучения сотрудников;
- нерегулярный мониторинг безопасности.
Кроме того, не у всех компаний, особенно в сегменте МСП, есть сформированные ИБ-отделы. А сотрудники часто выполняют свои задачи удаленно на личных ноутбуках, получая доступ к виртуальным рабочим местам.
Что именно защищать
Чтобы снизить риски, бизнесу сначала нужно понять, какие IT-активы требуют защиты. Для этого проводят инвентаризацию инфраструктуры. В небольших компаниях этим занимается IT-специалист с помощью специализированных сервисов (есть как бесплатные, так и платные решения). Самое важное — иметь такой процесс в принципе.
Менее удобный, но тоже рабочий вариант — расписание, в рамках которого сотрудник, ответственный за кибербезопасность:
- «вручную» доступными способами собирает информацию о структуре, за которую отвечает;
- понимает, какой софт на ней стоит и как с ним работать;
- вовремя устанавливает обновления и системно планирует эти работы в своем расписании.
После того, как вы выделили критически важные ресурсы, нужно ограничить подключение к ним и открывать доступ только по запросу.
Такой проверенный подход к защите предполагает:
- анализ сетевых соединений;
- блокировку портов;
- проверку всех точек входа извне (шлюзов, роутеров, веб-приложений и доменов компании);
- введение двухфакторной аутентификации там, где это возможно;
- внедрение парольной политики.
«Точки входа» для хакеров
В небольшой компании, занимающейся обслуживанием вентиляционных систем, все сотрудники получали доступ к корпоративным ресурсам через Wi-Fi.
Логист Анна хранила логины и пароли для входа в программы «1С» в папке на рабочем столе и, уходя на обед, всегда оставляла ноутбук незаблокированным. Ведь она трудилась во внутреннем отделе, выполнявшем административные функции, и вокруг не было посторонних.
Злоумышленник, находясь неподалеку от бизнес-центра компании, методом перебора обнаружил сеть Wi-Fi со стандартными учетными данными: логин — admin, пароль — 12345678. Он без труда взломал локальную сеть компании, нашел ноутбук Анны и использовал ее учетные записи для входа во внутренние системы.
Чтобы усилить свои позиции в инфраструктуре, киберпреступник внедрил бэкдор — это лазейка, которой можно воспользоваться в будущем для быстрого удаленного подключения к скомпрометированной системе.
Закрепившись в инфраструктуре, злоумышленник максимизировал выгоду от взлома:
- получил доступ к почтовым учетным записям всех сотрудников, включая руководителей;
- полностью скопировал базу с контактами клиентов;
- создал вредоносные файлы;
- замаскировал вирусные программы под уведомления о плановом обслуживании вентиляционного оборудования;
- разослал письма с фейковыми уведомлениями клиентам от лица сотрудников.
Исчерпав потенциал атаки, хакер нанес финальный удар — зашифровал все устройства и потребовал выкуп. Ущерб был колоссальным:
- компания полностью утратила клиентскую базу, в которой была информация о заявках и запланированных работах, что привело к срыву сроков по контрактам и репутационным потерям;
- работа по восстановлению бизнес-процессов заняла 3 месяца — за это время около половины клиентов воспользовались услугами конкурентов;
- неустойки превысили 10% от годовой выручки из-за длительных простоев ;
- руководству пришлось сократить часть сотрудников, чтобы спасти бизнес.
Сложные схемы
По нашим данным, в первой половине 2025 года 80% атак на компании были целевыми. Фирма может стать начальным звеном в атаке на цепочку поставок. Это сложные кампании, которые готовятся с использованием данных и учетных записей доверенных поставщиков, клиентов или партнеров.
С этим столкнулась одна из федеральных ретейл-сетей. Что произошло:
- злоумышленники взломали разработчика ПО, который поддерживал терминалы сбора данных в распределительных центрах, и встроили малозаметный модуль в официальное обновление;
- вредоносный компонент маскировался под легитимные библиотеки и активировался только при определенных сценариях, что позволило ему пройти мимо стандартных средств защиты (антивируса или инструментов сетевой защиты);
- после установки обновления атакующие получили доступ к серверу управления остатками и незаметно модифицировали данные о товарах и заказах, создавая хаотичные перебои в поставках;
- когда операционный хаос стал заметен, злоумышленники потребовали выкуп, угрожая шифрованием ключевых систем;
- после отказа хакеры вывели из строя центральный сервер планирования, фактически остановив нормальные поставки на несколько дней.
Компания понесла многомиллионные потери из-за сбоев в логистике, упущенной выручки и восстановления данных, а инцидент показал критичность «слепых зон» даже у самых доверенных технологических партнеров, а также продемонстрировал, что не всегда стандартные методы защиты могут обнаружить специально подготовленную атаку, состоящую из многих, на первый взгляд, не связанных друг с другом шагов.
Инструменты защиты
Избежать подобных сценариев могут помочь только инструменты поведенческого анализа:
1. SIEM (англ. security information and event management — система выявления инцидентов в реальном времени. — Прим. ред.). Она работает следующим образом:
- собирает логи (хронологические записи наиболее значимой информации о работе системы) и события со всех устройств в сети;
- анализирует эти данные в реальном времени;
- сопоставляет события из разных источников;
- выявляет аномалии и потенциальные угрозы;
- оповещает специалистов о подозрительной активности.
2. EDR (англ. endpoint detection and response — cистема обнаружения и реагирования на инциденты на конечных устройствах. — Прим. ред.). Такие решения обнаруживают потенциально вредоносные действия и связывают их в цепочки событий ИБ, которые могут привести к киберинцидентам. Эффект достигается за счет комбинации сигнатурного анализа и мониторинга атак нулевого дня. В первом случае используется база известных инструментов и техник злоумышленников, во втором — выявляются новые угрозы.
Если сравнить с затратами на привычные антивирусные решения, то затраты на защиту каждого устройства вырастут примерно в 2,5 раза для обеспечения защиты и от вирусов, и от целевых сложных атак.