Как слить бюджет на ИБ и всё равно остаться без 1С: ошибка слабого фундамента

Когда в компании «с ИБ всё по-взрослому », а 1С всё равно лежит

Картина из жизни. Компания среднего размера. На совещаниях звучит уверенно:
— У нас всё серьёзно с информационной безопасностью!
— Есть мониторинг, отчёты по киберугрозам, пентест проводили, всё как у больших.

Но однажды утром:

• база 1С не открывается;
• общая папка с файлами недоступна;
• отдел продаж без доступа к клиентам, бухгалтерия без документов, руководитель без цифр.

ИТ показывает красивые графики, отчёты: «Вот тут был инцидент, вот тут мы видим атаку».

Но есть мелкий нюанс: поднять 1С и файлы сейчас не из чего...

Где лежали бэкапы, в каком они состоянии, пробовал ли их кто-то когда-нибудь восстанавливать — никто точно сказать не может.

И в этот момент уже не так важно, сколько стоит подписка на модный SOC и сколько страниц у отчёта по пентесту (тесту на проникновение).

Важен только один вопрос: «Бизнес можно поднять за часы — или сейчас начинается долгий и дорогой ремонт “с нуля”?»

В чём реальная ошибка: крыша без фундамента

Если перевести это с языка ИБ на язык бизнеса, случилось простое: сначала построили крышу, а про фундамент договорились «как-нибудь потом».

Вложились в то, что выглядит солидно:

• мониторинг, дашборды, алерты;
• пентесты и “красные команды”;
• отчёты о киберугрозах.

Это всё похоже на дом с дорогой крышей, системой сигнализации, камерами по периметру, охранником у ворот…

…но с фундаментом, который был спроектирован как получилось. Чертежей нет, подвал сделан «по месту», несущие стены появились стихийно.

При первом серьёзном толчке такой дом трескается или обрушается, и уже не важно, какая там была сигнализация, важно что можно спасти.

В ИБ это выглядит так:

• архитектура «как-то работает сама по себе»;
• бэкапы «где-то есть, айтишник говорил»;
• плана восстановления «если всё упадёт» нет даже на уровне листочка А4.

Ошибка не в том, что «безопасность плохая».

Ошибка в том, что перепутали порядок: пошли с верхних, дорогих уровней, оставив самый дешёвый и важный слой на самотёк.

Что в ИБ считается фундаментом для бизнеса

Если отбросить термины и говорить по-человечески, фундамент в ИБ для компании — это ответ всего на три вопроса:

1. Где живут деньги в виде данных?

• где находятся база 1С, CRM, ключевые файлы;
• какие системы критичны, без чего бизнес реально встанет.

2. Как всё это копируется и хранится?

• куда и как делаются резервные копии;
• есть ли слой, который физически отделён от “боевой” инфраструктуры.

3. Что будет, если “завтра всё упадёт”?

• кто и по какому плану поднимает 1С и файлы;
• за какое время компания должна вернуться в рабочее состояние.

Это и есть фундамент: архитектура + бэкапы + план восстановления.

Скучно. Зато дешевле, чем вся красивая верхушка. Но именно тут решается судьба бизнеса в момент Х.

Пять уровней кибербезопасности: за что платит собственник и сколько это дает защиты

Чтобы понять, почему фундамент так важен, удобно представить безопасность как пять уровней.

У каждого уровня есть: примерная доля защиты, которую он даёт и типичная доля бюджета, который на него уходит.

Цифры ниже для примера, а не бухгалтерии. Важно соотношение.

Уровень 1. Архитектура — "фундамент и чертежи"

Что это по сути:

• где живут 1С, CRM и файлы;
• как связаны сервера, рабочие места, VPN, удалённый доступ;
• какие точки отказа;
• куда и как делаются бэкапы;
• как именно будем восстанавливаться.

Это фундамент и план дома. Пока здесь бардак, всё держится на вере и везении.

Примерная отдача:

• даёт около 36% реальной защиты (устойчивости к авариям),
• съедает примерно 4% бюджета на ИБ.

То есть примерно треть защиты обеспечивается самым недооценённым и дешёвым слоем.

Уровень 2. Пассивная защита — "двери и замки"

Что сюда входит:

• антивирусы;
• фаерволы;
• обновления;
• фильтрация почты;
• базовые правила доступа.

Это двери, замки, решётки. Без них опасно, даже если фундамент хороший.

Примерная отдача:

• даёт около 28% защиты,
• съедает примерно 12% бюджета.

Если сложить фундамент и двери:
Архитектура + пассивная защита ≈ 64% защиты при суммарно ≈ 16% бюджета.

То есть две трети устойчивости бизнес получает из фундамента и “нормальных дверей” — за меньшую часть общих расходов.

Уровень 3. Активная защита — "камеры и охранник"

Что это:

• сбор и анализ событий безопасности;
• обнаружение подозрительной активности;
• реагирование и расследование.

Метафора — камеры и охранник, который реально смотрит, что на них происходит.

Примерная отдача: около 20% защиты и примерно 20% бюджета.

Сильный слой, когда первые 2 уровня уже в порядке.

Но он не поможет при слабом фундаменте и без проверенной системы резервного копирования — он позволяет быстрее замечать и разруливать проблемы.

Уровень 4. Разведка — “что творится в районе”

Сюда попадает:

• аналитика по новым атакам и уязвимостям;
• отчёты вендоров;
• информация о киберпреступных группировках.

Это как знать криминальную обстановку района: кто кого грабит, по каким схемам.

Примерная отдача: даёт около 12% защиты, забирает примерно 28% бюджета.

Полезно, когда фундамент, двери и камеры уже есть.

Но для бизнеса, у которого 1С стоит на одном сервере, а бэкапы лежат там же, это уже дорогая роскошь.

Уровень 5. Offense — свои “грабители” (пентесты)

Что это:

• тесты на проникновение (пентесты) - это когда белые хакеры взламывают ваш бизнес и показывают уязвимости;
• red team-упражнения. Это имитация атак, во время которых группа экспертов по кибербезопасности получает задание проникнуть в ваш бизнес;
• проверки «а можно ли нас взломать вот так?».

Это как нанять своих “грабителей”, чтобы попытались залезть первыми и показать слабые места.

Примерная отдача: порядка 4% защиты, при этом около 36% бюджета.

Самый дорогой слой, который только потратит бюджет, если фундамент и базовая оборона провисают. Полезен как “верхушка”, а не как замена нижних уровней.

Фундамент против "игрушек": где настоящая выгода

Если собрать картину воедино:

1. Архитектура: ~36% защиты / ~4% затрат.
2. Пассивная защита: ~28% / ~12%.
3. Активная защита: ~20% / ~20%.
4. Разведка: ~12% / ~28%.
5. Offense: ~4% / ~36%.

Или по-простому:

• Самые дешёвые уровни (архитектура/фундамент + пассивная защита), которые дают примерно две трети защиты при около 16% бюджета.
• Самые дорогие уровни (разведка + offense) дают около одной шестой защиты, но съедают почти две трети денег.

И вот почему бизнес, который “по-взрослому” вложился в мониторинг и пентесты, всё равно может потерять 1С за один день:

деньги ушли на крышу и сигнализацию, а фундамент так и остался «как получилось».

Две компании: чем отличается исход при одном и том же ударе

Компания А. «Мы всё купили, у нас всё есть»

• есть мониторинг и отчёты,
• делали пентест,
• на бумаге всё выглядит солидно.

Но:

• архитектура не описана;
• бэкапы базы 1С и файлов лежат в той же сети;
• пробного восстановления никто не делал.

Прилетает шифровальщик.
Мониторинг честно фиксирует атаку, алерты летят, отчёты пишутся.
Но база зашифрована, бэкапы — тоже, план восстановления отсутствует.
Бизнес встаёт. Начинаются переговоры, экстренные работы, потери и поиск виноватых.

Компания Б. «Сначала фундамент, потом остальное»

• описана архитектура: где живут 1С и важные данные, какие точки отказа;
• выстроена схема бэкапов, одна из копий — вне сети;
• раз в квартал делали тестовое восстановление 1С;
• базовая защита (обновления, антивирусы, доступы) в порядке.

При похожем инциденте:

• часть сервисов падает;
• но команда знает, что и откуда поднимать;
• из проверенных бэкапов поднимают 1С и файлы.

Да, это нервный день.
Но спустя несколько часов компания продолжает работать.

Разница не в количестве “железа и сервисов”.
Разница в том, с какого уровня начинались вложения.

Что делать собственнику: с чего начать

Логичный порядок действий:

Шаг 1. Попросить показать фундамент

• где находятся 1С, CRM и ключевые папки;
• какие системы критичны;
• какие точки отказа есть сейчас.

Шаг 2. Разобраться с бэкапами и восстановлением

• есть ли регулярные резервные копии ключевых систем;
• где физически лежат эти копии;
• можно ли за разумное время восстановить тестовую базу 1С из копии и показать это живьём.

Шаг 3. Добавить оффлайн-бэкапы

хотя бы один вариант бэкапа, который не заденет ни шифровальщик, ни вынос сервера (внешний диск, изолированное хранилище).

Если интересно, что такое оффлайн-бэкап и почемы это самая дешевая защита, смотри статью: Оффлайн-бэкап как “страховой сейф”: защита, которая стоит дёшево и выживает, когда гибнет сеть.

Шаг 4. Привести в порядок базовую защиту

обновления, антивирусы, права доступа, почтовые фильтры.

Шаг 5. Уже после этого смотреть в сторону

• активного мониторинга;
• аналитики угроз;
• пентестов.

Главная мысль простая:

Фундамент (архитектура, бэкапы, план восстановления) и нормальная оборона — самый дешёвый и самый полезный слой.

Модные верхние уровни без фундамента — дорогие игрушки (SOC, SIEM и тд), которые не спасут, если завтра сервер с 1С не включится.

Короткий чек-лист для самопроверки:

1. Есть ли понятное описание, где живут база 1С и ключевые файлы, через какие узлы они проходят?
2. Настроены ли регулярные бэкапы этих систем, и показывали ли вам отчёты об их успешном выполнении?
3. Проводилось ли за последний год полноценное тестовое восстановление 1С и файлов “как будто всё уже упало”?
4. Есть ли копия вне основной сети, которая не ляжет вместе с боевым сервером?
5. Понимает ли руководство, сколько часов простоя бизнес реально выдержит, прежде чем начнутся невозвратные потери?

Если на часть этих вопросов ответ ближе к «не знаю», чем к «да», значит, бюджет на крышу уже тратится, а фундамент до сих пор стоит ровно на том, на чём стоял.