Почему 2026 год ломает старые шаблоны безопасности
Если вы до сих пор думаете, что главная угроза — это вирус, который кладёт сеть и требует биткоины, — вы отстали лет на пять. Честно. Сейчас игра идёт по-другому.
Рынок коммерческого шпионского ПО (того самого, commercial spyware) вырос до неприличия. Если раньше Pegasus был уделом спецслужб и стоил как крыло самолёта, то сегодня средний бизнес может столкнуться с софтом, который мониторит каждый чих вашего гендира, и стоить это будет... ну, как подержанная Тойота. Доступно, сердито, а главное — результативно.
Я помню, как мы лет пять назад внедряли DLP и думали: «Всё, мы непобедимы». А теперь? Теперь злоумышленники не ломятся в серверную с плакатом «дайте доступ». Они заходят через WhatsApp финдиректора. Или через обновление «Яндекс.Браузера» (поддельное, конечно), которое сам бухгалтер радостно поставил, потому что «оно само предложило». Это уже не технологии, это психология с привкусом измены.
Кстати, про требования регуляторов. 152-ФЗ и компания ФСТЭК — это, конечно, хорошо. Но, по моему опыту, когда начинается реальная атака, вы вспоминаете не про штрафы, а про то, что у вас сейчас уволятся все ключевые сотрудники, если их личная переписка всплывёт на торрентах. Тут не до формальностей.
Целевая атака — это не про «массовость», это про вас лично
Многие путают массовые вирусные рассылки с целенаправленными действиями. Давайте сразу договоримся: если вам пришло письмо «Вы выиграли миллион» — это спам. А если пришло письмо от «контрагента» с точным номером вашего последнего договора и приложением «счёт на оплату.exe» — это охота.
Как выглядят современные целевые атаки глазами инженера
Представьте: вы заходите утром на работу, а ваш коллега из отдела закупок говорит: «Слушай, странно, вчера поставщик прислал документы, а сегодня звонит и говорит, что ничего не отправлял». И вы начинаете копать.
Что любопытно: в 80% случаев входные ворота — это не сервер, не файервол, а конкретный человек. Социальная инженерия в 2026-м — это высший пилотаж. Злоумышленники могут неделями изучать вашу структуру, кто с кем пьёт кофе, кому пишет финдир в нерабочее время. Они строят цифровой профиль личности. И потом — бац! — звонок от «руководителя» с незнакомого номера: «Срочно переведи деньги, я на переговорах, потом разберёмся».
По моему опыту, самый сложный случай был, когда подделали голос гендира с помощью нейросети. У нас тогда главбух чуть не перевела 12 миллионов. Хорошо, что она лично побежала к нему в кабинет уточнить детали. Но это скорее везение, чем система.
Коммерческое шпионское ПО — невидимый наблюдатель
Тема, которая меня реально бесит. Потому что бороться с этим сложно.
Коммерческое шпионское ПО (давайте называть вещи своими именами — сталкерский софт для слежки) сейчас маскируется под что угодно. Под плагин для браузера, под утилиту для очистки диска, под официальное приложение банка. Устанавливается тихо, живёт глубоко, сосёт данные понемногу, чтобы не вызвать подозрений.
Оно может:
- Сливать переписку из Telegram (да, и из Телеги тоже, если телефон скомпрометирован);
- Записывать звук с микрофона во время совещаний;
- Делать скриншоты каждые 10 минут и отправлять «хозяину».
И знаете, что самое паршивое? Антивирусы часто его не видят. Потому что это не вирус в классическом понимании. Это легитимный софт, просто используемый в чёрных целях. Как нож — можно хлеб резать, а можно и не очень хорошее дело сделать.
Фишинг 2026 — уже не письма «нигерийского принца»
Если вы думаете, что фишинг — это письма с ошибками и просьбой прислать пароль, вы сильно удивитесь. Сегодня это:
Целевой фишинг (spear-phishing). Вам приходит письмо от реально существующего человека. Стиль, подпись, манера общения — всё совпадает. Потому что перед этим злоумышленники проанализировали открытые источники, соцсети, maybe даже взломали почту кого-то из ваших партнёров.
QR-фишинг (quishing). Физически подбрасывают письма с QR-кодами в офис. «Для участия в опросе отсканируйте код». Человек сканирует — попадает на поддельный сайт, вводит логин-пароль. И всё, доступ к корпоративной учётке ушёл.
Я сам два раза ловил таких «рыбаков». Один раз сотрудница отсканировала код на стикере в лифте, думала, это флаер с доставкой еды. А это была точка входа в нашу сеть. Хорошо, что у нас стояла политика: любой вход с нового устройства требует подтверждения по телефону. Отбились.
Социальная инженерия — игра на чувствах
Тут всё просто: страх, жадность, любопытство, желание помочь. Вам могут позвонить «из техподдержки» и сказать: «У нас сбой, мы потеряли ваши данные, давайте я помогу восстановить, скажите код из СМС». И люди говорят. Даже умные люди. Потому что голос уверенный, потому что «специалист» знает ваше имя и отдел.
Внедрение многофакторной аутентификации (MFA) — это хорошо, но если пользователь сам даёт код, то MFA бессильна. Это как ставить бронированную дверь и оставлять ключ под ковриком.
Как я строил защиту на личном опыте (и набитых шишках)
Давайте честно: идеальной защиты не существует. Если кто-то говорит, что у него «всё под контролем», он либо врёт, либо ещё не знает о проблеме. Но снизить риски до приемлемого уровня — можно.
Вот что я вынес из своей практики за последние пару лет.
Принцип «нулевого доверия» (Zero Trust) работает
Раньше была модель: «свой — чужой». Если ты в офисе, если ты подключён к корпоративной сети — ты свой. Сейчас это не работает. Злоумышленник может быть внутри, но действовать от имени легитимного пользователя.
Zero Trust — это когда ты не доверяешь никому и проверяешь каждый чих. Каждое устройство, каждого пользователя, каждый запрос. Да, это создаёт небольшие неудобства. Но когда я вижу, как сотрудник пытается скачать базу клиентов на флешку в три часа ночи — я хочу об этом знать.
Кстати, про российский софт. Сейчас много говорят про импортозамещение. По моему опыту, решения от Positive Technologies, «Лаборатории Касперского», InfoWatch — они действительно работают. Но их нужно правильно настраивать. Нельзя просто купить коробку и забыть. За этим стоит работа.
Шифрование — это не панацея, но база
Я иногда удивляюсь: компании хранят персональные данные клиентов в открытом виде на файловых серверах. Просто папки с названиями «Клиенты_2026». Любой, кто получит доступ к серверу, может это утащить.
Шифрование дисков, шифрование баз данных, шифрование каналов связи — это должно быть включено по умолчанию. Особенно если речь идёт о мобильных устройствах. Ноутбук финдиректора потеряли в такси? Если диск зашифрован — это просто потеря железа. Если нет — это утечка данных уровня «компания закрывается».
Один случай из жизни. Приехали к клиенту, у них сервер в подсобке стоял без пароля. Буквально: включил монитор — вот тебе база 1С со всеми зарплатами. Спрашиваю: «А почему так?» — «А у нас никого нет, только свои». Ну-ну. Через месяц у них уволился программист, который эту базу на жёстком диске унёс. Хорошо, что без злого умысла, просто хотел дома доработать. Но факт утечки был.
Технологии, которые реально помогают (а не просто пылятся на полке)
Я не буду тут перечислять все коробочные решения. Скажу про то, что использую сам и что вижу у коллег из SOC.
EDR (Endpoint Detection and Response)
Это уже не просто антивирус. Это агент на каждом устройстве, который смотрит поведение. Если вдруг Word пытается запустить PowerShell и обратиться в интернет — это подозрительно. EDR это заметит и остановит.
Что любопытно: EDR иногда ругается на действия самих админов. И это нормально. Лучше 10 ложных срабатываний, чем один пропущенный инцидент.
XDR — расширенная версия
Это когда вы собираете информацию не только с рабочих станций, но и с сети, с почты, с облаков. И строите общую картину. XDR позволяет увидеть цепочку атаки: вот пришло письмо, вот пользователь перешёл по ссылке, вот запустился скрипт, вот пошло соединение на подозрительный IP. Всё в одном стакане.
DLP (Data Loss Prevention)
Старый, добрый, иногда бесячий инструмент. DLP нужен, чтобы контролировать, что утекает наружу. Не только через почту, но и через мессенджеры, веб-формы, даже через скриншоты.
По моему опыту, DLP — это ещё и отличный инструмент для расследований. Когда началась та самая атака в ноябре, мы именно по логам DLP восстановили, что и когда уходило. И успели заблокировать получателей.
Управление рисками — не скучная бумажка, а стратегия выживания
Часто слышу: «У нас есть политика безопасности, всё подписано, лежит в папке». Ребята, политика — это мёртвый документ, если её не тестировать.
Риски нужно оценивать постоянно:
- Что будет, если завтра ляжет основная CRM?
- Что будет, если уволенный администратор удалит все бэкапы?
- Что будет, если в телефоне гендира обнаружат шпионское ПО?
Для каждого риска нужно иметь план. Не просто «примем меры», а конкретные шаги: кого будить, куда звонить, откуда восстанавливаться.
Если честно, мы один раз чуть не попали именно на бэкапах. Хранили копии на том же сервере, что и основные данные. Когда пришла атака с шифровальщиком, он зашифровал и данные, и бэкапы. Хорошо, что была офлайн-копия на ленточной библиотеке (да, старьё, но работает). С тех пор у меня правило: как минимум одна копия должна быть физически недоступна из сети.
10 правил кибербезопасности 2026 (на чём я не экономлю)
Собрал для вас чек-лист, который сам раздаю клиентам. Коротко и по делу.
- Многофакторная аутентификация везде. Да, бесит. Да, сотрудники ноют. Но без неё сейчас нельзя. Особенно на почте и в 1С.
- Обновления — не прихоть. Если производитель выпустил патч, ставьте его вчера. Большинство атак идёт на известные уязвимости.
- Бэкапы по правилу 3-2-1. Три копии, на двух разных носителях, одна вне офиса.
- Управление доступом. У сотрудника должен быть доступ ровно к тому, что нужно для работы. Никаких «а дай я посмотрю, что у бухгалтерии».
- Обучение сотрудников. Не раз в год для галочки, а постоянно. Короткие напоминалки, разбор реальных случаев, тестовые фишинговые рассылки.
- Контроль устройств. Личные телефоны, подключённые к рабочей почте, — это риск. BYOD нужно либо жёстко ограничивать, либо защищать.
- Мониторинг 24/7. Если у вас нет своего SOC, подумайте об аутсорсе. Потому что ночью атаки тоже случаются.
- Шифрование. Ноутбуки, съёмные диски, базы данных — всё под ключ.
- Защита мессенджеров. Telegram и WhatsApp сейчас — основные каналы коммуникации. И они же — основные каналы утечек.
- План реагирования. Знать, что делать, когда «всё сломалось». Потренироваться на учебной тревоге.
Российские реалии: 152-ФЗ, КИИ и прочее
Мы живём в России, и здесь есть свои особенности. 152-ФЗ «О персональных данных» — это не просто буква закона, это руководство к действию. Штрафы за утечки сейчас такие, что проще вложиться в защиту.
Для объектов критической информационной инфраструктуры (КИИ) требования ещё жёстче. ФСТЭК требует создания ГосСОПКА, взаимодействия с НКЦКИ. Это не опционально.
По моим наблюдениям, самый большой риск сейчас — это человеческий фактор и отсутствие культуры безопасности. Можно купить самое дорогое железо, но если секретарша запишет пароль на стикере и прилепит на монитор — всё бесполезно.
FAQ — вопросы, которые мне задают чаще всего
1. С чего начать аудит безопасности в компании?
С ответа на вопрос: «Что для нас самое ценное?» Клиентская база? Финансовая отчётность? Интеллектуальная собственность? Найдите это и начинайте защищать с этого.
2. Антивируса достаточно?
Нет. Антивирус — это база, но не панацея. Нужен комплекс: DLP, EDR, контроль доступа, шифрование.
3. Как защитить удалённых сотрудников?
VPN с проверкой устройства, корпоративные антивирусы на домашних ПК, запрет на использование публичных Wi-Fi без защиты.
4. Что делать, если взломали почту?
Отключать доступ, менять пароли, проверять все правила пересылки (часто злоумышленники настраивают скрытую пересылку писем), звать специалистов для расследования.
5. Сколько стоит безопасность?
Столько же, сколько стоит риск её потерять. Единой цифры нет. Можно вписаться в небольшой бюджет, если грамотно расставить приоритеты.
6. Нужно ли шифровать всю базу 1С?
Да. Если база содержит персональные данные — это требование 152-ФЗ. Да и просто здравый смысл.
7. Что такое пентест и нужен ли он?
Пентест — это легальный взлом вашей системы с целью поиска уязвимостей. Нужен обязательно, хотя бы раз в год. Но делайте его у проверенных людей.
8. Как выбирать подрядчика по безопасности?
Смотрите на реальный опыт, на отзывы, на наличие лицензий ФСТЭК/ФСБ. Просите кейсы.
9. Что делать с уволившимися сотрудниками?
Мгновенно отключать доступы. И менять все пароли, которые они знали.
10. Можно ли защититься на 100%?
Нет. Но можно сделать так, чтобы злоумышленникам было проще пойти к другому, чем ломиться к вам.
Вместо заключения — личное
Знаете, я за эти годы понял одну простую вещь: безопасность — это не про технологии. Это про людей и процессы. Можно иметь крутой софт, но если люди не понимают, зачем они нажимают «Далее», — вы в зоне риска.
И ещё. Не ждите, пока грянет гром. Когда я слышу «у нас ничего не случилось, зачем нам это», я вспоминаю того финдиректора с рассылающей саму себе почтой. У них тоже ничего не случалось. До трёх часов ночи того самого звонка.
══════
Нужна помощь?
Разобраться с защитой данных, провести аудит или внедрить систему безопасности под ключ — обращайтесь.
Оставьте заявку на Бесплатную консультации на сайте: https://securedefence.ru/
Пришлём чек-лист + дорожную карту + КП
Первые 5 заказов каждый месяц — расширенный аудит на 12 страниц в подарок!
══════
Больше материалов: Центр знаний SecureDefence.