IT-безопасность малого бизнеса в 2026: что обязательно сделать, если у тебя до 20 человек

Представь: утром ты открываешь ноутбук, а все файлы зашифрованы. На экране — сообщение с требованием заплатить 200 000 рублей за разблокировку. Резервных копий нет. Клиентская база — тоже там.

Это не страшилка из кино. По данным “Лаборатории Касперского”, в 2025 году каждая третья атака шифровальщиков пришлась на малый бизнес. И большинство жертв — компании до 20 человек, которые считали, что хакерам до них нет дела.

Экран ноутбука с уведомлением о блокировке доступа и кибератаке на малый бизнес.

Дело есть. Именно небольшие компании взламывают чаще всего — у них меньше защиты и больше доверчивости. В этом гайде — конкретные шаги, которые закроют 80% уязвимостей без большого бюджета и штатного айтишника.

Почему малый бизнес — лакомая цель

Крупные корпорации тратят миллионы на защиту: SOC-команды, пентесты, шифрование на всех уровнях. Малый бизнес думает, что он слишком мал, чтобы быть интересным. Это главная ошибка.

Атаки на малый бизнес чаще всего не целевые, а автоматизированные. Боты сканируют интернет в поисках незакрытых портов, слабых паролей, устаревшего ПО. Им всё равно, кто ты — парикмахерская или завод. Нашли дыру — залезли.

Ещё один мотив — доступ к клиентам и партнёрам. Небольшая бухгалтерская фирма может стать воротами к данным десятков крупных клиентов. Тебя взломают не ради тебя, а ради тех, с кем ты работаешь.

Ошибка №1: пароли "123456" и один пароль на всё

Использование менеджера паролей и двухфакторной аутентификации для защиты корпоративных аккаунтов.

Звучит банально, но это до сих пор причина каждого второго взлома. Сотрудник использует один пароль для корпоративной почты, личного ВКонтакте и интернет-банка. База с одного из сайтов утекает — и злоумышленник заходит везде.

❌ Плохо: "Пароль у всех одинаковый — удобно запоминать".

✅ Хорошо: у каждого сотрудника уникальный пароль длиной от 12 символов для каждого сервиса, плюс двухфакторная аутентификация на почте и в ключевых системах.

Инструменты: Bitwarden и KeePass — бесплатные менеджеры паролей, которые сгенерируют и сохранят всё за тебя. Внедрить на команду из 10 человек можно за один рабочий день.

Ошибка №2: нет резервных копий — или они не проверялись

Многие делают бэкапы. Единицы проверяют, что из них реально можно восстановиться. Если резервная копия хранится на том же компьютере или на диске, подключённом к сети, — при атаке шифровальщика она тоже будет зашифрована.

❌ Плохо: папка "Бэкап" на рабочем столе или внешний диск, вечно подключённый к серверу.

✅ Хорошо: правило 3-2-1. Три копии данных, на двух разных носителях, одна из которых — офлайн или в изолированном облаке.

Минимальный вариант для малого бизнеса: автоматический ежедневный бэкап в облако (Яндекс.Диск, VK Cloud, S3-совместимое хранилище) плюс ежемесячная проверка восстановления. Проверка занимает 30 минут, но однажды спасёт всё.

Ошибка №3: устаревшее ПО и операционные системы

Windows 10 без обновлений, старый 1С без патчей, WordPress трёхлетней давности на корпоративном сайте — это открытые двери для атак. Большинство взломов происходит через уже известные уязвимости, для которых давно существует закрытый патч.

Обновления скучны и иногда ломают что-то привычное. Но устаревший софт — это дыра, которую видят все, кроме тебя.

Что сделать прямо сейчас: включить автообновления Windows и macOS, настроить автоматическое обновление браузеров, проверить версию CMS на сайте. Если используешь 1С — уточни у подрядчика, когда последний раз ставились обновления безопасности.

Ошибка №4: все сотрудники — администраторы

Настройка прав доступа сотрудников и ограничение прав администратора в корпоративной сети.

Когда у каждого сотрудника права администратора на своём компьютере, любой вредоносный файл запускается с максимальными привилегиями. Менеджер скачал "счёт от партнёра" — и вирус получил доступ ко всей системе.

❌ Плохо: "У нас все доверенные люди, зачем ограничения".

✅ Хорошо: принцип минимальных привилегий. Каждый сотрудник имеет доступ только к тому, что нужно для его работы. Установка ПО — только через администратора.

Это не вопрос доверия. Это защита от человеческой ошибки, которую совершают даже самые аккуратные люди.

Ошибка №5: фишинг — "нас не обманешь"

Обманут. По статистике Positive Technologies, 34% сотрудников открывают фишинговые письма даже после инструктажа. Современные письма выглядят как настоящие уведомления от банков, налоговой, курьерских служб.

Одна ссылка — и злоумышленник получает логин и пароль сотрудника, или на компьютер скачивается троян.

Что помогает: короткий инструктаж для команды раз в квартал (буквально 20 минут), правило "не открывать вложения от незнакомых отправителей", и — самое важное — культура "лучше спросить, чем кликнуть". Сотрудник не должен бояться уточнить у коллеги, реальное ли это письмо.

Ошибка №6: открытый Wi-Fi в офисе

Гостевой Wi-Fi без пароля или единая сеть для сотрудников и посетителей — это риск. Любой, кто подключился к той же сети, может перехватывать трафик или атаковать устройства внутри сети.

Решение простое: разделить сети. Рабочая — только для сотрудников и корпоративных устройств, с надёжным паролем. Гостевая — отдельно, без доступа к внутренним ресурсам. Это настраивается в любом современном роутере за 15 минут.

Ошибка №7: нет антивируса или он давно не обновлялся

Главное окно антивируса с актуальными базами на рабочем компьютере сотрудника.

Антивирус — не панацея, но первый барьер, который останавливает большинство автоматических атак. Без него компьютер сотрудника — как дверь без замка.

Для команды до 20 человек подойдут: Kaspersky Small Office Security, Dr.Web для бизнеса, ESET PROTECT Essential. Стоимость — от 1 500 до 3 000 рублей в год на одно устройство. Цена одного взлома несопоставимо выше.

Проверь прямо сейчас: когда антивирус последний раз обновлял базы и когда запускалось полное сканирование.

Что делать, если взлом уже произошёл

Паника — худший советчик. Первые действия должны быть быстрыми и чёткими.

Шаг 1. Отключи заражённое устройство от сети — физически вытащи кабель или отключи Wi-Fi. Это остановит распространение.

Шаг 2. Не выключай компьютер — часть данных для расследования хранится в оперативной памяти.

Шаг 3. Позвони в техподдержку или специалисту по безопасности. Не пытайся "починить сам" — можно уничтожить следы и усложнить восстановление.

Шаг 4. Смени пароли от всех корпоративных аккаунтов с другого устройства.

Шаг 5. Уведоми сотрудников и ключевых клиентов, если их данные могли пострадать.

Чеклист: IT-безопасность малого бизнеса 2026

Пройдись по каждому пункту. Если хоть один не закрыт — это уязвимость.

• Менеджер паролей установлен у всех сотрудников, у каждого уникальные пароли от 12 символов
• Двухфакторная аутентификация включена на корпоративной почте, в банке и ключевых сервисах
• Резервные копии создаются автоматически каждый день, одна копия — офлайн или в изолированном облаке
• Восстановление из бэкапа проверялось в последние 3 месяца
• Обновления Windows/macOS включены в автоматическом режиме
• Сайт и CMS обновлены до актуальной версии
• Права сотрудников разграничены: администраторские права — только у тех, кому это необходимо
• Антивирус установлен на все рабочие устройства, базы актуальны
• Рабочий и гостевой Wi-Fi разделены
• Инструктаж по фишингу проводился в последние 6 месяцев
• Есть план действий на случай инцидента — сотрудники знают, кому звонить

Если закрыто 8 из 11 пунктов — ты уже в топ-20% малого бизнеса по уровню защиты. Это не шутка: большинство компаний не делают даже половины.

Привет, я Алексей Сорокин, и мы в Softlex разрабатываем веб-сервисы и мобильные приложения, а еще помогаем стартапам принимать взвешенные бизнес-решения 🤝

👉 Свяжитесь с нами в Telegram или оставьте заявку на сайте – и получите партнера, который берет на себя сложное, чтобы у вас оставалось время на важное.

И подписывайся на наш телеграм канал 😉