Разобраться • 22 мая 2026
«Кибербез — не роскошь, а базовый минимум»: управляющий директор Positive Technologies о том, почему киберзащита — зона ответственности первых лиц
«Кибербез — не роскошь, а базовый минимум»: управляющий директор Positive Technologies о том, почему киберзащита — зона ответственности первых лиц
Автор: Мария Гусарова
Обложка: Unsplash
Каждый третий крупный взлом в России сегодня начинается не с атаки на саму компанию, а с ее подрядчика — и все чаще под удар попадает малый и средний бизнес. Управляющий директор Positive Technologies Алексей Новиков на полях ЦИПР-2026 рассказал «Инку», почему кибербезопасность больше нельзя считать темой айтишников, как гендиректору задать правильные вопросы про защиту и что должно быть в чек-листе для тех, кто не хочет однажды проснуться в новостях.
Каждый третий крупный взлом в России сегодня начинается не с атаки на саму компанию, а с ее подрядчика — и все чаще под удар попадает малый и средний бизнес. Управляющий директор Positive Technologies Алексей Новиков на полях ЦИПР-2026 рассказал «Инку», почему кибербезопасность больше нельзя считать темой айтишников, как гендиректору задать правильные вопросы про защиту и что должно быть в чек-листе для тех, кто не хочет однажды проснуться в новостях.
Когда кибербез становится вашим вопросом
Мария:
— Алексей, представьте себя предпринимателем, а не специалистом по киберзащите. В какой момент кибербезопасность перестает быть задачей для айтишников и становится вопросом лично для владельца бизнеса?
Алексей:
— Когда приходит четкое понимание, как цифра влияет на бизнес. Если компания целиком и полностью зависит от цифровых технологий, выручка, оборот, прибыль зависят от внедренных ИТ-решений, то должен появиться человек, который отвечает за то, чтобы эти решения работали стабильно и не нанесли ущерб бизнесу. Как только компания оцифровалась — необходимо задаваться вопросами кибербезопасности.
Мария:
— Хорошо. Какие решения все-таки должен принимать именно руководитель — даже если он ничего в этом не понимает?
Алексей:
— Руководитель может принять самое важное и нужное решение. Он должен четко обозначить своим айтишникам и кибербезниками то, чего нельзя допустить с точки зрения бизнеса. Мы это называем недопустимыми событиями. Он должен сказать: «У меня сайт не должен “лежать” больше суток, потому что он мне генерирует 50% ежедневного оборота». Особенно если, допустим, он продает цветы и подарки, а это 8 марта или 14 февраля, — в эти дни всё должно работать как часы. Вот это — целеполагание для защиты бизнеса. Дальше необходимо посмотреть на регуляторные риски: в каком сегменте работает компания, обрабатывают ли они персональные данные, являются ли объектом КИИ (критической информационной инфраструктуры. — Прим. ред.).
Мария:
— А что можно делегировать айтишникам не глядя?
Алексей:
— Выбор технических решений. Как должна выглядеть архитектура, система защиты — это не вопрос руководителя. Его задача — сформулировать, от чего защищать бизнес, а дальше периодически проверять, что бизнес действительно защищен.
Хакеры-злоумышленники — они тоже эффективные менеджеры. Они четко считают, сколько стоит их атака и сколько денег получат в ответ. Здесь как с медведем: не надо убегать первым, надо быть более защищенным, чем твой сосед по отрасли. Этот эффективный менеджер-хакер пойдет атаковать не того, где потратит больше денег, а того, кто менее защищен.
Что такое «недопустимое событие»
Термин из методологии Positive Technologies. Это не взлом или утечка данных в общем смысле, а конкретный бизнес-сценарий, который не должен остановиться в случае кибератаки, иначе будет нанесен непоправимый ущерб: сайт недоступен в пиковый день продаж, утечка клиентской базы, остановка производственной линии. Задача руководителя — сформулировать список таких событий, задача ИБ-специалиста — сделать их невозможными.
«Мы маленькие, нас никто не тронет». Уже нет
Мария:
— Правильно ли я понимаю, что говорить, ой, у нас небольшой бизнес (допустим, пара кафе), кому мы нужны, нас все равно никто не тронет, — в этом году уже бессмысленно? Или наоборот — на маленьких хакеры как раз и тренируются?
Алексей:
— Можно сказать, что и тренируются — на малом бизнесе. Ситуация драматически поменялась в 2022 году: Россия стала полигоном, сегодня атакуют просто по принципу принадлежности к России, преследуя геополитические и финансовые цели. Международные механизмы расследования киберпреступлений разрушились, кооперация стран исчезла, и большинство иностранных хакеров прекрасно понимают: за ними с большой вероятностью никто не придет.
Мария:
— Часто же говорят, что российские киберспециалисты очень сильные. Это не останавливает?
Алексей:
— У нас действительно одна из самых сильных индустрий кибербезопасности в мире. После 2022 года они получили уникальную практику по противодействию огромному числу кибератак, которой нет ни у кого в мире. Но иностранных злоумышленников это не останавливает — им же интересно ломать. И им ничего за это не будет. УК РФ на них распространяется, конечно, но когда они приедут в Нижний Новгород (беседа происходит в городе — организаторе ЦИПРа. — Прим. ред.) — это неизвестно, скорее всего, никогда.
Дальше следующий тренд: крупные компании потратили приличные бюджеты на защиту, хорошо защитились — и осталась одна маленькая лазейка. Это подрядчики. У крупного промышленного гиганта подрядчиков тысячи.
Читать также
Мария:
— И тысяча дыр в безопасности.
Алексей:
— Точно. Каждый из них может иметь доступ в инфраструктуру, обслуживать удаленное оборудование или ПО. Когда мы говорим об этих подрядчиках — там очень часто как раз компании из МСБ. Которые в первую очередь думают о том, как успешно развивать свой бизнес.
По нашей статистике, за 2025 год практически каждый третий инцидент в крупных компаниях происходил через инфраструктуру подрядчика. На это обратил внимание и регулятор. Сейчас обсуждается изменение регуляторной базы: если ты являешься подрядчиком КИИ, на тебя будут распространяться такие же требования, как на объекты КИИ.
Кого атакуют в МСБ чаще всего
По данным отчета Positive Technologies CODE RED 2026, промышленность — отрасль №1 среди атакуемых. В сегменте МСБ под ударом прежде всего подрядчики крупных промышленных компаний; небольшие ИТ-компании (разработчики ПО, стартапы); медицина и аптечные сети; ретейл, в том числе небольшой.
Гарантия результата: где заканчивается ответственность вендора
Мария:
— Расскажите про вашу программу, где вы предлагаете буквально: если вас взломают — мы вернем деньги. В кибербезе так никто не делает, это вроде бы фишка торговли.
Алексей:
— Это про наше решение PT X. Наша стратегия — результативный кибербез. Какие проблемы в классическом? Купили не то. Купили то — не установили. Установили — не настроили. Не работает.
Типичный пример: стоит антивирус и каждый день сигналит «обнаружил угрозу, не могу удалить». Через 10 дней компания зашифрована: не работают компьютеры, утрачен доступ к базам данных клиентов и продаж. Команда приходит на расследование — оказывается, в антивирусе стояла галочка «обнаруживать, но не удалять», а в консоль продукта никто не заходил. Решение 10 дней предупреждало об угрозе. Его никто не слушал и не предпринимал никаких мер.
Поэтому кибербезопасность должна быть с понятными измеряемыми метриками для бизнеса. PT X устанавливается сразу с нужными настройками, наш ИИ смотрит в собираемые данные и выдает рекомендации по защите. Потом зовем исследователей, так называемых белых хакеров, проверить эффективность. Они умеют думать как хакеры и финансово мотивированы найти «лазейку» в инфраструктуре — ведь они получат за это вознаграждение от нас, если найдут уязвимости. Если во время использования нашего решения происходит реальный инцидент и компания понесет ущерб — мы этот ущерб тоже возмещаем.
Мария:
— А где проходит граница ответственности? Что должен взять на себя бизнес?
Алексей:
— Мы сформировали понятие «киберминимум» — шесть принципов, которые бизнес должен согласиться выполнять. Мы вместе с компаниями отслеживаем, как этот киберминимум выполняется. Когда все шесть пунктов выполнены и поддерживаются — мы выходим в кибериспытания и готовы нести финансовую ответственность при инциденте.
Что такое «киберминимум» по версии Positive Technologies
- настроенный мониторинг,
- отсутствие уязвимостей на периметре,
- наличие процесса реагирования на кибератаки,
- защита от фишинга,
- двухфакторная аутентификация на удаленном доступе,
- своевременные обновления.
Нанимать безопасника или нет
Мария:
— Допустим, я открываю книжный магазин, у меня несколько сотрудников. Мне достаточно вашего продукта или нужен свой специалист?
Алексей:
— Если у вас будет интернет-магазин, где вы принимаете заказы, формируете корзину, принимаете онлайн-платежи, и если на него идет 50–70% вашего оборота, то надо серьезно заботиться о кибербезе. Чтобы не утекли персональные данные. Чтобы транзакции были безопасны. Чтобы на вашем сайте не было уязвимостей, с помощью которых хакер мог бы купить все книги за один рубль, а не по 5 тыс. руб., как они там продаются на самом деле.
Если же у вас офлайн-магазин — три рабочих станции, которые можно вообще к интернету не подключать, — про кибербез особо думать не нужно. Просто имейте бэкап на флешке.
Читать также
ИИ-агент дороже человека, или что выяснили крупнейшие компании РФ, когда начали считать затраты
Мария:
— Выделенный специалист по ИБ нужен?
Алексей:
— Нет. От выделенной роли можно отказаться. Вам нужен айтишник, который понимает наш язык и администрирует вашу инфраструктуру. Лично моя точка зрения: для МСБ необходимо совмещать роль айтишника и ибэшника. Когда мы нанимаем айтишника — что ему говорим? «Нам надо, чтобы компьютер работал». Когда происходит киберинцидент, компьютер что? — перестает работать. Вот. Поэтому функции безопасности для МСБ очень логично возложить на ИТ-специалиста, чтобы он не только думал о работоспособности, но и ставил обновления безопасности, и думал, как настроить конфигурацию безопасно.
Мария:
— Что должно быть у него в резюме обязательно?
Алексей:
— В требовании пишите, что человек будет отвечать за доступность и работоспособность ИТ-инфраструктуры и ее устойчивость, в том числе к компьютерным атакам.
В резюме смотрите на знание базовых принципов кибербезопасности, администрирование антивирусов, работу с межсетевыми экранами, понимание защиты веб-ресурсов и DDoS-защиты.
Пять вопросов, которые спасут вас от попадания в новости
Мария:
— Мне нужен еще один чек-лист: что нужно сделать прямо сейчас, чтобы не оказаться в новостях после кибератаки.
Алексей:
— Вопрос номер один — прийти к вашему айтишнику и спросить, сколько стоит атака на вашу компанию. Так вы поймете, что у вас с безопасностью. Защиту самой компании могут взломать счетным количеством способов:
Первое — фишинговые письма: защищены ли мы от рассылок с вредоносами?
Второе — удаленный доступ: пароли должны быть сложными, и обязательно настроена двухфакторная аутентификация.
Третье — уязвимости на периметре: чтобы ваш сайт не был «дряблым». Пример — CMS Bitrix в 2022–2023 гг.: в ней было три-четыре уязвимости, и компании МСБ их устраняли годами, просто не думали об обновлениях.
Четвертое — если для вас критична доступность сайта, есть ли у вас защита от DDoS?
Пятое — а мы проигрывали ситуацию, если у нас киберинцидент? Мы знаем, что делать? У нас есть план?
Мария:
— Это надо делать вообще любому бизнесу?
Алексей:
— По большому счету, да. На днях была сессия (в рамках ЦИПРа), там это называли новой роскошью. Нет, кибербезопасность — это не новая роскошь, это базовый минимум. Как руки мыть, когда с улицы домой пришли. Как пожарная безопасность. Все морщатся от этих табличек «выход» и зеленых огоньков. Но это делают. Потому что когда случается пожар — эти таблички горят и выводят людей из помещения.
Мария:
— Нас всех пандемия научила руки мыть.
Алексей:
— Вот! У меня другая аналогия — с чекапом здоровья. Если каждый год ходить на профилактику — все хорошо. А если ждать семидесяти лет — там сюрприз. Фундаментальный и более капитальный по затратам. И можно даже в новостях оказаться. С кибербезопасностью — так же.