ИТ-безопасность для бизнеса. Цифры, риски и «слепые зоны», о которых молчат
В 2025 году зафиксировано 739 утечек информации ограниченного доступа в российских компаниях. Более 767 млн строк персональных данных россиян оказались в открытом доступе. Россия вышла на второе место в мире по объёму утечек в торговле — 23,3% от мирового объёма.
Это не новости из «киберстрашилок». Это официальная статистика InfoWatch и данные расследований. И за каждой цифрой — реальный бизнес, который потерял клиентов, деньги или и то, и другое.
Почему это важно именно вам. Хакеры давно перестали охотиться только за «госкорпорациями». Каждая третья компания малого и среднего бизнеса в России хотя бы раз становилась целью кибератаки. На малый и средний бизнес приходится около 70% всех утечек данных в результате атак.
Если вы думаете, что вас не взломают, потому что вы «неинтересны», — вы именно тот, кого ищут. Защищённость малого бизнеса ниже. А данных у вас — выше, чем вы думаете (клиенты, поставщики, сотрудники, переписка, коммерческие предложения).
Давайте спокойно, по фактам, разберём четыре ключевые угрозы, которые сегодня актуальны для любого бизнеса. Никаких «авось» и «у нас всё настроено».
1. Утечка персональных данных: оборотные штрафы и потеря 60% клиентов
Факты:
2025 год: 739 инцидентов утечек в России (на 17,8% меньше, чем в 2024-м, но масштаб не снижается). Скомпрометировано 767 млн строк персональных данных россиян.
70% всех утечек в России — это именно персональные данные.
44% утечек — в интернет-торговле, 22% — в малом бизнесе и локальных сервисах.
Около 30% инцидентов в 2025 году начинались с компрометации компаний-подрядчиков. До 35% компаний в России атакованы через поставщиков и вендоров ПО.
Реальные потери:
Средний ущерб от одной успешной атаки для малого бизнеса — от 500 тыс. рублей, для среднего — от 3 млн рублей.
Стоимость ИТ-простоя: по данным аналитиков, средняя стоимость достигла 440 000 рублей в минуту.
60% клиентов уходят от компании после утечки их данных.
Восстановление систем и данных после инцидента — от 8 до 20 млн рублей, даже при наличии резервных копий.
Юридические последствия (с мая 2025 года — особенно жёсткие):
Штраф за утечку персональных данных: до 15 млн рублей. При повторном инциденте — до 20 млн рублей или 1-3% годовой выручки.
Неуведомление об утечке Роскомнадзора с мая 2025 года — отдельный состав с штрафом от 1 млн рублей для компании.
Уголовная ответственность для руководителя: принудительные работы до 4 лет или лишение свободы на тот же срок.
Статья 272.1 УК РФ (незаконные использование, передача, сбор, хранение компьютерной информации с персональными данными).
Это не «теоретические риски». Это законы, которые уже работают, и случаи, которые уже есть.
2. Нелицензионное ПО: экономия 50 тыс. - риск уголовного дела
Многие «экономят» на лицензиях. Вот цена этой экономии.
Административные штрафы (ст. 7.19 КоАП РФ):
Для должностных лиц и ИП: 10–20 тыс. рублей.
Для юридических лиц: 30–40 тыс. рублей.
Уголовная ответственность (ст. 146 УК РФ — нарушение авторских прав):
Ущерб от 100 тыс. до 1 млн рублей - штраф до 200 тыс. рублей или принудительные работы до 2 лет.
Ущерб от 1 млн рублей - лишение свободы до 6 лет.
Совершено группой лиц по предварительному сговору или в особо крупном размере - лишение свободы до 6 лет со штрафом до 500 тыс. рублей.
Реальные дела 2025–2026 годов:
Житель Пензенской области использовал пиратскую программу, нанёс ущерб 4,5 млн рублей - уголовное дело по ч. 3 ст. 146 УК РФ - до 6 лет лишения свободы.
Житель Волгоградской области установил нелицензионную программу, ущерб 1,3 млн рублей. Признал вину. За услуги получил 500 рублей.
Экономия на софте в 30–40 тыс. рублей оборачивается уголовным делом и реальным сроком. Причём пострадать может не только «пират»-установщик, но и руководитель компании, который это допустил и использовал в коммерческой деятельности.
Если у вас в компании хотя бы один компьютер с нелицензионным ПО (Windows, Office, 1С, Photoshop, AutoCAD — любым) — вы в зоне риска. Не «когда-нибудь», а прямо сейчас. Проверка может прийти в любой момент: по заявлению обиженного сотрудника, по жалобе конкурента или в рамках обычной плановой проверки. Дальше — экспертиза, ущерб, правоохранители на пороге.
3. Блокировки интернета и частных виртуальных сетей: вы можете потерять доступ к своим же данным
С апреля 2026 года российские интернет-сервисы начали массово ограничивать доступ для пользователей с виртуальными частными сетями. Маркетплейсы, банки, госпорталы — всё чаще закрывают доступ через обходные сервисы.
Последствия для бизнеса:
Совокупные потери маркетплейсов от ограничений частных виртуальных сетей в апреле 2026 года оцениваются в 7 млрд рублей. Выручка снизилась на 3–30%.
При авторизации в личных кабинетах — сбои, не проходят платежи, не оформляются заказы.
«Слепые зоны»: компания не видит, кто реально заходит на сайт, усложняется защита от мошенников, страдает ценообразование.
Риски для IT-компаний (если вы аккредитованы):
За пропуск трафика через частные виртуальные сети — риск потери IT-аккредитации.
Лишение IT-льгот и отсрочек от армии для сотрудников.
Исключение из реестров, потеря доступа к господдержке.
Если ваши сотрудники работают удалённо, если вы используете облачные сервисы или зарубежное ПО, требующее постоянного подключения — вы уже столкнулись или скоро столкнётесь с тем, что «вдруг перестало работать». Это не технический сбой. Это новая реальность регулирования Рунета.
4. Локальный сервер в офисе: устаревшее железо и отсутствие обновлений
Старый сервер — это не «экономия». Это бомба замедленного действия.
Типичные риски:
Устаревшее, неподдерживаемое ПО (например, Windows Server 2012) — критические уязвимости, которые не закрываются. Один известный эксплойт — и вся сеть скомпрометирована.
Отсутствие резервного копирования по правилу 3-2-1. Физическая поломка одного диска или залив соседей сверху — потеря данных навсегда.
Нет круглосуточного мониторинга (DDoS-атака в 3 часа ночи — и к утру бизнес стоит).
Ручное, нерегулярное обновление ПО.
Реальные кейсы:
Компания потеряла все данные из-за падения единственного сервера. Бэкапы были — но на том же физическом диске (нарушено правило 3-2-1).
DDoS-атака на не защищённый локальный сервер — от 500 тыс. рублей прямых потерь плюс простой и потерянные сделки.
Устаревшая CMS с уязвимым плагином - утечка данных 5 000 клиентов.
Физический сервер в офисе требует:
Покупки оборудования (от 300 до 500 тыс. рублей + замена через 3–4 года)
Лицензий на ПО
Штатного сисадмина или подрядчика
Бесперебойного питания, кондиционирования, пожарной сигнализации
Регулярной замены дисков, памяти, охлаждения
Посчитайте, во сколько реально обходится «свой сервер» с учётом скрытых затрат и простоев. Уверены, что это дешевле облачной аренды?
ИТ-инфраструктура малого бизнеса: не «сэкономить», а «не потерять»
Все перечисленные риски объединяет одна проблема: ИТ-инфраструктура не рассматривается как актив, требующий системного управления. Её воспринимают как «компьютеры, которые сами как-то работают».
Это приводит к:
Утечкам - штрафы, отток клиентов, уголовные дела.
Пиратскому ПО - уголовная ответственность руководителя.
Блокировкам - потеря доступа к клиентам и данным.
Локальному серверу - простои, потеря данных, скрытые расходы.
Что делать собственнику?
Не лезть в настройки маршрутизатора. Не писать сложные политики безопасности. А понять, где ваша компания находится в зоне риска, и принять взвешенное решение.
У нас есть «Аудит ИТ-безопасности и инфраструктуры». Мы не продаём лицензии и железо. Мы проводим комплексную проверку:
Учётные записи и доступы (кто, куда, откуда, когда)
Лицензионность ПО (где есть риски уголовной ответственности)
Система резервного копирования (восстановятся ли данные при сбое)
Обновления и уязвимости (критические дыры)
Схема ИТ-инфраструктуры (понятный документ, а не «в голове у сисадмина»)
Соответствие 152-ФЗ (персональные данные) и новым требованиям с 2025 года
Результат аудита: документ с красными зонами (что горит уже сейчас), жёлтыми зонами (что загорится в ближайшее время) и пошаговым планом устранения рисков.
Мы не запугиваем. Мы даём цифры и факты. А решение о том, что делать с этими рисками, остаётся за вами.
Пишите в личные сообщения «Аудит ИБ» — обсудим объём работ под ваш бизнес.
#владелецбизнеса #управлениебизнесом #самодисциплина #антикризис #бизнесреальность #ит #it