Сайт под прицелом: три эффективных способа защитить от взлома малый бизнес

Рассказывает Денис Прохорчик, директор направления по развитию бизнеса облачных продуктов Positive Technologies.

Многие небольшие компании до сих пор не уделяют внимание информационной безопасности, полагая, что их бизнес не представляет интереса для киберпреступности. 

По нашим данным, менее трети малых и средних предприятий (МСП) внедряют системы класса WAF (web application firewall) — базовое решение для защиты веб-приложений или, попросту говоря, сайтов. Такую беспечность можно понять: в публичном пространстве редко встречаются сообщения о взломах ресурсов МСП. В результате владелец небольшого бизнеса осознает реальность киберугроз лишь постфактум — после того, как сам становится жертвой атаки.

Почему и как хакеры атакуют МСП

Хакеры атакуют организации любого масштаба. Только за последний год под удар попали, например, хостинг-провайдер ESTT, сети кофеен Cofix и ресторанов «Много лосося», онлайн-магазины и другие малые и средние компании. В 2025 году на сектор МСП пришлось 81% всех кибератак, и его доля по-прежнему высока. 

Некоторые инциденты становятся достоянием общественности лишь потому, что затрагивают крупные организации или выглядят курьезно — как, например, дефейс сайта тульского трогательного зоопарка. Но куда чаще такие взломы и утечки остаются в тени: реальный масштаб оборота данных малоизвестных компаний на теневых форумах сложно оценить, как и суммы, которые предприниматели выплачивают за возврат доступа к своим же системам.

По данным аналитиков Positive Technologies, в 60% векторов получения доступа во внутренние сети организации эксплуатировались именно уязвимости веб-приложений. Эксперты отмечают особую уязвимость сайтов на CMS «1С-Битрикс» – это опасно для малого и среднего бизнеса, учитывая, что «1С-Битрикс» — популярная платформа среди российских МСП: ее использует каждый третий интернет-магазин в стране.


@Freepik (лицензия INV-C-2024-8250540)

Для бизнеса в e-com веб-приложение — жизненно важный канал привлечения клиентов: чем выше трафик, тем больше клиентов и тем успешнее компания. Предприниматели активно инвестируют в видимость — используют контекстную рекламу, SEO-продвижение, баннеры. Но вместе с целевой аудиторией они привлекают и внимание злоумышленников. 

При этом, чтобы стать мишенью, не нужны большие масштабы: достаточно того, что сайт генерирует стабильный трафик и важен для владельца. Ведь чем ценнее ресурс для бизнеса, тем выше вероятность, что владелец заплатит за восстановление доступа или предотвращение утечки данных. Организации торговли занимают второе место среди атакуемых финансово мотивированными группировками отраслей. 

Злоумышленнику не составит большого труда идентифицировать топ-5000 самых посещаемых сайтов Рунета, исключить первые 2000 ресурсов, принадлежащие, как правило, крупным корпорациям с надежной защитой, и сфокусироваться на оставшихся. С помощью автоматизированных скриптов он может за считанные часы просканировать на уязвимости тысячи сайтов. Любой слабозащищенный ресурс превращается из объекта анализа в жертву.

Даже если конкретный сайт не представляет интереса для первоначального киберпреступника, он может стать мишенью для других, приобретших украденные данные в даркнете.

---

Читайте также: Не аудит, а учебная тревога: как проверить компанию на прочность в условиях «кибервойны»

---

Убытки, штрафы и удар по имиджу

Последствия атаки на веб-приложение можно условно разделить на три типа — моментальные, среднесрочные и имиджевые.

Моментальные. Когда атака ограничивается веб-уровнем, типичный сценарий включает критические сбои или даже полную блокировку приложения. На практике это выглядит так: в одном из случаев злоумышленник парализовал ключевую функцию интернет-магазина — добавление товаров в корзину, параллельно массово оформляя фиктивные заказы. Пять часов простоя обернулись потерей 70% дневной выручки. 

В пиковый сезон (например, в «черную пятницу») последствия могли быть просто катастрофическими. Особенно тревожно, что подобные атаки часто оказываются «ученическими проектами» начинающих хакеров: слабозащищенные ресурсы МСП становятся для них тренировочными полигонами. То, что в хакерском комьюнити воспринимается как тренировка и способ повысить свой статус, для бизнеса означает вполне реальные убытки, иногда ставящие под угрозу само существование компании.


@Freepik (лицензия INV-C-2024-8250540)

Злоумышленник может проникнуть вглубь ИТ-инфраструктуры. В этом случае возникает новая угроза: шифрование критически важных файлов или даже всей системы. Киберпреступники таким образом парализуют ключевые бизнес-процессы, требуя за восстановление данных выкуп. При этом даже после выплаты нет гарантий возврата информации. Согласно отчету Verizon за 2025 год, в 88% инцидентов безопасности, затрагивающих малый и средний бизнес, присутствовало вымогательское ПО. 

По данным Positive Technologies, в 2024-2025 годах значительно выросла доля успешных атак на организации с использованием шифровальщика и требованием выкупа за расшифровку данных – с 25% до 35%. Эта тревожная динамика подтверждается и недавним опросом специалистов ИТ и ИБ из более чем 100 российских средних и крупных предприятий: 64% респондентов назвали вирусы-шифровальщики наиболее актуальной киберугрозой сегодня.

Среднесрочные. Еще одно распространенное последствие кибератак — утечка информации: во II половине 2024 года к этому привели 56% всех успешных атак на организации. С 30 мая 2025 года в силу вступил закон об усилении ответственности за утечку персональных данных. Согласно новым нормам, штрафы для юрлиц теперь составляют: 3-5 млн рублей при утечке данных 1-10 тыс. человек, 5-10 млн при 10-100 тыс. пострадавших, до 15 млн при компрометации информации более 100 тыс. человек.

Помимо прямых штрафов, утечка клиентской базы наносит скрытый, но не менее разрушительный удар по бизнесу. Компрометация данных часто остается незамеченной, пока конкуренты не начнут активно переманивать клиентов, используя украденную информацию. 

Имиджевые. Взлом веб-приложения часто приводит к дефейсу — подмене контента сайта на провокационные баннеры или сообщения. Для большинства интернет-магазинов, частных клиник, детских образовательных платформ или новостных порталов такие инциденты наносят серьезный удар по репутации. Клиенты вряд ли будут доверять компаниям, неспособным защитить даже собственный сайт, особенно когда речь идет о персональных данных, здоровье или безопасности детей. 


@Freepik (лицензия INV-C-2024-8250540)

Мал, да удал: как защитить компанию 

Защитить веб-приложение можно без больших затрат и привлечения новых специалистов. Вот три простых, но эффективных рекомендации:

1. Соблюдайте базовые правила кибергигиены:

■ Настройте для сайта защищенное HTTPS-подключение. Это не только защитит передаваемые данные от перехвата, но и улучшит позиции сайта в поисковых системах.

■ Регулярно обновляйте все компоненты веб-приложения, чтобы закрывать известные уязвимости. Если вы используете хостинг или облачные сервисы, убедитесь, что поставщик услуги уделяет внимание безопасности своей инфраструктуры. Также важно требовать от разработчиков соблюдения практик безопасной разработки.

■ Настройте постоянный мониторинг доступности сайта, его производительности и несанкционированных изменений. Это позволит оперативно выявлять и устранять проблемы до того, как они повлияют на пользователей и бизнес-процессы.

■ Внедрите строгую политику паролей: используйте не менее 12 символов, включая заглавные и строчные буквы, цифры и специальные знаки. Помните: пароль даже из 8 символов можно взломать за 12 минут, а простые комбинации — почти мгновенно.

2. Используйте WAF — межсетевой экран для защиты приложений. Этот инструмент безопасности блокирует подозрительный трафик подобно тому, как водяной фильтр задерживает вредные примеси. Как правило, WAF — коммерческий продукт, но его стоимость полностью окупается профилактикой атак. Выгоднее сегодня использовать WAF, чем завтра устранять последствия атак на веб-ресурс. 

Современные облачные WAF-решения вроде PT Cloud AF работают по подписке с фиксированной платой, не требуя покупки оборудования или штатных специалистов ИБ — аналогично тому, как малый бизнес использует курьерские сервисы.

Сейчас доступна скидка 10% на подключение PT AF Cloud по подписке — усиляйте защиту веба до взлома, а не после него. Успейте воспользоваться предложением до 15 февраля! 

Перейдите на страницу продукта и зафиксируйте защиту бизнеса заранее. 

3. Внедрите защиту от ботов и DDoS-атак, чтобы отсекать нецелевой трафик. Паразитные запросы не просто расходуют серверные ресурсы, но и снижают конверсию, заставляя реальных клиентов ждать, а также бесполезно сжигают рекламный бюджет. Современные облачные решения эффективно фильтруют такой трафик, сохраняя доступность сервиса для пользователей.

Соблюдение этих рекомендаций — особенно в комплексе — значительно повысит безопасность компании. Все затраченные ресурсы окупятся уже при первом предотвращенном взломе, сохранив не только ценные данные и финансовые средства, но и репутацию компании.

Денис Прохорчик, 
директор направления по развитию бизнеса 
облачных продуктов Positive Technologies.

Для NEW RETAIL