TL;DRПочему я пишу это

Я работаю директором по цифровой трансформации. И каждый раз, когда собираю бюджет, вижу одну и ту же картину: на ИТ денег мало, на ИБ — ещё меньше. При этом требования растут, угрозы множатся, а формулировка от бизнеса одна: «сделай так, чтобы работало и не ломалось».

Как и многие я ищу идеальную формулу: минимум вложений → максимум защиты. Не «купить всё и сразу», не «внедрить SOC за 10 миллионов», а именно базовую базу по ИТ и ИБ, которая закрывает 80% рисков и не требует армии сотрудников для ее поддержания.

Эта статья — про то, как за разумные деньги выстроить защиту основывая на собственных ошибках и опыте. С цифрами, с инструментами, с калькулятором.

ИБ‑гигиена — это не SOC, не «киберщит» и не магический короб. Это несколько приземлённых вещей: MFA, антивирус, бэкапы, ролевая модель и обучение людей. Всё это стоит сильно дешевле одного серьёзного инцидента.

Кейc: «мы же не банк»

Частная компания, около 200 человек, производство.
Увольняется менеджер по продажам. Спокойно, без конфликтов, «по собственному».

Через три недели всплывает:

  • унес полную клиентскую базу;

  • историю сделок за пять лет;

  • ценовую политику.

Скопировал на флешку в последний рабочий день. Мог, потому что:

  • ролевой модели нет — доступ выдавался «по наследству»;

  • логин работал ещё неделю — блокировка при увольнении как процесс отсутствует;

  • DLP нет, «мы же не банк».

Конкурент получил базу раньше, чем внутри вообще поняли, что что‑то случилось.
Прямые цифры никто не озвучивал, но за пару месяцев несколько ключевых клиентов «вдруг» ушли. А чтобы вы понимали в этом бизнесе 9% клиентов генерят 80% выручки...

Это не «хакеры», не «APT».
Это обычная халатность, которую можно было закрыть за несколько недель и сотни тысяч, а не десятки миллионов.

Почему именно сейчас

Средний бизнес (50–500 человек) оказался в самой неприятной зоне:

  • у малого — мало данных, мало интереса;

  • у крупного — бюджеты и свои безопасники;

  • у среднего — данных уже много, защиты всё ещё почти нет.

Типичная картина по деньгам:

  • на ИБ уходит условные «20–30 тысяч в месяц», меньше зарплаты одного джуна;

  • один инцидент с шифровальщиком или утечкой базы легко вылезает на порядок дороже.

Если взять компанию человек на 300 с выручкой в несколько миллиардов, то:

  • простой на несколько рабочих дней;

  • падение производительности;

  • восстановление ИТ;

  • юристы и уведомления;

  • штраф по 152‑ФЗ;

  • плюс репутационные потери и отток клиентов —

в сумме дают вполне реальные сотни миллионов за один эпизод.
А базовая ИБ‑гигиена той же компании в год — заметно меньше десятка миллионов.

Калькулятор: посчитать ИБ риск «в деньгах»

Чтобы это было не на уровне ощущений, а в цифрах, можно использовать простой калькулятор в Google Sheets: туда подставляются свои значения — выручка, размер компании, примерная стоимость простоя, восстановления, штрафов и репутационных потерь. В ответ он считает:

  • ожидаемые годовые потери от инцидентов при заданной вероятности;

  • стоимость базовой ИБ‑гигиены;

  • ROI от вложений в защиту и срок окупаемости.


Калькулятор стоимости инцидента и ROI ИБ‑гигиены — копируйте себе на диск для изменений цифр
Калькулятор

Там два режима:

  • простой — для собственника/директора: несколько полей, без погружения в детали;

  • детальный — с разбивкой по статьям расходов (простой, восстановление, юристы, штрафы, репутация) и по категориям защиты.

Практика показывает: если подставить честные числа, у большинства компаний от 200–300 человек ROI базовой ИБ‑гигиены оказывается положительным, а окупаемость — в районе нескольких месяцев, а не лет.

Гигиена — это не SOC

Тут эти два слова часто стоят рядом, поэтому полезно развести ожидания.

ИБ‑гигиена — это:

  • антивирус/EDR на рабочих станциях;

  • двухфакторка на всём внешнем периметре;

  • нормальные пароли и менеджер паролей;

  • вменяемые бэкапы, которые реально восстанавливаются;

  • минимальная ролевая модель и правильный процесс при увольнении;

  • регулярное обучение и фишинг‑симуляции.

То есть та самая «мыть руки и делать прививки».
Не спасает от всего, но убирает 70–80% типовых проблем.

SOC — это:

  • круглосуточный мониторинг;

  • люди, которые смотрят в логи и понимают, что там происходит;

  • серьёзный SIEM;

  • охота за сложными атаками;

  • автоматизация реагирования.

Внутренний SOC для среднего бизнеса — это уже совсем другие бюджеты и обязательства.
Для большинства компаний до 500 человек честный ответ один:
сначала наведите порядок.
Денежный и технический порог входа — на порядок ниже, эффект — на порядок выше.

Что считать «ИБ‑гигиеной» в 2026

Если выжать из чек‑листов и продуктовых списков лишнее, остаётся десять категорий, без которых всё остальное теряет смысл.

Защита рабочих станций (антивирус + поведение)

Современные угрозы — это не «вирусы из нулевых», а шифровальщики и трояны, живущие в сети неделями.
Минимальный уровень:

  • антивирус с актуальными базами;

  • поведенческий анализ на рабочих станциях;

  • централизованное управление политиками.

  • Принцип минимальных привилегий у пользователя

Защита почты, мессенджера (если есть корпоративный) и антифишинг

Большинство атак начинается с письма.

Что нужно:

  • фильтрация на стороне почтового сервера;

  • защита на рабочих станциях;

  • отказ от идеи «каждый сам отвечает за то, куда он кликает».

Сетевой периметр и NGFW

История «нам хватает Windows Firewall» обычно заканчивается плохо.

Базовый набор:

  • межсетевой экран на границе;

  • инспекция трафика;

  • хотя бы минимальный IPS/IDS;

  • фильтрация «совсем лишних» сайтов и протоколов.

Двухфакторка и управление доступами (MFA / IAM / PAM)

Слабые и утекшие пароли — причина огромной доли инцидентов.

Задачи:

  • включить MFA везде, где это возможно: почта, VPN, RDP, порталы;

  • выстроить и внедрить ролевую модель: кому что реально нужно;

  • сделать отключение аккаунтов «одной точкой» (уволили — доступ везде закрылся) - интегрируйте AD и ЗУП чтобы при увольнении ИТ не забывали блокировать УЗ;

  • отдельно контролировать привилегированные учётки и подрядчиков.

Именно наличия такой модели не было в кейсе из начала статьи.

Резервное копирование с проверкой восстановления

Правило, которое слышали все, но соблюдают не все: 3‑2‑1.
Три копии, два разных типа носителей, одна вне периметра.

Плюс:

  • регулярные тесты восстановления;

  • понятные RTO/RPO — через сколько и до какого состояния вы готовы подниматься;

  • отдельный сценарий на случай шифровальщика.

Бэкап без проверенного восстановления — не бэкап.

Сбор логов и базовый мониторинг

Логи, лежащие по серверам «на всякий случай», мало помогают.

Нужен хотя бы:

  • один центр, куда всё стекается;

  • минимальные корреляции и алерты;

  • понимание, кто смотрит в эти алерты и что делает дальше.

Даже лёгкий локальный стек уже огромный шаг от «узнали через неделю, потому что всё упало».

Управление уязвимостями

Сканирование раз в квартал даёт простую картинку:
что у вас не пропатчено и где дыры.

Типичный сценарий:

  • разворачиваем сканер;

  • прогоняем сеть и ключевые сервисы;

  • делаем список критичных уязвимостей;

  • планируем закрытие по приоритету.

Зачастую этого одного шага хватает, чтобы убрать половину «легких входов».

DLP — защита от утечек

Два сценария:

  • данные утекают случайно (не туда отправили, не туда прикрепили);

  • данные утекают намеренно (как в нашем кейсе).

DLP закрывает оба, но даже без тяжёлой системы можно:

  • ограничить использование внешних носителей;

  • включить аудит отправки критичных файлов;

  • прописать понятные правила, за что будет «больно».

Именно DLP или хотя бы контроль USB остановил бы флешку с базой из начала статьи.

9. Ролевая модель и блокировка УЗ при увольнении как процесс

Без этого всё остальное работает наполовину.

Минимум:

  • роли в домене (AD/LDAP): не «доступ всем», а набор ролей;

  • раз в квартал — ревью прав: кто чем реально пользуется;

  • чеклист при увольнении: доступы, токены, ключи, внешние сервисы + автоматизация как писал выше.

Отсутствие ролевой модели легко обнуляет любые вложения в антивирусы и NGFW.

Обучение и фишинг‑симуляции

74% инцидентов так или иначе включают человеческий фактор.

Что работает:

  • не годовой «онлайн‑курс ради галочки», а короткие точечные обучения;

  • регулярные фишинг‑кампании с разбором;

  • живые кейсы из собственной практики — как раз тот самый менеджер с флешкой.

Деньги: дешевле, чем один «пожар»

Если сильно упростить модель:

  • базовая гигиена для компании 200–300 человек — это несколько миллионов в год (лицензии + человеко‑часы на внедрение и сопровождение);

  • один серьёзный инцидент — десятки миллионов прямых расходов и ещё больше косвенных: упущенная прибыль, отток клиентов, задержка проектов.

Калькулятор выше как раз про это: при честных вводных для компаний от 200–300 человек:

  • ожидаемые годовые потери без защиты — выше, чем затраты на гигиену;

  • ROI вложений в базовую безопасность — положительный;

  • окупаемость — месяцы, а не годы.

Для компаний на 50–100 человек цифры будут скромнее, но и там профилактика редко оказывается дороже реального инцидента — особенно если учитывать репутацию и уход клиентов, а не только штрафы и восстановление серверов.

С чего начать, если пока «ничего нет»

Если сейчас у вас «антивирус стоит, остальное — по настроению», разумный старт может выглядеть так:

  1. Включить двухфакторку
    На корпоративную почту, VPN, удалённый доступ, порталы. Это можно сделать за несколько дней.

  2. Проверить бэкапы
    Не отчёты, а реальное тестовое восстановление: поднять систему из копии и убедиться, что оно правда работает.

  3. Запустить тестовый фишинг
    Любым доступным инструментом. Результаты почти всегда отрезвляют и помогают объяснить руководству, зачем нужно обучение.

  4. Начать описывать ролевую модель и соответствующие процессы
    Это уже не «пара недель», а месяцы: ревизия прав, единый логин, чеклисты, интеграции. Но без этого всё остальное будет работать вполсилы.

Когда гигиены уже мало

ИБ‑гигиена не отменяет SOC, она к нему подводит.

Коротко, когда пора говорить про следующий уровень:

  • событий и алертов стало столько, что их физически некому разбирать;

  • вы работаете с большими объёмами персональных данных или попадаете в КИИ;

  • инциденты происходят даже при нормальной гигиене;

  • регулятор прямо требует мониторинг 24/7.

До этого момента вкладываться в красивый SOC поверх дырявой инфраструктуры — примерно как ставить дорогую сигнализацию в дом без дверей.

Вместо вывода

Средний бизнес в 2026 году — идеальная цель:
данных уже много, защиты всё ещё мало.

История в начале могла закончиться куда хуже.
Компания выжила, переписала процессы, подтянула ИБ. Но заплатила за это уже по постфактум‑тарифу.

Профилактика почти всегда дешевле. Вопрос только в том, сколько инцидентов нужно компании, чтобы это признать — и сколько нулей она готова увидеть справа от суммы в собственном калькуляторе.