Дверь кабинета распахнулась в три часа ночи. Бледный технический директор, голос дрожит: «Всё. Системы мертвы. Они требуют два миллиона в биткоинах». В голове мелькнула мысль: «Это же фильм какой-то...» Но на мониторах уже мигали красные надписи, а в телефоне зашкаливало количество звонков от клиентов, партнёров, регуляторов.

А когда расследование показало, что хакеры вошли через устаревшую версию WordPress и учётную запись менеджера с правами администратора, он схватился за голову. Не суперхакеры взломали миллиардный бизнес. Его развалили банальные человеческие ошибки и пренебрежение рутиной. Те самые «мелочи», ради которых ИТ-специалисты годами просили внимания.

Кибербезопасность — это ответственность руководства, а не только ИТ-отдела

Для многих руководителей кибербезопасность долгое время остаётся абстрактной статьёй расходов. До первого серьёзного инцидента они воспринимают её как техническую деталь, важную только для ИТ-специалистов, а не как стратегическую бизнес-задачу. Инвестиции в защиту кажутся избыточными — «зачем тратить деньги на то, чего никогда не происходило?»

Но когда атака всё же происходит, цена такой позиции оказывается колоссальной. Компании вынуждены выбирать между выплатой многомиллионных выкупов или полным восстановлением инфраструктуры и репутации. В этот момент становится очевидно, что кибербезопасность — это не просто функция ИТ-отдела, а зона прямой ответственности руководства. Риски здесь измеряются не только в технических терминах, но в финансовых потерях, юридических последствиях и даже угрозе существованию бизнеса.

При этом большинство успешных атак происходят не из-за сложных, неизвестных угроз, а из-за базовых недостатков в защите: незакрытых известных уязвимостей, избыточных прав доступа сотрудников, компрометации учётных данных. Проблема не в отсутствии технологий, а в отсутствии системного подхода и понимания важности безопасности на уровне управленческих решений. Кибербезопасность становится приоритетом только после кризиса, хотя предотвратить его стоило гораздо меньше, чем ликвидировать последствия.

Критические активы компании и их защита  

Первый шаг в обеспечении кибербезопасности определение критических активов. Соберите директоров всех ключевых отделов и задайте им один простой вопрос без каких систем или данных ваш отдел не сможет работать даже в течение 48 часов?

Обычно в список включаются 7–12 позиций, таких как 1С/ERP, CRM с клиентской базой, корпоративная почта, общие папки с финансовыми документами и договорами, доступ к банк-клиенту, рекламные кабинеты и системы управления производством или складом.  

Этот список ядро инфраструктуры: именно вокруг него нужно выстраивать приоритетную защиту, контроль доступов и регламенты. Для каждого критического актива важно понимать не только название системы, но и владельца (ответственный руководитель) и людей, которые реально с ним работают каждый день.

Принцип минимальных привилегий и управление доступом сотрудников  

Принцип минимальных привилегий означает, что сотрудникам предоставляются только те права доступа, которые необходимы для выполнения их работы. Это минимизирует риск несанкционированного доступа к критическим активам и снижает ущерб даже в случае компрометации учётной записи.  

Рядом с каждым активом укажите 3–7 человек, которые действительно работают с ним ежедневно. Всем остальным постоянный доступ закрывается. Создайте роли, привязанные к задачам, а не к «фамилиям»:

  • Бухгалтерия_полный_доступ  

  • Продажи_чтение_клиентов  

  • Маркетинг_рекламные_кабинеты  

Когда новый сотрудник приходит в компанию, его добавляют в соответствующую группу. Когда сотрудник уходит или меняет должность, его удаляют из групп одним действием. Это значительно упрощает управление доступами и снижает риск внутренних утечек. При целенаправленной чистке количество учёток с избыточными правами обычно удаётся сократить в разы всего за одну–две недели.

Политика отказа по умолчанию в кибербезопасности  

Правило «отказ по умолчанию» гласит, что любая новая учётная запись, новое устройство или новый сервис по умолчанию не имеют доступа никуда, пока администратор вручную не разрешит доступ к конкретному ресурсу.  

На практике означает:

  • новая учётная запись создаётся с пустыми правами;  

  • доступ к папкам, системам и сервисам выдаётся только после заявки от руководителя отдела;  

  • новые сервисы и интеграции не видят данные компании, пока им явно не назначены права.  

Старые сервисы переводятся на этот принцип при ближайшем обновлении или переносе. При планомерной работе через 3–4 месяца основная часть инфраструктуры может работать по правилу «отказ по умолчанию» без единого простоя, но с заметным снижением числа «случайных» или забытых доступов.

Разделение обязанностей и принцип четырёх глаз в бизнесе  

Разделение обязанностей означает, что критические операции выполняются минимум двумя людьми: исполнитель и контролёр. Это предотвращает ситуации, когда один сотрудник может совершить крупную ошибку или мошенничество без внешнего контроля.  

  • Платежи свыше 300 тысяч рублей бухгалтер формирует платёж, финансовый директор подтверждает его в банк-клиенте.  

  • Изменение резервных копий только один сотрудник запускает процесс или меняет политику, второй проверяет логи и подтверждает изменения.  

  • Смена прав администратора один вносит изменения, второй утверждает их в установленном порядке.

Внедрение разделения обязанностей можно осуществить за 5–7 дней. Сначала составьте список самых дорогих и рискованных операций, затем назначьте для каждой операции исполнителя и контролёра. Пропишите порядок действий в коротком регламенте на одну страницу и прикрепите его к рабочим инструкциям. После этого протестируйте процесс на безопасном платеже в 100 рублей или тестовом сценарии, чтобы убедиться, что всё работает и не блокирует бизнес.

План кибербезопасности на первые 30 дней для руководителя  

Чтобы быстро улучшить уровень кибербезопасности в компании, разработайте план на первые 30 дней.

День 1–3  

Проведите сессию с директорами отделов (онлайн или оффлайн — 45 минут).  

Задайте ровно один вопрос: «Без чего ваш отдел встанет через 48 часов?»  

Фиксируйте ответы в общей таблице на экране обычно выходит 8–12 строк.

Для каждой строки сразу заполните три графы:  

 1. Владелец актива (кто отвечает за его работоспособность и восстановление).  

 2. Кто реально заходит туда каждый день (имена, не больше 7 человек на строку).  

 3. Кто резервный (на случай отпуска/болезни 1–2 человека).

В тот же день или на следующий закройте всем остальным постоянный доступ к этим ресурсам.  

Никаких исключений «пусть будет на всякий случай» и «я иногда смотрю».  

Если кто-то возмущается направляйте к владельцу актива.

Сохраните таблицу как «Реестр критических активов компании».  

Добавьте графу «Дата последней проверки доступа»  

 Назначьте ответственного за ежегодную пересмотр реестра, дата следующего пересмотра ровно через 12 месяцев.

Теперь у вас есть документ, который сам по себе закрывает половину вопросов любого аудита и даёт чёткую точку отсчёта для всех остальных мер защиты.

День 4–8  

На основе реестра критических активов создайте роли только по задачам.

 Каждому критическому активу назначьте ровно одну роль с нужным уровнем доступа (чтение или полный).  

Если актива в реестре нет автоматом права только «чтение для всех» или вообще ничего.

Перенесите сотрудников в новые роли.

Полная чистка привилегированных групп:  

Domain Admins, Enterprise Admins, локальные администраторы серверов и ключевых компьютеров.

Всех бывших админов переводите в обычные роли.  

Если кто-то кричит «мне нужно для работы» — создаёте отдельную роль с временным доступом и обязательной заявкой.

Внедрите правило: любой новый сотрудник по умолчанию попадает в группу «Только_почта_и_интернет».  

Доступ к реальным данным только после заявки владельца актива и добавления в нужную роль.

Зафиксируйте в реестре критических активов новую графу «Роль доступа» и дату выполнения чистки.

Результат через неделю: количество людей, которые могут одним кликом вынести или сломать компанию, сокращается в 5–10 раз. Большинство внутренних угроз становится физически невозможным.

День 9–12  

Выберите все системы из реестра критических активов, где хранятся деньги, персональные данные клиентов или конфиденциальная информация (почта, банк-клиент, 1С, облачные диски, VPN, CRM, рекламные кабинеты).

В каждой из них принудительно включите второй фактор входа (код из приложения, пуш в телефон или аппаратный ключ).

Никаких исключений для «неудобно» и «я директор». Если система не поддерживает MFA срочно меняете её или ставите промежуточный шлюз с двухфакторкой.

Зафиксируйте в реестре критических активов новую графу «MFA включена» и дату выполнения.

Разошлите всем сотрудникам короткое письмо от имени генерального директора:

«С завтрашнего дня вход в перечисленные системы только с двухфакторной аутентификацией. Кто не настроит доступ будет заблокирован автоматически».

Настройте автоматическую блокировку учётки после 5–7 неудачных попыток ввода кода (чтобы не было брутфорса).

Даже если пароль утек, попал в фишинг или подобрали злоумышленник ничего не сделает. Это мера, которая в одиночку останавливает 60–70 % всех реальных атак на малый и средний бизнес.

День 13–16  

С этого дня любая новая учётная запись сотрудника подрядчика или стажёра создаётся без доступа к общим папкам базам сервисам и внутренним системам. По умолчанию человек получает только почту и интернет.

Новый сотрудник видит нужные ресурсы только после заявки от его руководителя владельца актива из реестра. Форма заявки простая ФИО роль актив срок если временно подпись руководителя. Заявка хранится в общей папке или тикет-системе.

Любое новое устройство ноутбук телефон сервер или IoT подключается к сети без прав на внутренние ресурсы. Доступ выдаётся только по той же заявке и только к указанным активам.

Новые облачные сервисы интеграции и API получают доступ к данным компании только после явного разрешения владельца актива и проверки ИТ. По умолчанию блокировка на уровне файрвола или шлюза.

Добавьте в реестр критических активов графу процесс выдачи доступа и прикрепите шаблон заявки.

Разошлите всем руководителям отделов короткую инструкцию в пять пунктов с сегодняшнего дня новый человек или сервис ничего не видит пока вы лично не подадите заявку. Без вашей подписи доступ не выдаём.

Результат через неделю исчезают забытые учётки подрядчиков временные доступы стажёров и случайные интеграции которые потом становятся дырой на годы. Компания переходит с режима всё открыто пока не закроем на режим всё закрыто пока не откроем сознательно.

День 17–22  

Соберите финансового директора главного бухгалтера и ИТ-директора на 30 минут. Составьте короткий список из 7–12 операций где один человек может вывести большие деньги сломать данные или нарушить работу компании.

Примеры операций

  • Платежи от 300 тысяч рублей

  • Подтверждение крупных договоров

  • Запуск или изменение резервных копий

  • Смена прав доступа и ролей

  • Массовые изменения в 1С или CRM

  • Доступ к рекламным кабинетам с бюджетом

  • Изменение настроек файрвола или VPN

Для каждой строки назначьте двух человек исполнитель готовит или запускает контролёр проверяет и подтверждает. Никто не может сделать операцию в одиночку.

Пропишите порядок в документе на одну страницу название операции исполнитель контролёр что именно проверяет контролёр подпись даты.

Прикрепите этот документ к рабочим инструкциям и разошлите всем участникам от имени генерального директора.

Проведите тесты

Один реальный платёж на 100 рублей бухгалтер формирует финдиректор подтверждает

Один запуск резервной копии один меняет второй проверяет лог

Одно изменение прав один вносит второй утверждает

Если где-то процесс тормозит бизнес упрощайте но не убирайте второго человека.

Добавьте этот документ в реестр критических активов как отдельный лист и отметьте дату выполнения.

Результат через неделю ни один сотрудник даже с украденным паролем и полными правами не может вывести деньги или сломать данные без второго человека. Мошенничество и случайные ошибки становятся почти невозможными.

День 23–27  

Выберите любой доступный сканер уязвимостей (MaxPatrol VM, RedCheck, XSpider или бесплатный OpenVAS). Главное чтобы он умел сканировать только ваш реестр критических активов.

Запустите полный прогон ночью или в выходные строго по списку из реестра (8–12 систем). Утром получите отчёт с цветами красный критические оранжевый высокие жёлтый средние зелёный низкие.

Сфокусируйтесь только на красных и оранжевых. Их обычно 5–25 штук.

Раздайте задачи

  • ИТ-специалисту обновить версии ПО

  • Провайдеру облака включить недостающие настройки

  • Системному администратору закрыть лишние порты

Закрывайте всё красное и оранжевое в течение 2–3 дней. Если что-то нельзя закрыть сразу фиксируйте в реестре причину и срок до конца месяца.

Повторный прогон в конце недели должен показать ноль красных и оранжевых по критическим активам.

Добавьте в реестр графу последняя проверка уязвимостей и дату следующего прогона ровно через квартал.

День 28–30  

Соберите все сделанные за месяц документы

  • Реестр критических активов

  • Список ролей и чистки привилегий

  • Список операций с разделением обязанностей

  • Отчёт последнего прогона сканера уязвимостей

На их основе напишите один регламент на 1–2 страницы под названием «Порядок обеспечения информационной безопасности компании».

  1. Ответственный за безопасность (ФИО и должность, обычно замгендира или ИТ-директор).

  2. Порядок изменения реестра критических активов раз в год или при смене процессов.

  3. Порядок выдачи и отзыва доступа только по заявке владельца актива.

  4. Разделение обязанностей по ключевым операциям ссылка на отдельный лист.

  5. Порядок реагирования на инциденты кто получает уведомление, кто принимает решение, кто фиксирует.

  6. Квартальные обязательные действия прогон сканера, проверка логов, тест восстановления, удаление учёток уволенных.

  7. Дата вступления в силу и подпись генерального директора.

Распечатайте регламент, подпишите у генерального директора и разошлите всем руководителям отделов с пометкой «Обязателен к исполнению».

Скан копию повесьте в общий доступ, оригинал в сейф.

Результат через 30 дней компания перешла из состояния «кто-то что-то делает» в состояние «всё под контролем и зафиксировано».

Культура кибербезопасности в компании и роль руководителя  

Лучше всего работает личный пример руководства. Когда генеральный директор сам включает двухфакторную аутентификацию, не использует простые пароли и публично задаёт вопросы подчинённым, почему у них до сих пор всё по-старому, эффект сильнее любых формальных тренингов.  

Один раз в квартал проводите 10–15-минутное собрание, на котором расскажите об одном реальном случае кибератаки из новостей или отраслевых источников. Покажите, сколько компания потеряла из-за атаки, какие простые меры могли бы это предотвратить, и напомните сотрудникам два базовых правила: всегда использовать двухфакторную аутентификацию и не открывать подозрительные вложения и ссылки в письмах.

Э��ономическая эффективность кибербезопасности для бизнеса  

Месяц работы одного человека (обычно это ИТ-специалист или заместитель по безопасности), который последовательно пройдёт описанные шаги, окупается при первом же предотвращённом инциденте с ущербом в несколько миллионов рублей.

Дальше начинается чистая экономия меньше простоев, меньше аварийного восстановления, меньше штрафов и конфликтов с заказчиками.  

Большинство компаний, которые выстраивают такую базу, затем уже самостоятельно добавляют более продвинутые системы SIEM, DLP, расширенный мониторинг. Но фундамент из первых 30 дней остаётся основой, на которой всё держится годами.

Чек-лист кибербезопасности за 30 дней для руководителя  

☐ Собрал директоров отделов, составил список критических активов (не больше 12 строк)  

☐ Напротив каждой строки указал 3–7 человек, кто реально работает с активом ежедневно  

☐ Закрыл доступ всем остальным сотрудникам к этим активам  

☐ Создал группы по ролям в AD / Яндекс 360 / Google Workspace  

☐ Перенёс всех сотрудников в правильные группы  

☐ Очистил Domain Admins, Enterprise Admins и все остальные привилегированные группы (осталось 1–3 человека максимум)  

☐ Включил MFA (2FA) везде, где есть деньги или персональные данные:  

корпоративная почта  

банк-клиент  

облачные диски (Яндекс, Google, SharePoint)  

VPN  

☐ Настроил создание новых учёток с нулевыми правами (default deny)  

☐ Ввёл обязательную заявку от руководителя отдела для любого нового доступа  

☐ Составил список 7–10 самых опасных операций (платежи от 300 т.р., смена бэкапов, изменение прав и т.д.)  

☐ Назначил для каждой операции исполнителя и контролёра (принцип четырёх глаз)  

☐ Написал регламент на 1 страницу и разослал всем участникам  

☐ Протестировал каждую операцию на реальном платеже 100 рублей или тестовом сценарии  

☐ Установил и запустил сканер уязвимостей (MaxPatrol VM / RedCheck / OpenVAS)  

☐ Исправил все критические и высокие уязвимости  

☐ Написал итоговый регламент безопасности на 1–2 страницы (кто проверяет логи, кто отзывает доступ, кто отвечает за инцидент)  

☐ Подписал регламент у генерального директора  

Раз в квартал (повторяющиеся задачи)  

☐ Прогон сканера уязвимостей по критическим активам  

☐ Проверка логов входов в почту и VPN за 30 дней и блокировка подозрительных стран/устройств  

☐ Удаление учёток уволенных и снижение прав переведённых сотрудников  

☐ Тестовое восстановление одной случайной резервной копии  

☐ 10-минутный разбор свежего кейса атаки на общем собрании  

Через 30 дней вы получите не только более защищённую инфраструктуру, но и документ, который помогает проходить аудит по требованиям заказчиков и законодательства о защите данных.