Аудит 47 IoT-устройств в офисе: реверс прошивки ESP8266-розеток и сегментация VLAN

Как-то раз к нам обратилась одна торговая компания — у них 32 рабочих места, сидят в ЮВАО, торгуют инструментом оптом. Их финдиректор, наткнувшись на статью на Хабре о реверсе ESP-устройств, забеспокоился: «В офисе стоят 14 умных розеток какого-то непонятного бренда. Можете глянуть, не передают ли они чего-то лишнего наружу?» Ну, конечно, мы взялись за дело! А заодно предложили провести полный аудит всех IoT-устройств. Оказалось, их там не 14, а целых 47! В итоге мы выявили C2-адрес, который вел прямиком в Гонконг. Сейчас расскажу вам эту историю, шаг за шагом, и покажу, какой инструментарий использовали.

День 1: инвентаризация — что вообще есть в сети

Начинаю любой IoT-аудит всегда с одного: нужно понять, что вообще «живёт» в корпоративной сети. Для этого у меня есть три шага, которые я запускаю параллельно. Сначала разговариваю с админом. Потом сканирую сеть. И, конечно, сам обхожу весь офис.

Админ назвал мне список: 32 ПК, 12 камер Hikvision, пара NAS Synology, 8 принтеров Kyocera, 7 SIP-телефонов Yealink, роутер MikroTik, NVR-сервер и две точки доступа Wi-Fi. Всего, говорит, 65 устройств. Но мы же знаем, как это бывает в реальной жизни, верно? Корпоративная сеть — это всегда сюрпризы: кто-то притащит что-то из дома, кто-то купит на маркетплейсе и просто воткнёт в розетку. Всегда найдётся больше!

После разговора я сразу же приступил к сетевому сканированию, вооружившись masscan и nmap. Мой стартовый ход? Быстрый проход по всем IP-адресам, чтобы понять, что вообще отзывается.

# masscan быстро находит живые хосты
masscan 10.10.10.0/24 -p1-65535 --rate=10000 -oG /tmp/scan-fast.txt

# nmap детально по найденным IP
nmap -sV -O -A -p- -iL /tmp/scan-fast-hosts.txt -oA /tmp/nmap-full

# отдельно — Wi-Fi сегмент
iw dev wlan0 scan | grep -E "BSS|SSID|signal" > /tmp/wifi-survey.txt

Итог сканирования: 88 активных хостов в локальной сети. Вычитаем 32 ПК, роутер, точки доступа — остаётся 53 «не-ПК» устройства. Привычные принтеры, камеры, NAS заняли 26 из них. А вот 27 устройств остались совершенно непонятными. И это, поверьте, всегда самое захватывающее.

Физический обход офиса

Закончив сканирование, я тут же отправился на личный обход — прошёл по офису и складу. Да, это может казаться старомодным, но на практике такой метод даёт в разы больше информации, чем любая, даже самая продвинутая, утилита. Что обнаружил? На складе нашлись 14 розеток «Smart Plug NoName Plus», чисто китайские, с этими характерными розовыми светодиодами. В кабинетах руководителей — 4 умных термостата Tuya BHT-002. Ещё две USB-Wi-Fi веб-камеры Logitech. В серверной лежал Raspberry Pi 4 — админ потом сказал, что это для мониторинга температуры. И самая странность: за окном висел уличный погодный сенсор Aqara. Я до сих пор не знаю, зачем он там.

Итак, что мы выяснили про эти 22 устройства, которые нашли вне списка? Четыре из них принадлежали руководителям — те самые термостаты. Ещё 14 розеток оказались корпоративными: их установили примерно год назад для удалённого управления оргтехникой. А вот остальные четыре? Чисто личные вещи сотрудников! Это Raspberry Pi админа, та самая Aqara, которую просто воткнули и забыли, и две Logitech, лежащие на столе у одного из менеджеров.

И вот тут, пожалуй, мы столкнулись с самым неприятным открытием: четыре устройства, о которых админ компании вообще не догадывался! Просто вдумайтесь: они все подключены к корпоративному Wi-Fi, используя обычный пароль сотрудника. И что самое тревожное — их IP-адреса находятся в той же сети, что и у бухгалтерских ПК. Это же чистой воды теневая IT, прямо по учебнику!

День 2: проверка обновлений и базовых уязвимостей

На второй день мы занялись каждым устройством из нашего списка вплотную. Что проверяли? Версию прошивки — можно ли обновить? Стоят ли дефолтные пароли? А что насчёт открытых портов? И, конечно, искали известные CVE.

Теперь о камерах Hikvision DS-2CD2143. Их оказалось 12 штук, стояли на складе и по всему периметру офиса. Прошивка? V5.5.5_build_200120 — это же древность, версия 2020 года! Представьте, с того момента для неё вышло аж 4 серьёзных CVE от Hikvision, включая CVE-2022-28171, которая даёт RCE через ONVIF. И это ещё не всё: telnet (23/TCP) был открыт и работал без пароля. Ну а логин с паролем? Само собой, admin/12345.

Это же просто кошмар! Если бы злоумышленник узнал внешний IP офиса и обнаружил эти камеры, всего через час он бы полностью контролировал NVR-сервер. А оттуда — уже почти открытый путь в локальную сеть! Наш план действий: срочно обновить прошивки до V5.7.8, поменять все пароли, отключить telnet. И обязательно поместить камеры в отдельный VLAN, полностью запретив им доступ в интернет, кроме как к NVR-серверу.

Дальше — наши NAS Synology DS220+. Их два: один для бухгалтерии, другой как общее хранилище. На них стояла DSM 7.0.1, хотя уже давным-давно есть DSM 7.2.2. Мы нашли несколько CVE: не критичные, да, но это всё равно устаревшие дыры, которые могут аукнуться. И что самое страшное? Их веб-интерфейс был открыт наружу через NAT! Это просто вопиющее нарушение безопасности. Что делать? Обновить DSM, немедленно закрыть внешний доступ к интерфейсу и разрешить подключение только через VPN.

А вот принтеры Kyocera M2540dn — их целых 8. Прошивка у них была свежая, тут вопросов нет, обновлений не нашли. Но какой же сюрприз? На каждом принтере стоял стандартный пароль «admin»! Это, мягко говоря, совсем неприемлемо. Плюс к этому, SNMP-community оставалось «public». Наши рекомендации? Срочно поменять все пароли, изменить или полностью отключить SNMP-community. И главное: ни в коем случае не выставлять эти устройства наружу!

Переходим к SIP-телефонам Yealink T31P — их мы насчитали 7 штук. Прошивка 124.86.0.30 оказалась довольно свежей, почти актуальной. Telnet и SSH были надёжно закрыты, а веб-интерфейс защищён изменённым паролем. Здесь админ прямо постарался, эти устройства настроены практически образцово! Единственный нюанс, который мы всё же обнаружили, — это отсутствие VLAN-сегментации.

И наконец, термостаты Tuya BHT-002 — их было 4 штуки. Прошивка стандартная: Tuya WB3S. Мы провели перехват пакетов и выяснили: каждые 5 минут термостаты подключаются к tuya.ai-cloud.com. Это ожидаемо, их родной управляющий сервер Tuya. Но вот что странно: раз в час они отправляли пакеты на какой-то адрес в Сингапуре, который мы так и не смогли идентифицировать. Можем ли мы с уверенностью заявить об утечке данных? Нет. Возможно, это просто какая-то статистика для производителя. Но сам факт, честно говоря, очень настораживает.

День 3: реверс прошивки розеток ESP8266

Знаете, что стало настоящей изюминкой нашего аудита? Третий день. Именно тогда мы наткнулись на 14 китайских розеток NoName Plus. Купленные админом в 2024 году через Wildberries, всего по 380 ₽ за штуку. Раньше ими управляли через приложение «SmartLife» от Tuya. Но примерно месяц назад эти розетки просто перестали отзываться на любые команды. Админ тогда подумал, что, мол, облако Tuya обновилось, и старые устройства из-за этого «отвалились».

Мы начали сканировать эти розетки и тут же поняли: они, оказывается, очень активно болтают с интернетом! Представьте, открытый порт 8443/TCP. А ещё по MAC-префиксу Espressif стало ясно, что прошивка крутится на ESP8266. Что делать? Мы решили не гадать. Просто взяли одну из таких розеток, разобрали её и сняли дамп прошивки.

Дамп прошивки через esptool

Что внутри? Стандарт: плата ESP8266 с модулем ESP-12F, реле и ZMPT101B для измерения тока. Чтобы получить прошивку, я запаял пин GPIO0 на землю — это включает режим программирования. Затем подключил USB-UART CP2102 к GPIO1/3 (TX/RX) и подал питание 3.3В. Вот какую команду использовал для дампа:

esptool.py --port /dev/ttyUSB0 --baud 115200 \
    read_flash 0x0 0x400000 dump-socket1.bin

# Connecting......
# Detected ESP8266
# Reading 4194304 bytes at 0x00000000 to dump-socket1.bin... 100%
# Saved dump-socket1.bin

# проверка структуры
file dump-socket1.bin
# dump-socket1.bin: data
binwalk dump-socket1.bin
# DECIMAL HEX        DESCRIPTION
# 0       0x0        ESP8266 bootloader
# 4096    0x1000     ESP8266 firmware partition 0
# 1048576 0x100000   ESP8266 firmware partition 1  (OTA)
# 2031616 0x1F0000   SDK config region
# 2097152 0x200000   SPIFFS filesystem
binwalk -e dump-socket1.bin
# Extracted firmware partitions to _dump-socket1.bin.extracted/

С помощью esptool spi_flash dump и mkspiffs я извлёк файловую систему SPIFFS. И что же мы там нашли? Три JSON-файла с настройками, скрипт автозапуска... Но самое ужасное — наш офисный Wi-Fi-пароль! Он был прошит в открытом виде. Это уже серьёзные грабли, как говорится. Ну и, конечно, сам main_app.bin в формате ESP8266 ELF.

Итак, main_app.bin отправился в Ghidra, где я использовал плагин ghidra-xtensa. Начался статический анализ. Что я искал? Слова вроде tuya, http, mqtt, hongkong, telnet, password, post. И вот что интересно: среди кучи всего остального, мне попались две строки, которые сразу привлекли наше внимание:

// фрагменты из main_app.bin через Ghidra
// строки в .rodata
0x40246218: "https://%s/api/v1/heartbeat"
0x4024623c: "43.128.X.X"     <-- IP в Гонконге
0x40246250: "POST"
0x40246264: "{\"uuid\":\"%s\",\"ver\":\"1.2.7\",\"act\":\"%s\"}"

// функция, обращающаяся к этой строке
void FUN_4020a3c8(void) {
    snprintf(buf, 256, "https://%s/api/v1/heartbeat", "43.128.X.X");
    http_post(buf, json_body);
    parse_response(resp);   // вызывает eval_command
}

Что это значит? Каждые 4 часа прошивка отправляет HTTPS-запрос на IP-адрес в Гонконге (43.128.X.X, AS Tencent). При этом передаёт UUID устройства и данные о его текущей активности. В ответ приходит JSON, который розетка парсит, и там есть поле 'act' с 'командами'. Мы не успели до конца понять, какие именно команды поддерживаются, но код функции eval_command занимал более 200 строк ассемблера! Это настораживает. Мы подозреваем, что такая розетка вполне могла бы выполнить команду вроде «передать настройки Wi-Fi» или даже «передать список устройств в сети».

Что мы решили делать с этой находкой

Что мы сделали первым делом? Конечно, выдернули из сети все 14 этих розеток! К счастью, паника не началась, и бухгалтерия не пострадала, ведь эти устройства управляли лишь некритичными вещами: вентиляторами, лампами в коридоре, да чайником. Уже к концу дня мы убрали все эти «зомби-розетки». Мы даже выкупили их обратно, заплатив 5 600 ₽ через Wildberries, и тут же заменили на новые, от проверенного российского бренда Rubetek.

Дальше, конечно, последовал детальный анализ: нужно было понять, что вообще могло утечь. Как мы выяснили, розетки могли видеть MAC-адреса других устройств в сети (через ARP), «подсматривали» DNS-запросы. Теоретически они вполне могли бы устроить ARP-poisoning. Но, слава богу, доказательств активной атаки мы так и не нашли. Судя по логам MikroTik за весь прошлый год, никаких подозрительных исходящих соединений из нашей сети не было. Тем не менее, сам факт наличия у этих устройств C2-связи — это, согласитесь, уже крайне скверно.

Мы, конечно же, сразу сообщили в админскую базу, написали финдиректору в чат. И знаете, что? Там было принято твёрдое, бесповоротное решение: с этого дня никаких безымянных IoT-устройств в офисе! Только проверенные бренды, и всё это — строго в отдельной VLAN.

День 4: проектирование VLAN и фильтрация

Четвёртый день аудита был полностью посвящён делу: мы уже вовсю проектировали и внедряли VLAN-сегментацию. К счастью, у клиента установлено серьёзное оборудование: роутер MikroTik CCR2004-16G-2S+ и два управляемых коммутатора Mikrotik CRS328-24P-4S+RM. А это, как вы понимаете, даёт нам нативную поддержку 802.1Q VLAN. Очень удобно!

Как мы разбили сеть? На 4 VLAN-а. Давайте по порядку. **VLAN 10 (10.10.10.0/24)** — это наша офисная сеть. Здесь собраны все ПК, принтеры и рабочие WiFi-устройства. Мы назвали её «доверенной зоной». **VLAN 20 (10.10.20.0/24)** — специально для CCTV+NVR. Сюда переехали 12 камер Hikvision и NVR-сервер. Для этой VLAN мы вообще запретили весь исходящий трафик в интернет. Остался только внутренний обмен между камерами и NVR — ничего лишнего. **VLAN 30 (10.10.30.0/24)** — это зона NAS+VoIP. Здесь у нас два NAS Synology, 7 SIP-телефонов Yealink, и даже место под SBC, если бы он понадобился. Доступ в интернет тут тоже строго ограничен: NAS разрешено выходить только для бэкап-сервисов, а телефоны — исключительно до SIP-провайдера. И наконец, **VLAN 40 (10.10.40.0/24)** — это наш IoT-untrust сегмент. Сюда попали термостаты, все «умные» устройства, и, конечно, гостевой Wi-Fi. Эта зона полностью изолирована от всех остальных VLAN. Доступ в интернет разрешён, но, внимание, только на те домены, которые мы прописали в DNS-фильтре MikroTik.

/interface/vlan
add disabled=no interface=ether1 name=vlan10-office vlan-id=10
add disabled=no interface=ether1 name=vlan20-cctv vlan-id=20
add disabled=no interface=ether1 name=vlan30-nas vlan-id=30
add disabled=no interface=ether1 name=vlan40-iot vlan-id=40

/ip/address
add address=10.10.10.1/24 interface=vlan10-office
add address=10.10.20.1/24 interface=vlan20-cctv
add address=10.10.30.1/24 interface=vlan30-nas
add address=10.10.40.1/24 interface=vlan40-iot

/ip/firewall/filter
# офисный VLAN — полный доступ
add chain=forward in-interface=vlan10-office action=accept

# CCTV — только до NVR в своём VLAN
add chain=forward in-interface=vlan20-cctv \
    src-address=10.10.20.0/24 dst-address=10.10.20.10 action=accept
add chain=forward in-interface=vlan20-cctv action=drop comment="cctv-isolate"

# NAS+VoIP — только бэкап-сервисы и SIP-провайдер
add chain=forward in-interface=vlan30-nas \
    dst-address-list=approved-backup-targets action=accept
add chain=forward in-interface=vlan30-nas \
    dst-address-list=sip-provider action=accept
add chain=forward in-interface=vlan30-nas action=drop comment="nas-voip-isolate"

# IoT — полный deny между VLAN
add chain=forward in-interface=vlan40-iot \
    out-interface=!ether-wan action=drop comment="iot-no-lateral"
add chain=forward in-interface=vlan40-iot \
    dst-address-list=approved-iot-clouds action=accept
add chain=forward in-interface=vlan40-iot action=drop comment="iot-default-drop"

Наш список «approved-iot-clouds» очень строг. В нём только разрешённые адреса Tuya (это для термостатов) и Rubetek (для наших новых, безопасных розеток). Всё, что не в списке, просто дропается. Представьте, если бы те самые «зомби-розетки» остались? Их трафик до Гонконга был бы заблокирован фаерволом. Мгновенно!

Перенос устройств в VLAN

Физический перенос всех устройств в правильные VLAN-ы занял у нас два рабочих вечера. Мы специально делали это после окончания рабочего дня, чтобы никто из сотрудников не чувствовал дискомфорта. Камеры и NVR мы переключили, настроив порты на коммутаторе в access-mode в VLAN 20. NAS, конечно же, отправили в VLAN 30. А вот принтеры оставили в VLAN 10 — ими пользуются все, и они, по нашей оценке, не представляют особых рисков.

SIP-телефоны Yealink в VLAN 30 преподнесли нам небольшой сюрприз, точнее, хитрость. Их пришлось перенастраивать через TFTP-конфиг. Видите ли, эти телефоны сами тегируют свой трафик 802.1Q VLAN-ID, и теперь он должен был стать '30'. Но благодаря провижионинг-серверу Yealink AutoP мы справились очень быстро: всего за 20 минут все 7 телефонов были успешно переадресованы куда нужно.

День 5: документация и обучение клиента

Итак, последний день аудита. Он был посвящён самому важному — оформлению документации. Мы передали клиенту не просто отчёт, а целых три полезных документа. Во-первых, полный реестр устройств: 47 строк с MAC-адресами, IP, версиями прошивки и ответственным сотрудником. Во-вторых, детальную диаграмму сети с новым VLAN-разбиением. И в-третьих, практичный регламент «Как добавить новое IoT-устройство в офис», где каждый из 7 шагов описан с подробной расшифровкой.

Без чёткого регламента тут никуда. Иначе? Да запросто админ купит очередную «умную лампочку», воткнёт её в сеть — и привет, новая дыра! Мы в ITFresh договорились с финдиректором: отныне любая закупка IoT-устройств проходит только через нас. Каждое устройство тщательно проверяем ещё *до* того, как оно подключится. Цена вопроса? Всего 1200 ₽ за штуку. И занимает это, кстати, всего 30 минут. Финдиректор сразу кивнул: это же куда выгоднее, чем потом платить за повторный аудит!

Мы не просто устранили проблемы, но и научили админа клиента работать с ними. Провели часовой инструктаж: показали, как пользоваться masscan, разбираться в исходящих соединениях MikroTik по логам, и правильно реагировать на алерты. А чтобы уж совсем быть спокойными, запустили простенький Telegram-бот. Он каждый час смотрит топ-10 исходящих хостов из MikroTik и сразу сигнализирует, если вдруг объявилось что-то новенькое.

Цифры и личные впечатления

Наш инженер потратил ровно пять рабочих дней на полный IoT-аудит. Стоило это 180 000 ₽: 110 тысяч за сам базовый аудит и дополнительные 70 тысяч за реверс тех самых розеток плюс проектирование VLAN. А теперь самое интересное: что же мы там накопали? Представьте: 14 розеток, связь которых вела прямиком в Гонконг (да-да, C2!). Ещё 12 камер Hikvision с абсолютно открытым telnet. Нашли пару NAS с давно устаревшим DSM. Четыре «теневых» устройства — это и Raspberry Pi, и две Logitech, и Aqara. И, конечно, целый ворох дефолтных паролей, куда без них. Заменили розетки: потратили 5600 ₽. Теперь новые, от Rubetek, надёжно работают через WiFi VLAN 40.

Вы знаете, что удивило меня больше всего в этом проекте? Как обычная торговая компания умудрилась за четыре года собрать такой «зоопарк» IoT-устройств, да ещё и совершенно хаотично! Конечно, здесь нет никакого злого умысла. Это просто естественный процесс, когда у бизнеса нет чёткого регламента закупок и контроля. Но теперь всё иначе! С новым регламентом такое точно не повторится: каждое новое устройство проверим мы, а «теневые» будут сразу видны благодаря нашему скрипту мониторинга.

Один важный совет всем владельцам бизнеса с 25–50 рабочими местами: если у вас в офисе больше двадцати IoT-устройств, и вы уже абсолютно не помните, откуда они вообще там взялись — не откладывайте, закажите аудит! Всего пять дней работы, и вы забудете о проблемах на долгие годы. Это того стоит.

FAQ: что чаще всего спрашивают клиенты

Зачем торговой компании аудит IoT-устройств?

Представьте себе ситуацию: торговая компания на 32 рабочих места. У них офис и склад, где активно работают камеры CCTV, NAS-хранилища, сетевые принтеры, умные термостаты и, конечно, IP-телефония. Каждое из этих, казалось бы, безобидных устройств — потенциальная лазейка для хакера! Там может скрываться бэкдор от производителя, сидеть устаревшая прошивка с CVE, или вообще открытый telnet с паролями по умолчанию. Подумайте: один скомпрометированный CCTV в той же сети, где стоит компьютер бухгалтера? Это же прямая угроза для вашей 1С-базы, риск утечки данных! Вот для этого и нужен аудит. Он помогает найти и обезвредить такие риски *до* того, как они превратятся в настоящую, серьёзную проблему.

Что вы нашли в прошивке китайских розеток?

Вот это сюрприз мы нашли! В двух розетках китайского NoName Plus, купленных на маркетплейсе всего по 380 ₽ за штуку, оказалась кастомная прошивка на ESP8266. Что она делала? Каждые четыре часа отправляла HTTPS-запросы куда? Правильно, в Гонконг! Прямиком на IP 43.128.X.X в AS Tencent. Цель этого C2 так и осталась загадкой, но одно ясно: производитель *точно* не планировал такую активность. Запросы шли с уникальным UUID каждого устройства, а в ответ приходил JSON с командами. Мы, конечно, не стали медлить: немедленно отключили эти розетки от офисной сети, а все остальные устройства того же бренда быстро выявили и заменили.

Какой инструментарий вы используете для IoT-аудита?

Для сетевой части мы используем проверенный арсенал. Nmap? Он для сканирования портов. Masscan помогает быстро находить новые устройства. Wireshark незаменим, когда нужно перехватить трафик. А MikroTik flow — наш помощник для длительного наблюдения. Когда доходит дело до прошивок, тут тоже есть свои герои: esptool для снятия дампов с ESP8266/ESP32, binwalk, чтобы извлекать файловые системы прямо из бинарников, и Ghidra для глубокого статического анализа кода. И да, если понадобится аудит Wi-Fi, наготове hcxtools. Всё это — опенсорс, всё прекрасно работает на Linux. Можете быть уверены: у каждого нашего инженера это стандартный набор инструментов, с которым он на «ты».

Что делать с CCTV Hikvision с открытым telnet?

Камеры Hikvision и Dahua со старыми прошивками — это классика жанра проблем безопасности: дефолтные пароли, открытый telnet, ONVIF без авторизации. Знакомо? Что делаем? Наш план чёткий: 1) Обновляем прошивку до самой актуальной версии (если, конечно, поддерживается). 2) Меняем все пароли админ-учётки, никаких дефолтов! 3) Отключаем telnet через веб-интерфейс — это обязательно. 4) Переносим камеры в отдельный VLAN с жёстким правилом deny-all на выход в интернет. Только NVR-сервер имеет право их видеть. 5) На самом NVR настраиваем исходящие соединения только на проверенные, доверенные адреса. Запомните: без VLAN-изоляции все остальные пункты — это лишь половина решения. Неполноценная защита.

Сколько стоит IoT-аудит для офиса 30-50 РМ?

Что ожидать от базового IoT-аудита для офиса с 30-50 рабочими местами? Обычно наш инженер справляется за 4-5 рабочих дней. Стоимость? От 110 000 до 140 000 ₽. За эти деньги вы получаете полный пакет: тотальную инвентаризацию всех IoT-устройств, тщательное сканирование на уязвимости, проверку прошивок на актуальность, базовую VLAN-сегментацию и, конечно, детальный отчёт с нашими персональными рекомендациями. Если же речь заходит о реверсе прошивки какого-нибудь уж очень подозрительного устройства — это уже отдельный разговор. Такая услуга стоит от 12 до 25 тысяч за штуку, всё зависит от сложности. Вспомните ту торговую компанию на 32 РМ, о которой мы говорили? Их полный пакет, включая реверс двух розеток, обошёлся в 180 000 ₽.

Итог

Знаете, я глубоко убеждён: IoT-аудит — это не какая-то разовая прихоть, а, по сути, базовая гигиена для любого бизнеса. Особенно если у вас в офисе полно самых разных устройств. Вспомните кейс той торговой компании на 32 РМ? Всего за 5 дней мы обнаружили у них 14 розеток со связью с Гонконгом (C2, если что!), 12 камер с наглухо открытым telnet и четыре «теневых» устройства. Что мы сделали? Всё это оперативно устранили. Развернули VLAN-сегментацию. Более того, даже разработали чёткий регламент по будущим закупкам IoT-оборудования. Стоимость нашей работы составила 180 тысяч рублей. Но поверьте, потенциальных рисков, которые мы предотвратили, было на порядок больше! Я твёрдо уверен: через каких-то полгода эта инвестиция полностью себя окупит, просто за счёт предотвращения возможной утечки данных.