Как защитить компанию от шифровальщиков без дорогого SOC

Два года назад один из наших клиентов — небольшая юридическая фирма на 12 человек — проснулся в понедельник утром и обнаружил, что все файлы зашифрованы. База 1С, договоры, вся переписка с клиентами за три года. На экране — требование выкупа: 450 000 рублей в биткоинах. Мы восстановили всё за шесть часов. Не потому что платили — а потому что накануне правильно настроили резервное копирование.

Как это начинается — и почему «нас это не касается» не работает

Я регулярно слышу от руководителей небольших компаний одну и ту же фразу: зачем нам заморачиваться с безопасностью, мы маленькие, кому мы нужны. Это заблуждение стоило многим реальных денег и нескольких лет нервотрёпки. Шифровальщики не выбирают жертв вручную. Они работают автоматически: сканируют весь диапазон интернет-адресов, ищут открытые RDP-порты, уязвимые почтовые серверы, пользователей, которые кликают на всё подряд. Масштаб компании — не защита.

Типичная схема атаки на небольшой бизнес выглядит примерно так. Бухгалтер получает письмо якобы от контрагента с вложением «Акт сверки март.docx». Внутри — макрос. Или: пользователи подключаются к 1С через RDP, порт 3389 открыт наружу, пароль у пользователя Администратор — «1». Через несколько минут после подбора пароля вредоносная программа уже гуляет по сети и методично шифрует документы, базы данных, архивы. Потом — чёрный экран с адресом для перевода биткоинов.

В 2023–2024 годах средний размер выкупа, который требовали у малого бизнеса, составлял от 150 000 до 800 000 рублей. Платить — не выход. Во-первых, никаких гарантий, что дадут рабочий ключ. Во-вторых, платёж в криптовалюте создаёт юридические риски для российских компаний. В-третьих — и это главное — вы просто финансируете следующую атаку на кого-то ещё. Единственный нормальный путь — выстроить защиту заранее.

Резервное копирование: не «есть копия», а правильная копия

Самая частая ошибка, которую я вижу в небольших компаниях, — бэкап формально есть, но он бесполезен. Либо хранится на том же сервере, что и данные — шифровальщик зашифрует заодно. Либо делается раз в неделю — потеряете неделю работы. Либо никто никогда не проверял, восстанавливается ли из него хоть что-то. Бэкап, который нельзя восстановить — это иллюзия безопасности. Ничем не лучше полного её отсутствия.

Мы придерживаемся правила 3-2-1: три копии данных, на двух разных носителях, одна — за пределами офиса. На практике для компании из 15–30 человек это выглядит так. Ежедневный бэкап на локальный NAS — например, Synology DS223 с двумя дисками, стоимость около 25 000–35 000 рублей. Еженедельный бэкап в облако — Яндекс Объектное хранилище или аналог, хранение терабайта данных обходится примерно в 1 500–2 500 рублей в месяц. И раз в квартал — проверка восстановления. Не «посмотрели, что файлы есть», а реально развернули и убедились, что 1С запускается.

Для баз 1С мы используем Veeam Backup & Replication или встроенные средства резервного копирования 1С в связке с планировщиком задач Windows Server. Критически важный момент: хранилище бэкапов должно быть изолировано от основной сети. Отдельный логин, отдельные права, отдельный сетевой сегмент. Если основной домен скомпрометирован, учётка для резервного копирования не должна быть достижима с заражённой машины. Это называется иммутабельное хранилище — шифровальщик физически не дотянется до уже созданных копий.

Права доступа: кто и к чему может добраться

Представьте ситуацию. Менеджер по продажам открыл заражённое вложение. Его рабочая станция инфицирована. Что происходит дальше — целиком зависит от прав пользователя в сети. Если он работает под локальным администратором и у него есть доступ к общим папкам всего предприятия — катастрофа, потеряете всё. Если у него есть доступ только к своей рабочей папке и к CRM — ущерб ограничен одним компьютером. Разница колоссальная.

Принцип минимально необходимых прав — не бюрократия, а базовая гигиена безопасности. Бухгалтер не должна видеть сетевые папки отдела продаж. Менеджер не нуждается в доступе к архиву договоров за десять лет. Никто из рядовых сотрудников не должен работать под учётной записью с правами администратора домена. Кажется, очевидно. Но я регулярно прихожу в компании, где все без исключения работают под одним паролем admin с правами Domain Admin. Это не преувеличение, это моя обычная неделя.

В Active Directory настройка корректных прав занимает несколько часов работы системного администратора. Для компании на 25–30 человек — разовая работа стоимостью около 8 000–15 000 рублей. Дальше — поддержание порядка. Новый сотрудник получает ровно те права, которые нужны для работы. Уволившийся — учётка блокируется в день увольнения, желательно ещё до того, как он вышел за дверь офиса. Звучит сурово, но я видел случаи, когда бывшие сотрудники подключались к рабочей сети через месяц после расставания.

Сегментация сети: изолируем всё ценное

Сегментация сети звучит как что-то из арсенала крупных корпораций. На самом деле базовую изоляцию критичных систем можно реализовать даже на бюджетном оборудовании. Суть простая: компьютеры бухгалтерии с доступом к банк-клиенту и 1С — в одной VLAN-подсети, менеджеры и маркетинг — в другой, гости и внешние подрядчики с ноутбуками — в третьей, изолированной полностью. Между подсетями — правила файрвола. Шифровальщик, попавший в сеть к менеджеру, физически не доберётся до серверов бухгалтерии.

Для реализации достаточно управляемого коммутатора с поддержкой VLAN. MikroTik CRS326 стоит около 10 000–14 000 рублей плюс несколько часов работы специалиста. Серверный сегмент с 1С, файловым сервером, контроллером домена Windows Server — за отдельным файрволом с жёсткими правилами. Ни одна рабочая станция не должна иметь прямого доступа к серверу резервного копирования. Это правило не обсуждается ни при каких обстоятельствах.

Отдельно про удалённый доступ. Если сотрудники работают из дома через RDP — никакого прямого открытия порта 3389 наружу. Только через VPN. Мы видели десятки взломов именно через открытый RDP с простым паролем. Настройка VPN на том же MikroTik или pfSense занимает два-три часа. Стоит только время специалиста. Зато закрывает один из самых массовых векторов атаки на малый бизнес в России прямо сейчас.

Обновления и антивирус: банальность, которую все игнорируют

Хочется написать что-то умное про экзотические техники защиты. Но большинство успешных атак эксплуатируют уязвимости, для которых патчи существуют уже полгода-год. WannaCry в 2017 году прошёлся по миру именно потому, что огромное количество компаний не поставило обновление безопасности, которое Microsoft выпустила за два месяца до эпидемии. Эта история повторяется до сих пор — только с другими именами и другими суммами выкупа.

Для Windows-окружения — автоматические обновления безопасности через WSUS или хотя бы просто включённый Windows Update. Для 1С — актуальная версия платформы: в старых присутствуют известные уязвимости, которые эксплуатируются в готовых инструментах атаки. Для антивирусной защиты мы чаще всего используем Kaspersky Endpoint Security или Dr.Web для бизнеса. Оба сертифицированы ФСТЭК, что обязательно для медицинских организаций и части государственных структур. Стоимость лицензии на 20 рабочих мест — в районе 30 000–45 000 рублей в год.

Особого внимания заслуживает почтовый антиспам. Большинство шифровальщиков попадает именно через электронную почту — с заражёнными вложениями или фишинговыми ссылками. Если у вас корпоративная почта — настройте фильтрацию вложений. Блокируйте по умолчанию исполняемые файлы в письмах: .exe, .bat, .js, .vbs, .ps1. Настройте DKIM и SPF записи для своего домена — это снизит риск того, что сотрудники получат письмо, якобы написанное от вашего же директора, с заражённым архивом внутри. Это бесплатная настройка на уровне DNS, занимает час.

Люди — главная дыра в любой защите

Можно поставить лучший антивирус, настроить файрвол и сегментацию. А потом бухгалтер получит письмо «Срочно! Задолженность по контрагенту ИНН 7712345678, прилагаю документы» с архивом во вложении — и откроет его. Всё. Никакая техника не защитит от человека, который сам нажал «открыть». Именно поэтому обучение сотрудников — не менее важная мера, чем любое техническое решение в этом списке.

Что должен знать каждый сотрудник. Не открывать вложения от неизвестных отправителей, даже если письмо выглядит убедительно и срочно. Проверять адрес отправителя: buh@vashy-partner.ru и buh@vashy-partne-r.ru — принципиально разные адреса, и мошенники этим пользуются системно. Не переходить по ссылкам в письмах, где просят срочно войти в личный кабинет, — лучше открыть браузер и зайти напрямую. И немедленно сообщать в IT при любом подозрении: компьютер замедлился, появились непонятные файлы, что-то перестало открываться.

Мы проводим для наших клиентов короткие инструктажи — час-полтора раз в год. Иногда дополнительно рассылаем примеры реальных фишинговых писем, которые прямо сейчас ходят по рынку. Часть компаний практикует контролируемый фишинг: рассылают сотрудникам тестовые фишинговые письма и смотрят, кто кликнет. Тех, кто попался, — отправляют на дополнительный инструктаж без штрафных санкций, просто объясняют. Метод работает: после первой такой тренировки число сотрудников, попадающихся на реальный фишинг, падает в три-четыре раза.

Если шифровальщик всё-таки пробрался: первые тридцать минут

Первое и самое важное действие при обнаружении атаки — отключить заражённые компьютеры от сети. Физически. Выдернуть сетевой кабель или отключить Wi-Fi адаптер. Сам компьютер лучше не выключать — иногда в оперативной памяти остаются данные, которые помогут специалистам в расследовании. Но от сети — немедленно. Каждая секунда, пока программа работает, это ещё несколько сотен зашифрованных файлов.

Дальше — оценить масштаб. Какие компьютеры затронуты? Добрался ли шифровальщик до серверов? Сохранились ли резервные копии? Если вы сделали сегментацию сети, как описано выше, сервер бэкапов должен быть недоступен из заражённой подсети — значит, копии целы. Восстановление начинается с разворачивания чистых машин и наката резервной копии. Для юридической фирмы, о которой я говорил в начале, этот процесс занял шесть часов. Рабочий день был фактически потерян — но не данные.

Про выплату выкупа. Не рекомендую. Не из принципа — по холодному расчёту. Около 40% компаний, заплативших выкуп, по различным данным, либо не получали ключ вовсе, либо ключ не восстанавливал данные корректно. Если инцидент произошёл — сообщите в правоохранительные органы: хотя бы для документирования факта ради страховки или возможного разбирательства. Сохраните заражённые файлы и скриншот требования выкупа — это доказательства. И немедленно звоните специалистам.

Частые вопросы

Нужно ли платить выкуп, если данные зашифрованы и бэкапов нет?
Сначала проверьте несколько вещей. На сайте nomoreransom.org есть бесплатные дешифраторы для ряда известных шифровальщиков — возможно, ваш случай там уже разобран. Иногда теневые копии Windows (Volume Shadow Copy) не затронуты атакой, и специалист может восстановить часть данных оттуда. Платить — крайний и ненадёжный вариант: примерно в 40% случаев это не приводит к полному восстановлению, а деньги уходят безвозвратно.

Сколько стоит нормальная защита от шифровальщиков для компании на 20 человек?
Базовая защита — это не миллионы рублей. Управляемый коммутатор с VLAN — 10 000–15 000 рублей. NAS для локальных бэкапов — 25 000–40 000 рублей. Корпоративный антивирус на 20 мест — 30 000–45 000 рублей в год. Настройка всей инфраструктуры системным администратором — 20 000–40 000 рублей разово. Итого первоначальные вложения — в районе 80 000–140 000 рублей. Это в разы меньше среднего выкупа или потерь от вынужденного простоя даже на два-три рабочих дня.

Достаточно ли облачного хранилища как единственного способа хранить резервные копии?
Нет, недостаточно. Синхронизаторы типа Яндекс Диска или Dropbox — это не бэкап: они синхронизируют зашифрованные файлы поверх нормальных, и вы потеряете данные в облаке так же быстро, как и локально. Даже полноценное объектное хранилище в облаке как единственная копия создаёт риски: при большом объёме данных восстановление занимает слишком много времени. Правильная схема — локальный бэкап для быстрого восстановления плюс облако как удалённая резервная копия.

Хватит ли встроенного Windows Defender или нужен специальный корпоративный антивирус?
Windows Defender за последние годы сильно вырос и для домашнего использования вполне достаточен. Для бизнеса я рекомендую корпоративное решение — Kaspersky Endpoint Security или Dr.Web — по нескольким причинам: централизованное управление через единую консоль, более продвинутая защита от ransomware, возможность контроля приложений и съёмных устройств. Для медицинских организаций и части государственных структур наличие сертифицированного ФСТЭК средства защиты — обязательное требование, а не опция.