Киберугрозы малого и среднего бизнеса в 2026

1,5 трлн — полтора триллиона (!) рублей потеряла российская экономика за 8 месяцев 2025 года на кибератаках. Если пару лет назад риск взлома небольших компаний был чисто теоретическим, то к 2026 году мы пришли с настораживающими цифрами:

• 14–16% всех успешных кибератак в мире пришлись на Россию;
• в 2026 году ожидается их рост на 30-35% по сравнению с 2025 годом.

Если вы — собственник, ИТ-директор или другой ответственный за информационную безопасность — рекомендуем прочесть статью. Нарисуем реальную картину киберугроз в 2026 году, дадим рамочный практический план противодействия и восстановления после атаки.

Масштаб киберугроз нельзя игнорировать

За последние три года киберугрозы для российских компаний выросли кратно.

• В 2025 году количество атак на российские компании уже выросло на 20–45% к 2024-му, а в 2026-м ожидается новый скачок еще на 30–35%.
• Совокупный ущерб экономике России от кибератак только за первые 8 месяцев 2025 года составил около 1,5 трлн рублей — при трехкратном росте числа атак по сравнению с 2024 годом (по исследованиям Сбера).

И речь не только о крупном бизнесе: 82% малых и средних предприятий столкнулись с киберинцидентами в 2025 году. Масштаб потерь вырос кратно:

• Средняя сумма выкупа при атаке программ-вымогателей: 4–40 млн рублей для крупного и среднего бизнеса, максимум достиг 500 млн рублей в 2025 году.​
• Высококритичные инциденты (длительная остановка процессов или утечка данных) могут обойтись от 1 млн рублей и выше.​

Угроза взлома перестала быть абстрактной.

Причины роста киберугроз

Рост атак — не случайность. В основе три системных фактора: ускоренная цифровизация, импортозамещение в режиме аврала и появление ИИ в арсенале злоумышленников.

Цифровизация в спешке

С 2025 года в России стартовал национальный проект по «Экономике данных и цифровой трансформации государства». Компании массово переводят процессы в цифру, внедряют новые платформы, интеграции, автоматизацию. Но скорость внедрения технологий превышает скорость организации защиты.

Ускоренное импортозамещение

Государство требует импортозамещения от владельцев критической инфраструктуры (КИИ). На CNews FORUM в ноябре 2025 года глава Минцифры озвучил последний крайний срок импортозамещения КИИ — до 1 января 2028 года. За срыв сроков будут штрафы. Списки критичных объектов теперь утверждает правительство. Чтобы защитить свой периметр, крупные заказчики (субъекты КИИ) могут потребовать от поставщиков такой же «чистоты» ПО и сертификации.​ При том что уже атаки через подрядчиков выросли вдвое.

Искусственный интеллект в руках атакующих

ИИ служит не только помощником, но и стал оружием злоумышленников. Через ИИ организуют персонализированный фишинг, создают поддельные аудио и видео, организуют многоступенчатые кампании.

Атаки становятся умнее, но защита во многих компаниях осталась в 2020 году.

Почему старые методы не работают

Многие компании до сих пор живут в логике:

«У нас есть админ, стоит какой-то антивирус, значит, мы защищены».

Цифры показывают обратное.

Статистика PT SWARM безжалостна: при тестировании внешнего периметра белые хакеры проникают во внутреннюю сеть в 89% случаев. При внутренних тестах они получают максимальные привилегии в домене в 100% компаний.

Типовые причины:

1. слабые и словарные пароли;
2. отсутствие многофакторной аутентификации;
3. устаревшее ПО с известными уязвимостями;
4. ошибки в разграничении прав доступа;
5. отсутствие обучения сотрудников против фишинга.

То есть проблема в базовой ИТ-гигиене и управлении рисками.

«Админ на полставки» против профессионалов

Перекос особенно заметен в малом и среднем бизнесе. У компаний с выручкой до 15 млн рублей бюджет на информационную безопасность часто не превышает 5 тыс. рублей в месяц, у среднего бизнеса — около 25 тыс.​ При этом зарплата начинающего ИБ-специалиста от 60 тыс. рублей в месяц, а средняя зарплата в отрасли приближается к 99 тыс. рублей и растет быстрее, чем по ИТ в целом.​

Фактически малый бизнес пытается противостоять глобальному криминальному рынку с бюджетом уровня «один админ и один антивирус». В таких условиях вопрос не в том, взломают или нет, а в том, когда это случится и насколько вы к этому готовы.

Антивирус «для галочки» и мертвые лицензии

Отдельная проблема — иностранное ПО безопасности, которое многие продолжают использовать. Из-за санкций некоторые из решений перестают обновляться, продлить поддержку не получается. Т.е. формально антивирус установлен, но фактически уязвимости копятся, а риск успешности атак растет.

Наиболее атакуемые отрасли

По данным отчета CODE RED 2026 и независимой аналитики, больше всего достается следующим отраслям:

• промышленность — 17% всех атак (рост на 6 п.п. к 2023-му);
• госучреждения — 11%;
• ИТ-компании — 9%;
• телеком-операторы — 7%;
• финансовый сектор стабильно остается среди приоритетных целей.

Но если вы не относитесь к этим отраслям, то, скорее всего, вы, либо поставляете им услуги, либо зависите от их устойчивости.

При этом малый и средний бизнес становится «слабым звеном в цепочке»: через такие компании легко «войти» в крупный бизнес. Поэтому защита таких компаний должна быть тоже серьезной, т.к. сейчас вы один из самых удобных способов входа злоумышленников.

Как создается ИТ-стратегия малого и среднего бизнеса

Малому и среднему бизнесу сложно конкурировать с гигантами, и средств на масштабные проекты кибербезопасности тоже нет, но все же можно сделать ряд действий, которые помогут снизить риски угроз.

Аудит инфраструктуры

Цель — получить честную картину того, где компания реально уязвима.

Что должно войти в минимум:

1. Аудит учетных записей. Одна из самых частых точек входа злоумышленников — слабый контроль учетных записей. Исследования показывают, что до 30% атак начинаются с уязвимостей в неактивных «учетках» и слабых паролях (Cybersecurity Ventures, 2022).
2. Периодические пентесты. Важно периодически проверять контур компании на прочность.
3. Проверка актуальности лицензий и выявление устаревшего иностранного ПО. Мы не рекомендуем использовать в бизнес-среде антивирусные продукты, не прошедшие и не имеющие актуальные сертификаты ФСТЭК. Установка ПО должна контролироваться ИТ-отделом.
4. Инвентаризация угроз. К каким угрозам уязвима инфраструктура, какой план и сроки по их устранению
5. Анализ готовности к импортозамещению. Карта: какое иностранное ПО есть в ИБ-контуре и инфраструктуре, какие есть российские аналоги, какова сложность миграции и риски.

Результат аудита должен быть в формате карты рисков с приоритизацией, что критично закрыть за 3 месяца, 6 месяцев, год.

Для МСП часто эффективнее провести такой аудит с привлечением внешней экспертизы, чтобы получить не просто отчет, а план действий.

Импортозамещение

Импортозамещение нужно превратить из «аврала к дедлайну» в управляемый проект. Должен появиться план как системы будут выводиться из эксплуатации и внедряться новые. Конечно же с пилотами, тестированием безопасности и вводом в эксплуатацию.

Важно отметить, что миграция не повышает безопасность, новые системы без настройки и встроенных контролей будут такими же дырявыми, как и старые.

Виртуальный ИТ-директор

Многие компании МСП объективно не могут позволить себе штатного CIO/CISO с опытом построения комплексной защиты, SOC, импортозамещения.

Выходом из ситуации может стать формат vCIO (virtual CIO), когда подключается внешний эксперт, который берет на себя разработку ИТ- и ИБ-стратегии, приоритизацию инициатив по уровню риска и последующую координацию проектов.

Это возможность «арендовать ИТ-директора» за долю от стоимости найма сильного инхаус-специалиста — для МСП это зачастую единственный реалистичный путь.

Базовый минимум, с которого начать уже сейчас

Независимо от масштаба компании, есть набор мер, который нельзя откладывать:

1. Контроль доступов и «мертвых душ»

Навести порядок в правах доступа. Часто это самая большая дыра в безопасности.

• Ревизия «забытых» учеток. Проверьте и отключите учетные записи уволенных сотрудников и тех, кто не заходил в систему более двух месяцев.
• Аудит прав администратора. Регулярно пересматривайте, у кого есть права администратора. Часто их выдают временно для решения задачи, а потом забывают забрать.
• Ограничение удаленного доступа. Убедитесь, что доступ к серверам (например, по RDP) есть только у тех, кому это действительно необходимо для работы.
• Актуализация групп доступа. Периодически проверяйте, кто и на каком основании имеет доступ к важным ресурсам. Отдельный контроль за учетными записями с удаленным доступом. Компьютер могут украсть, и злоумышленник запросто получит доступ ко всем системам, если компания пренебрегает базовой информационной безопасностью и не проводит обучение сотрудников ее азам .

2. Парольная гигиена

Это фундамент, которым часто пренебрегают.

• Жесткая политика паролей. Внедрите обязательные требования: длина не менее 8 символов, наличие заглавных букв, цифр и символов. Система должна блокировать пользователя после нескольких неудачных попыток входа.
• Исключения только для сервисов. Убедитесь, что пароли, которые не нужно менять, есть только у технических учетных записей (например, для работы программ), но не у реальных людей.
• Смена паролей «локального админа». Не забывайте регулярно менять стандартные пароли локальных администраторов на всех серверах и рабочих компьютерах.

3. Базовые настройки инфраструктуры

Несколько ключевых технических мер, которые укрепляют защиту:

• Централизованное управление. Все компьютеры в офисе должны быть объединены в один домен для централизованного контроля.
• Аудит системных политик. Проведите ревизию групповых политик, чтобы отключить устаревшие и потенциально опасные правила.
• Включение логирования. Настройте систему так, чтобы она фиксировала все критически важные события безопасности (например, попытки входа с неверным паролем или доступ к системным файлам).
• Автоматическое завершение сессий. Настройте автоматический выход из системы для неактивных пользователей, например, через час бездействия. Эта простая мера может остановить атаку шифровальщика, не дав ему закончить работу.

Это лишь базовый минимум для защиты периметра. Но реализация даже этих шагов существенно повысит отказоустойчивость вашего бизнеса по сравнению с большинством конкурентов на рынке.

Зачем бизнесу независимый аудит и как выбрать надежного ИТ-партнера

В кибербезопасности нельзя полагаться на удачу — нужна стратегия, которая работает на опережение. Главная задача защиты — сделать так, чтобы стоимость взлома вашей инфраструктуры превышала потенциальную выгоду для злоумышленника. Столкнувшись с грамотно выстроенным контуром, хакеры предпочтут переключиться на более уязвимую цель. При этом важно соблюдать баланс — затраты на защиту должны быть соизмеримы стоимости защищаемых активов и возможным рискам простоя бизнеса.

Отправной точкой для построения такой стратегии всегда служит независимый аудит инфраструктуры. Штатному ИТ-отделу сложно объективно оценить собственные процессы изнутри — нужен взгляд со стороны, чтобы выявить неочевидные уязвимости и «слепые зоны» до того, как их найдут атакующие.

Как найти надежного ИТ-партнера, который поможет с аудитом и защитой? Выбор подрядчика — это не просто сравнение цен. Это выбор союзника, который разделит ответственность за результат. Мы подготовили чек-лист с рекомендациями по выбору ИТ-аутсорсера, чтобы вы могли избежать ошибок на старте.

📌 Забрать рекомендации по выбору подрядчика в нашем Telegram-канале. Без заполнения форм и других сложностей.