Кибербезопасность в бухгелтерии: защита данных от мошенников

На фоне участившихся кибератак на малый и средний бизнес (по данным ЦБ РФ, +65% за I полугодие 2025) мы поговорили с Эльвирой Митюковой, финансовым экспертом и руководителем аудиторской компании «Академия успешного бизнеса», как защитить бизнес в новых реалиях. Эльвира поделилась актуальными на середину 2025 года кейсами и практическими рекомендациями.

Какие три главных киберугрозы для финансов бизнеса Вы бы выделили сегодня?

Сейчас лидируют атаки через поддельные налоговые уведомления — мошенники массово рассылают фальшивые требования об уплате с зараженными вложениями. Второе место занимает взлом облачных бухгалтерских сервисов — только в мае ущерб от таких атак составил 2,3 млрд рублей по данным Росфинмониторинга. И третий тренд — таргетированные фишинговые атаки на CFO с использованием deepfake-аудио.

Как изменились требования регуляторов с начала 2025 года?

С 1 февраля вступили в силу поправки к ФЗ-152, обязывающие все компании, обрабатывающие персональные данные более 1000 человек, внедрять системы мониторинга киберинцидентов. Также ЦБ РФ выпустил указание № 765-Р от 12.03.2025, требующее обязательного страхования киберрисков для финансовых организаций.

Какие практические шаги по защите финансовых данных Вы рекомендуете прямо сейчас?

Первое — срочно обновить все пароли к банк-клиентам и бухгалтерским системам после громкого инцидента с утечкой баз данных в апреле. Второе — подключить услугу подтверждения платежей по двум каналам связи, это стало обязательным согласно письму ЦБ № 234-Т от 15.05.2025. И третье — провести аудит прав доступа к финансовым системам, удалив всех бывших сотрудников.

Какой минимальный набор защитных мер вы посоветуете малому бизнесу?

Даже при ограниченном бюджете необходимо внедрить три ключевых элемента: облачное хранилище с российскими серверами и сертификатом ФСТЭК, многофакторную аутентификацию для всех финансовых операций и регулярное (раз в неделю) резервное копирование данных. Это базовый уровень защиты по новым рекомендациям Минцифры от июня 2025 года.

Какие ошибки в работе с электронными документами сейчас самые опасные?

Главная ошибка — использование неподписанных ЭП документов при проведении платежей. С 2025 года это может привести к блокировке операции и штрафу до 300 тыс. рублей по ст. 15.3 КоАП РФ. Также опасно хранить сканы паспортов и реквизитов в открытом доступе.

Как проверить надежность банковского сервиса для бизнеса?

Обязательно запросите у банка отчет о penetration-тестировании за 2025 год и проверьте наличие сертификата PCI DSS 4.0. Также рекомендую изучить статистику инцидентов на сайте ЦБ РФ — с апреля все кредитные организации обязаны публиковать эти данные ежеквартально.

Что делать при подозрении на утечку финансовых данных?

Согласно новому регламенту ФСТЭК от 10.01.2025, необходимо в течение 1 часа заблокировать все потенциально скомпрометированные аккаунты, в течение 4 часов уведомить регулятора и в течение 24 часов начать внутреннее расследование. Промедление может увеличить штрафные санкции в 2-3 раза.

Какие новые технологии защиты стоит внедрить в 2025 году?

Сейчас наиболее эффективны биометрическая аутентификация по стандарту ГОСТ Р 58976-2025 и системы мониторинга аномальных операций на базе ИИ. Также рекомендую обратить внимание на сервисы электронного документооборота с блокчейн-подтверждением — они получили господдержку согласно постановлению № 456 от 20.03.2025.

Как изменились требования к финансовой отчетности в цифровом формате?

С 1 июля 2025 года все компании, сдающие отчетность в электронном виде, обязаны использовать усиленную квалифицированную электронную подпись нового образца (УКЭП 3.0). Также введена обязательная маркировка всех финансовых документов QR-кодами согласно приказу ФНС № КЧ-7-26/987@ от 01.02.2025.

Какие три главных совета Вы дадите бизнесу на вторую половину 2025 года?

Во-первых, срочно провести аудит ИБ с акцентом на платежные системы — до 1 сентября действует упрощенный порядок сертификации. Во-вторых, застраховать киберриски — новые тарифы делают это доступным даже для малого бизнеса. И главное — начать обучать сотрудников работе с deepfake-угрозами, это новое требование регуляторов с июня 2025.

На середину 2025 года мы видим беспрецедентный рост изощренных кибератак на бизнес. Но хорошая новость в том, что и инструменты защиты стали доступнее. Главное — не откладывать вопросы безопасности на потом, ведь по данным МВД, 80% успешных атак происходят из-за элементарных упущений.