Киберугрозы малого и среднего бизнеса в 2026: как выстроить защиту

Сильного админа и хорошего антивируса уже недостаточно для гарантии безопасности. Экономия на защите может обернуться убытками, превышающими годовую прибыль. В статье разбираем, почему малый и средний бизнес оказался в эпицентре кибератак и как выстроить защиту, не раздувая бюджет до масштабов корпорации.

Только за 8 месяцев 2025 года экономика потеряла 1,5 трлн рублей. Взлом компаний перестает быть теоретическим риском, теперь это реальность. По данным Positive Technologies, на Россию приходится 14–16% всех успешных кибератак в мире, а к 2026 году их число может вырасти еще на 30–35% по сравнению с 2025 годом.

Эта статья — для собственников и ИТ-директоров, которые отвечают за устойчивость бизнеса. Ниже показали текущую картину киберугроз 2026 и практический план, как перестроить ИТ-стратегию, чтобы не стать частью печальной статистики.

Масштаб киберугроз нельзя игнорировать

За последние три года киберугрозы для российских компаний выросли кратно.

• В 2025 году количество атак на российские компании уже выросло на 20–45% к 2024-му, а в 2026-м ожидается новый скачок еще на 30–35%.
• Совокупный ущерб экономике России от кибератак только за первые 8 месяцев 2025 года составил около 1,5 трлн рублей — при трехкратном росте числа атак по сравнению с 2024 годом (по исследованиям Сбера).

И речь не только о крупном бизнесе, но 82% малых и средних предприятий столкнулись с киберинцидентами в 2025 году. Масштаб потерь вырос кратно:

• Средняя сумма выкупа при атаке программ-вымогателей: 4–40 млн рублей для крупного и среднего бизнеса, максимум достиг 500 млн рублей в 2025 году.​
• Высококритичные инциденты (длительная остановка процессов или утечка данных) могут обойтись от 1 млн рублей и выше.​

Угрозы атак перестали быть абстрактной. 

Причины роста киберугроз

Рост атак — не случайность. В основе три системных фактора: ускоренная цифровизация, импортозамещение в режиме аврала и появление ИИ в арсенале злоумышленников.

• Цифровизация в спешке. С 2025 года в России стартовал национальный проект по «Экономике данных и цифровой трансформации государства». Компании массово переводят процессы в цифру, внедряют новые платформы, интеграции, автоматизацию. Но скорость внедрения технологий превышает скорость организации защиты. 
• Ускоренное импортозамещение. Государство требует импортозамещения от владельцев критической инфраструктуры (КИИ). На CNews FORUM в ноябре 2025 года глава Минцифры озвучил последний крайний срок импортозамещения КИИ — до 1 января 2028 года. За срыв сроков будут штрафы. Списки критичных объектов теперь утверждает правительство. Чтобы защитить свой периметр, крупные заказчики (субъекты КИИ) могут потребовать от поставщиков такой же «чистоты» ПО и сертификации.​ При том что уже атаки через подрядчиков выросли вдвое. 
• Искусственный интеллект в руках атакующих. ИИ служит не только помощником, но и стал оружием злоумышленников. Через ИИ организуют персонализированный фишинг, создают поддельные аудио и видео, организуют многоступенчатые компании. 

Атаки становятся умнее, но защита многих компаниях осталась в 2020 году.

Почему старые методы не работают

Многие компании до сих пор живут в логике: «У нас есть админ, стоит какой-то антивирус, значит, мы защищены».

Цифры показывают обратное.

По результатам проектов PT SWARM при внешних тестах на проникновение получить доступ к внутренней сети удалось в 89% компаний, а при внутренних — в 100% случаях специалисты смогли получить максимальные привилегии в домене.

Типовые причины:

1. слабые и словарные пароли;
2. отсутствие многофакторной аутентификации;
3. устаревшее ПО с известными уязвимостями;
4. ошибки в разграничении прав доступа;
5. отсутствие обучения сотрудников против фишинга.

То есть проблема в базовой ИТ-гигиене и управлении рисками.

«Админ на полставки» против профессионалов

Перекос особенно заметен в малом и среднем бизнесе. У компаний с выручкой до 15 млн рублей бюджет на информационную безопасность часто не превышает 5 тыс. рублей в месяц, у среднего бизнеса — около 25 тыс.​ При этом даже начинающий специалист по ИБ стоит от 60 тыс. рублей в месяц, а средняя зарплата в отрасли приближается к 99 тыс. рублей и растет быстрее, чем по ИТ в целом.​

Фактически малый бизнес пытается противостоять глобальному криминальному рынку с бюджетом уровня «один админ и один антивирус». В таких условиях вопрос не в том, взломают или нет, а в том, когда это случится и насколько вы к этому готовы.

Антивирус «для галочки» и мертвые лицензии

Отдельная проблема — иностранное ПО безопасности, которое многие продолжают использовать. Из-за санкций некоторые из решений перестают обновляться, продлить поддержку не получается. Т. е. формально антивирус установлен, но фактически уязвимости копятся, а риск успешности атак растет.

Наиболее атакуемые отрасли

По данным отчета CODE RED 2026 и независимой аналитики, больше всего достается следующим отраслям:

• промышленность — 17% всех атак (рост на 6 п.п. к 2023-му);
• госучреждения — 11%;
• ИТ-компании — 9%;
• телеком-операторы — 7%;
• финансовый сектор стабильно остается среди приоритетных целей.

Но если вы не относитесь к этим отраслям, то, скорее всего, вы, либо поставляете им услуги, либо зависите от их устойчивости.

При этом малый и средний бизнес становится «слабым звеном в цепочке»: через такие компании легко «войти» в крупный бизнес. Поэтому защита таких компаний должна быть тоже серьезной, т.к. сейчас вы один из самых удобных способов входа злоумышленников.

Как создается ИТ-стратегия малого и среднего бизнеса

Малому и среднему бизнесу сложно конкурировать с гигантами, и средств на масштабные проекты кибербезопасности тоже нет, но все же можно сделать ряд действий, которые помогут снизить риски угроз.

Аудит инфраструктуры

Цель — получить честную картину того, где компания реально уязвима.

Что должно войти в минимум:

1. Аудит учетных записей. Одна из самых частых точек входа злоумышленников — слабый контроль учетных записей. Исследования показывают, что до 30% атак начинаются с уязвимостей в неактивных «учетках» и слабых паролях (Cybersecurity Ventures, 2022).
2. Периодические пентесты. Важно периодически проверять контур компании на прочность.
3. Инвентаризация средств защиты. Какие решения используются, где истекают лицензии, какие компоненты иностранные и подлежат замене. Мы не рекомендуем использовать в бизнес-среде антивирусные продукты, не прошедшие и не имеющие актуальные  сертификаты ФСТЭК. Любое ПО должно ставиться через ИТ, а не «само собой»: подозрительные утилиты и давно не обновляемые подписки — частая точка уязвимости и должны попадать в план замены.
4. Инвентаризация угроз. К каким угрозам уязвима инфраструктура, какой план и сроки по их устранению.
5. Анализ готовности к импортозамещению. Карта: какое иностранное ПО есть в ИБ-контуре и инфраструктуре, какие есть российские аналоги, какова сложность миграции и риски.

Результат аудита должен быть в формате карты рисков с приоритизацией, что критично закрыть за 3 месяца, 6 месяцев, год.

Для МСП часто эффективнее провести такой аудит с привлечением внешней экспертизы, чтобы получить не просто отчет, а план действий.

Импортозамещение

Импортозамещение нужно превратить из «аврала к дедлайну» в управляемый проект. Должен появиться план как системы будут выводиться из эксплуатации и внедряться новые. Конечно же с пилотами, тестированием безопасности и вводом в эксплуатацию.

Важно отметить, что миграция не повышает безопасность, новые системы без настройки и встроенных контролей будут такими же дырявыми, как и старые.

Виртуальный ИТ-директор

Многие компании МСП объективно не могут позволить себе штатного CIO/CISO с опытом построения комплексной защиты, SOC, импортозамещения.

Выходом из ситуации может стать формат vCIO (virtual CIO), когда подключается внешний эксперт, который берет на себя разработку ИТ- и ИБ-стратегии, приоритизацию инициатив по уровню риска и последующую координацию проектов.

Это возможность «арендовать ИТ-директора» за долю от стоимости найма сильного инхаус-специалиста — для МСП это зачастую единственный реалистичный путь.

Базовый минимум, с которого начать уже сейчас

Независимо от масштаба компании, есть набор мер, который нельзя откладывать:

1. Контроль доступов и «мертвых душ»

Навести порядок в правах доступа. Часто это самая большая дыра в безопасности.

• Ревизия «забытых» учеток. Проверьте и отключите учетные записи уволенных сотрудников и тех, кто не заходил в систему более двух месяцев. 
• Аудит прав администратора. Регулярно пересматривайте, у кого есть права администратора. Часто их выдают временно для решения задачи, а потом забывают забрать.
• Ограничение удаленного доступа. Убедитесь, что доступ к серверам (например, по RDP) есть только у тех, кому это действительно необходимо для работы.
• Актуализация групп доступа. Периодически проверяйте, кто и на каком основании имеет доступ к важным ресурсам. Отдельный контроль за УЗ, имеющими возможность удаленно подключаться к информационным системам компании, то есть попадать во внутренний контур из любой точки мира и любого устройства. Компьютер могут украсть, и злоумышленник запросто получит доступ ко всем системам, если компания пренебрегает базовой безопасностью и не проводит обучение сотрудников азам кибер грамотности.

2. Парольная гигиена

Это фундамент, которым часто пренебрегают.

• Жесткая политика паролей. Внедрите обязательные требования: длина не менее 8 символов, наличие заглавных букв, цифр и символов. Система должна блокировать пользователя после нескольких неудачных попыток входа.
• Исключения только для сервисов. Убедитесь, что пароли, которые не нужно менять, есть только у технических учетных записей (например, для работы программ), но не у реальных людей.
• Смена паролей «локального админа». Не забывайте регулярно менять стандартные пароли локальных администраторов на всех серверах и рабочих компьютерах.

3. Базовые настройки инфраструктуры

Несколько ключевых технических мер, которые укрепляют защиту:

• Централизованное управление. Все компьютеры в офисе должны быть объединены в один домен для централизованного контроля.
• Аудит системных политик. Проведите ревизию групповых политик, чтобы отключить устаревшие и потенциально опасные правила.
• Включение логирования. Настройте систему так, чтобы она фиксировала все критически важные события безопасности (например, попытки входа с неверным паролем или доступ к системным файлам).
• Автоматическое завершение сессий. Настройте автоматический выход из системы для неактивных пользователей, например, через час бездействия. Эта простая мера может остановить атаку шифровальщика, не дав ему закончить работу.

Все, что здесь перечислено это малая доля того, что требуется сделать, чтобы обеспечить защиту периметра, но если закрыть хотя бы эти вопросы, то вы уже станете на голову выше других компаний малого и среднего бизнеса.

Количество атак растет, их качество улучшается, цена ошибки увеличивается.

Старый подход «постоянно догонять угрозы точечными покупками лицензий и железа» больше не работает. Нужна осознанная ИТ-стратегия. Начать можно с честного аудита и разговора о том, какие потери компания готова терпеть, а какие — нет.

Когда в прогнозе рост киберугроз на +35% к прошлому году, лучшая стратегия — не надеяться «пронесет», а строить прочный дом.