47% кибератак на российский бизнес в 2025 году оказались успешными, а ущерб превысил 1,5 триллиона рублей за восемь месяцев. Параллельно с 30 мая 2025 года заработали оборотные штрафы за утечки персональных данных, до 3% годовой выручки компании. Кибербезопасность перестала быть задачей «для галочки»: теперь это и про сохранность денег, и про соответствие закону. Разберём, какие угрозы реальны для бизнеса, что требует 152-ФЗ, как выстроить защиту по слоям и сколько это стоит.
Кибербезопасность часто воспринимают как «поставить антивирус и забыть». На деле это процесс: угрозы меняются каждый месяц, регулятор ужесточает требования, а одна успешная атака может остановить работу компании на дни и стоить миллионы. При этом базовую защиту способен выстроить даже малый бизнес без отдельного отдела ИБ, если действовать системно и по приоритетам. Этот материал, обзорная карта: что важно, в каком порядке и какими средствами закрывать.
Масштаб угрозы: цифры, которые отрезвляют
Кибербезопасность легко откладывать, пока «нас это не касается». Статистика 2025-2026 годов показывает обратное: под ударом весь бизнес, от интернет-магазина до завода.
По данным отраслевых обзоров, в 2025 году число кибератак на российские компании выросло на 42%, а общее количество ИТ-инцидентов достигло 22 тысяч. Почти половина атак, 47%, оказались успешными и привели к нарушению деятельности. Утечки данных сопровождали 64% инцидентов. Отдельно взлетели DDoS-атаки: их стало в 2,7 раза больше, чем годом ранее, свыше 140 тысяч за год. Совокупный ущерб бизнесу оценивают в 1,5 триллиона рублей только за восемь месяцев 2025 года, а средний выкуп за расшифровку данных после атаки шифровальщика составлял от 4 до 40 миллионов рублей.
47%
кибератак на российский бизнес в 2025 году оказались успешными и привели к нарушению работы компаний. Прогноз на 2026 год, рост числа атак ещё на 30-35%. Это уже не «если взломают», а «когда», и вопрос лишь в том, насколько вы к этому готовы. Источник: Positive Technologies, CNews.
Прогноз на 2026 год неутешительный: число успешных атак может вырасти ещё на 30-35%. Меняется и профиль угроз, от массовых веерных атак злоумышленники переходят к точечным, направленным на конкретную компанию. Это значит, что рассчитывать на «нас не заметят» больше нельзя: целью становится любой бизнес, у которого есть деньги, данные клиентов или возможность остановить работу ради выкупа.
«Главное заблуждение руководителей, что кибербезопасность — это разовая покупка антивируса. На деле это процесс: люди, процессы и технологии вместе. Можно потратить миллионы на железо и софт, но если сотрудник откроет вложение из фишингового письма и введёт пароль на поддельной странице, вся защита обнуляется. Поэтому начинать надо не с дорогих систем, а с базовой гигиены и обучения людей».
— Андрей Лазарев, руководитель отдела информационной безопасности (CISO) производственной компании, Москва, опыт 16 лет.
Главное здесь: кибератаки в России стали массовыми и всё чаще успешными, под ударом любой бизнес; вопрос не «взломают ли», а «насколько вы готовы», и готовность строится системно, а не одной покупкой.
152-ФЗ и оборотные штрафы: почему это касается всех
Самое важное регуляторное изменение последних лет, ужесточение ответственности за утечки персональных данных. С 30 мая 2025 года действует закон, который кардинально поднял штрафы (ФЗ № 420-ФЗ внёс поправки в статью 13.11 КоАП). Теперь под удар попадает практически любая компания, ведь персональные данные обрабатывает каждый, у кого есть клиенты, сотрудники или даже форма обратной связи на сайте.
Размер штрафа зависит от масштаба утечки. За неуведомление Роскомнадзора об инциденте, 1-3 миллиона рублей. За утечку данных от 1 000 до 10 000 человек, 3-5 миллионов. От 10 000 до 100 000, уже 5-10 миллионов. Свыше 100 000 человек, 10-15 миллионов. За утечку биометрии, до 20 миллионов. Но самое серьёзное, оборотные штрафы за повторное нарушение: от 1 до 3% годовой выручки компании, но не менее 20 миллионов и не более 500 миллионов рублей.
«Многие компании до сих пор живут в логике „заплатим штраф, если поймают“. С оборотными штрафами эта логика сломалась: 1-3% выручки — это уже не статья расходов, а удар по бизнесу, особенно при повторном нарушении. Плюс об утечке теперь нужно уведомить Роскомнадзор в течение 24 часов, само молчание, отдельный штраф. Я советую начинать не с покупки систем, а с инвентаризации: какие персональные данные вы собираете, где они хранятся и кто к ним имеет доступ».
— Екатерина Соловьёва, юрист по защите персональных данных, Москва, опыт 13 лет.
Технически закон опирается на набор подзаконных актов: постановление Правительства № 1119 определяет уровни защищённости информационных систем, приказ ФСТЭК № 21, конкретные меры защиты, приказ ФСБ № 378, требования к криптографии. Разбираться в них самостоятельно тяжело, но суть проста: чем чувствительнее данные и чем их больше, тем серьёзнее должна быть защита. О том, как привести компанию в соответствие пошагово, мы подробно расскажем в отдельном материале кластера, а пока запомните главное: защита персональных данных — это уже не «бумажная» формальность, а реальный финансовый риск.
Главное здесь: с 30 мая 2025 года утечка персональных данных грозит штрафом до 15-20 млн ₽, а повторная, оборотным штрафом 1-3% выручки; начинать соответствие 152-ФЗ нужно с инвентаризации данных, а не с покупки систем.
Защита строится слоями: принцип эшелонированной обороны
Главная ошибка в кибербезопасности, надеяться на одно средство. Антивирус не остановит DDoS-атаку, файрвол не спасёт от фишинга, а сложный пароль бесполезен, если сотрудник сам отдаст его мошеннику. Поэтому защиту строят слоями, по принципу эшелонированной обороны: даже если злоумышленник пробьёт один рубеж, его остановит следующий.
Удобно представлять защиту как набор колец вокруг самого ценного, ваших данных. Внешнее кольцо, люди: обучение распознавать фишинг, потому что большинство атак начинается с человека. Следующее, периметр сайта и сервисов: защита от DDoS и веб-атак. Дальше, сеть: файрвол, сегментация, защищённый удалённый доступ. Ближе к центру, устройства: антивирус, своевременные обновления, контроль доступа. И в самом центре, данные: шифрование, разграничение прав и резервные копии на случай, если всё-таки прорвутся.
Каждый из этих слоёв мы разберём ниже. Важно понимать: не нужно строить всё сразу и идеально. Достаточно, чтобы каждый слой был закрыт хотя бы базово — это уже отсекает подавляющее большинство автоматических атак, которые ищут лёгкие цели.
Главное здесь: надёжная защита — это не одно средство, а несколько слоёв (люди, периметр, сеть, устройства, данные); даже базовое закрытие каждого слоя отсекает большинство атак.
Антивирус и защита конечных точек
Антивирус, базовый и обязательный слой защиты устройств. Современные решения давно переросли простое сканирование файлов: они отслеживают поведение программ, блокируют шифровальщиков, защищают от фишинговых ссылок и эксплойтов. Для бизнеса это называется защитой конечных точек (EPP/EDR), когда все компьютеры и серверы управляются из единой консоли.
Для российских компаний выбор антивируса теперь связан и с импортозамещением. Госкомпаниям, объектам критической инфраструктуры и многим коммерческим организациям нужен софт из реестра российского ПО. Здесь лидируют два игрока. Лаборатория Касперского работает почти 28 лет, защищает около 200 тысяч компаний и предлагает целую экосистему для бизнеса, от Endpoint Security до XDR и NGFW.
Второй сильный российский игрок, Dr.Web: компания работает с 1992 года, использует собственный антивирусный движок и держит десятки продуктов в реестре российского ПО. Отдельный плюс, бесплатная лечащая утилита CureIt!, которой можно проверить заражённый компьютер без установки полноценного антивируса.
Существуют и бесплатные зарубежные антивирусы вроде 360 Total Security, но для бизнеса к ним стоит относиться осторожно: это иностранное решение (Qihoo 360, Китай), и для госструктур или компаний с чувствительными данными его использование несёт регуляторные и репутационные риски. Для домашнего компьютера, вариант, для корпоративной защиты в РФ лучше выбрать российское решение из реестра.
Главное здесь: антивирус, обязательный слой защиты устройств; для бизнеса в РФ выбирайте российские решения из реестра ПО (Касперский, Dr.Web), а бесплатные зарубежные антивирусы оставьте для домашнего использования.
Защита от DDoS-атак
DDoS-атака — это когда сайт или сервис заваливают огромным числом запросов, пока он не перестанет отвечать настоящим клиентам. Для бизнеса это прямые потери: интернет-магазин не принимает заказы, банк недоступен, сервис простаивает. В 2025 году число таких атак выросло в 2,7 раза, и под удар всё чаще попадают не только крупные компании, но и средний бизнес.
Защита от DDoS работает на уровне сети: трафик пропускается через фильтрующую инфраструктуру провайдера, которая отсекает мусорные запросы и пропускает настоящих пользователей. Своими силами отбить серьёзную атаку почти невозможно, нужна специализированная сеть фильтрации с большой ёмкостью. На российском рынке выделяется DDoS-Guard: компания работает с 2011 года, держит под защитой более 882 тысяч проектов и за 2025 год отразила свыше 2,5 миллиона атак.
Глобальный лидер, Cloudflare с сетью в 330+ городах и огромной ёмкостью для поглощения атак, плюс бесплатный тариф для сайтов. Но после 2022 года для российских компаний с оплатой и поддержкой возникают сложности, поэтому многие выбирают отечественных провайдеров (DDoS-Guard, Qrator, StormWall). Подробное сравнение провайдеров DDoS-защиты, тема отдельной статьи кластера.
«DDoS перестал быть проблемой только крупных порталов. Сейчас за пару тысяч рублей можно заказать атаку на конкурента, поэтому под ударом и небольшие интернет-магазины. Отбиться своими силами на обычном хостинге нереально: канал просто захлёбывается. Нужна внешняя сеть фильтрации с запасом по ёмкости, измеряемой в терабитах. И подключать защиту надо заранее, а не когда сайт уже лежит, в разгар атаки переключение займёт драгоценное время».
— Павел Гречко, инженер по сетевой безопасности и защите от DDoS, Санкт-Петербург, опыт 12 лет.
Главное здесь: DDoS-атаки выросли в 2,7 раза и угрожают даже малому бизнесу; своими силами их не отбить, нужна внешняя сеть фильтрации (DDoS-Guard, Qrator, StormWall), и подключать её надо заранее.
Пароли и двухфакторная аутентификация
Слабые и повторно используемые пароли, причина огромной доли взломов. Если сотрудник использует один пароль на десятке сервисов, утечка на одном из них открывает доступ ко всем остальным. Поэтому два правила обязательны для бизнеса: уникальный сложный пароль на каждый сервис и двухфакторная аутентификация (2FA) везде, где она доступна.
Запомнить десятки сложных паролей человек не может, и это нормально, для этого существуют менеджеры паролей. Они хранят все пароли в зашифрованном хранилище, подставляют их автоматически и генерируют новые. Сотруднику нужно помнить только один мастер-пароль. Например, Kaspersky Password Manager шифрует хранилище по стандарту AES-256 и синхронизирует пароли между устройствами.
Двухфакторная аутентификация добавляет второй рубеж: даже если пароль украдут, без второго фактора (кода из приложения, push-уведомления или аппаратного ключа) злоумышленник не войдёт. Это самая дешёвая и при этом самая эффективная мера, которую часто игнорируют. Сгенерировать стойкий пароль для отдельного аккаунта можно прямо сейчас в нашем генераторе паролей, а для бизнеса лучше сразу внедрить менеджер паролей на всю команду.
Главное здесь: уникальный сложный пароль на каждый сервис плюс двухфакторная аутентификация, дешёвая и самая эффективная защита аккаунтов; запоминать пароли не нужно, для этого есть менеджеры паролей.
Фишинг и человеческий фактор
Можно купить лучшие системы защиты и всё равно быть взломанным через одного невнимательного сотрудника. Большинство успешных атак начинается с фишинга: поддельного письма, сообщения или звонка, который вынуждает человека перейти по ссылке, открыть вложение или назвать пароль. Технически система может быть неуязвима, но человек, всегда самое слабое звено.
Защита здесь, не столько технологии, сколько обучение и процессы. Сотрудники должны знать базовые правила: не открывать вложения от незнакомых отправителей, проверять адрес отправителя и домен ссылки, не вводить пароли по ссылкам из писем, перепроверять «срочные» просьбы руководства о переводе денег по другому каналу. Полезно периодически проводить учебные фишинговые рассылки, чтобы увидеть, кто попадётся, и подтянуть слабые места без реального ущерба.
Отдельная и растущая угроза, телефонное мошенничество и звонки от «службы безопасности банка». О том, как распознать и заблокировать мошеннические звонки и куда жаловаться, мы подробно разбирали в материале «Спам-звонки: как заблокировать и куда жаловаться». Те же принципы бдительности работают и в корпоративной среде.
Главное здесь: большинство атак начинается с фишинга и бьёт по человеку, а не по технике; защита здесь, обучение сотрудников и простые правила, а также учебные рассылки для проверки бдительности.
Резервные копии: последний рубеж
Когда все остальные слои пробиты, например, шифровальщик зашифровал файлы, спасают только резервные копии. Это последний и критически важный рубеж: с актуальным бэкапом атака шифровальщика превращается из катастрофы в неприятность, систему просто восстанавливают из копии, не платя выкуп.
Правильная стратегия резервного копирования описывается правилом «3-2-1»: три копии данных, на двух разных носителях, одна из которых хранится отдельно (офлайн или в другом месте). Ключевой момент, копия должна быть изолирована: если бэкап лежит на том же сервере или в той же сети, шифровальщик зашифрует и его. Поэтому хотя бы одна копия должна быть недоступна для записи из основной системы. И не менее важно регулярно проверять, что из копии действительно можно восстановиться, неработающий бэкап обнаруживают в самый неподходящий момент.
Главное здесь: резервные копии, последний рубеж против шифровальщиков; делайте их по правилу «3-2-1», держите хотя бы одну копию изолированной и регулярно проверяйте восстановление.
Сколько стоит кибербезопасность для бизнеса
Защита не обязана быть дорогой, особенно на старте. Бюджет зависит от размера компании, чувствительности данных и регуляторных требований. Ниже, ориентиры по сегментам.
| Сегмент | Что входит | Ориентир бюджета |
|---|---|---|
| Микробизнес и ИП | Антивирус, менеджер паролей, 2FA, бэкапы, базовое обучение | от нескольких тыс. ₽/мес |
| Малый бизнес с сайтом | То же + защита от DDoS, WAF, защищённый хостинг | от ~10-30 тыс. ₽/мес |
| Средний бизнес | EDR на все устройства, сетевая защита, аудит 152-ФЗ, регламенты | от десятков тыс. ₽/мес |
| Крупный бизнес / КИИ | SIEM/XDR, SOC, пентесты, штатные специалисты ИБ, комплаенс | от сотен тыс. ₽/мес |
Важно сравнивать эти суммы не с нулём, а с ценой инцидента. Один штраф за утечку — это миллионы рублей, выкуп шифровальщику, десятки миллионов, а простой бизнеса во время атаки бьёт по выручке напрямую. На этом фоне базовая защита за несколько тысяч рублей в месяц окупается одним предотвращённым инцидентом. Полный каталог решений для защиты бизнеса собран в разделе сервисов по кибербезопасности.
Главное здесь: базовая защита малого бизнеса стоит от нескольких тысяч рублей в месяц и окупается одним предотвращённым инцидентом, ведь штраф за утечку или выкуп шифровальщику измеряются миллионами.
5 ошибок бизнеса в кибербезопасности
Ошибка 1: «Поставили антивирус, значит, защищены»
Что не так: антивирус закрывает только один слой, устройства. Он не остановит DDoS, не защитит от фишинга, не сделает бэкап. Надежда на одно средство, иллюзия защиты.
Что делать: строить защиту слоями: люди, периметр, сеть, устройства, данные. Каждый слой закрыть хотя бы базово.
Ошибка 2: «Персональные данные — это не про нас»
Что не так: персональные данные обрабатывает любой бизнес с клиентами и сотрудниками. С 30 мая 2025 утечка грозит штрафом до 15-20 млн ₽, а повторная, оборотным 1-3% выручки.
Что делать: провести инвентаризацию данных, привести обработку в соответствие 152-ФЗ, настроить уведомление РКН об инцидентах в течение 24 часов.
Ошибка 3: «Бэкап есть, всё под контролем»
Что не так: если резервная копия лежит в той же сети, шифровальщик зашифрует и её. А непроверенный бэкап часто оказывается нерабочим в момент восстановления.
Что делать: правило «3-2-1», держать одну копию изолированной (офлайн), регулярно проверять восстановление из копии.
Ошибка 4: «Сотрудники сами разберутся»
Что не так: большинство атак начинается с фишинга и человеческого фактора. Без обучения сотрудник откроет вложение или введёт пароль на поддельной странице, и любая защита обнулится.
Что делать: обучать команду базовым правилам, проводить учебные фишинговые рассылки, внедрить менеджер паролей и 2FA.
Ошибка 5: «Защитимся, когда атакуют»
Что не так: подключать защиту от DDoS в разгар атаки, поздно: сайт уже лежит, переключение займёт время. Восстанавливать бэкап, которого нет, невозможно.
Что делать: выстраивать защиту заранее, до инцидента. Базовая гигиена и бэкапы, в первую очередь, ещё до того, как «прижмёт».
Чек-лист: с чего начать кибербезопасность
Вывод
Кибербезопасность для бизнеса в 2026 году — это уже не опция, а необходимость: атак стало на 42% больше, почти половина успешна, а оборотные штрафы за утечки персональных данных достигают 1-3% годовой выручки. Но защита не обязана быть сложной или дорогой. Главное, выстраивать её слоями: обучать людей против фишинга, защищать периметр от DDoS, держать на устройствах антивирус из реестра российского ПО (Касперский, Dr.Web), использовать менеджеры паролей и двухфакторную аутентификацию, шифровать данные и делать изолированные резервные копии по правилу «3-2-1». Малому бизнесу достаточно закрыть базовый слой за несколько тысяч рублей в месяц, и это уже отсекает большинство автоматических атак. Среднему и крупному, выстраивать полноценную систему с аудитом 152-ФЗ и специалистами по ИБ. И главное правило: защищаться нужно заранее, до инцидента, потому что один штраф или выкуп злоумышленникам окупает годы вложений в безопасность. В следующих материалах кластера разберём каждый слой подробно, от соответствия 152-ФЗ до выбора конкретного антивируса и защиты от DDoS.
Источники
📰 Статистика угроз 2025-2026
- CNews, 23.01.2026, почти половина кибератак на бизнес РФ в 2025 была успешной
- Positive Technologies, прогноз роста атак на 30-35% в 2026
- Ведомости, 18.02.2026, более 140 000 DDoS-атак на российские компании в 2025
⚖️ 152-ФЗ и штрафы за утечки
- КонсультантПлюс, новые штрафы за персональные данные с 30 мая 2025
- КонсультантПлюс, ФЗ № 420-ФЗ: ответственность за утечки ПДн
- Data-sec, таблица штрафов за персональные данные и оборотные санкции
🛡 Решения для защиты
- Kaspersky, защита для малого и среднего бизнеса
- Dr.Web, продукты для бизнеса
- DDoS-Guard, защита от DDoS-атак
