Мы 14 лет проверяем IT малого бизнеса. В 9 из 10 компаний находим одно и то же

Четырнадцатый год подряд слышим одно и то же.

От директора, у которого пароли от 1С — в заметках телефона.

От владелицы салона, чья клиентская база живёт в Excel на рабочем столе.

От предпринимателя с оборотом в 30 миллионов, который уверен: кибератаки — это где-то там, про Газпром, не про него.Раньше так думать было просто рискованно. В 2026 году — разорительно.

Потому что за последний год случились три вещи, после которых фраза «у нас всё нормально» стоит от трёх миллионов рублей.

До мая 2025 года ситуация со штрафами за утечки была анекдотом.
Яндекс Еда допустила утечку 6,8 миллионов записей — адреса, телефоны, суммы заказов, маршруты курьеров. Всё утекло в открытый доступ. Штраф — 60 тысяч рублей. Не миллионов. Тысяч.

С 30 мая 2025 года действует Федеральный закон № 420-ФЗ. И реальность изменилась:Утекло от 1 000 записей клиентов — штраф от 3 до 5 млн ₽От 10 000 записей — от 5 до 10 млн ₽Биометрические данные — 15–20 млн ₽Повторная утечка — до 3% годовой выручки, минимум 20 млн ₽Не уведомил Роскомнадзор в течение 24 часов — ещё от 1 до 3 млн сверху

Вот что важно понять: эти штрафы одинаковы для всех. У вас пять сотрудников или пять тысяч — закону всё равно.

А тысяча записей — это практически любой бизнес, у которого есть клиенты.

Одна CRM-база. Один Excel с контактами. Один менеджер, который увольняется и уносит всё на флешке.

Да, есть оговорка: 420-ФЗ позволяет снизить штраф компаниям, которые вложили в информационную безопасность не менее 0,1% от выручки за три предшествующих года.

Но, судя по тому, что мы видим у клиентов, — девять из десяти малых компаний не вложили ни рубля.И ещё одна цифра, которая говорит о масштабе проблемы.

Каждый бизнес, который обрабатывает персональные данные на компьютере — а это любой бизнес с CRM, сайтом или хотя бы Excel-таблицей клиентов — обязан подать уведомление в Роскомнадзор и встать в реестр операторов ПДн.

Штраф за неуведомление с мая 2025 года — до 300 тысяч рублей.На начало 2026 года в реестре операторов — около 950 тысяч организаций.

Всего субъектов МСП в России — 6,8 миллиона. Даже если предположить, что все зарегистрированные — это малый бизнес (а это не так: туда входят и корпорации, и госструктуры), — зарегистрировалось менее 14%.

Остальные 86% либо не знают об этом требовании, либо надеются, что пронесёт.Впрочем, штрафы — это только первая проблема.

1 марта 2026 года. Вступило в силу Постановление Правительства № 1667 — «Правила централизованного управления сетью связи общего пользования». В прессе его тут же назвали «суверенным интернетом».

Суть: Роскомнадзор совместно с ФСБ и Минцифры теперь может при выявлении угроз перевести российский сегмент интернета в режим централизованного управления. Операторы обязаны выполнять команды по блокировке ресурсов и фильтрации трафика. Правила действуют до 2032 года.

Переведём на язык бизнеса: если ваша компания работает через Google Workspace, Zoom, Dropbox, Slack — всё это может быть отключено одним решением.

Не в теории — инструменты утверждены.

«Ну и что, перейдём на отечественное», — логичная мысль.

Давайте посмотрим, как «отечественное» работало в последние два года:

— МТС Облако, март 2024 — сбой затронул три дата-центра. Часть клиентов потеряла доступ к данным на шесть дней

— Яндекс Облако, март 2025 — отказ на 11,5 часов. Плюс ещё два крупных сбоя в ноябре и декабре 2025

— Битрикс24 — серьёзные сбои в июле, сентябре и декабре 2025

— Рег.ру — масштабный сбой в декабре 2024

— Зона .RU (DNSSEC), январь 2024 — проблемы с доступом ко всему Рунету

Ни зарубежное — могут отключить. Ни отечественное — падает само.И тут возникает вопрос, который мы задаём каждому руководителю: кто контролирует ваши данные, когда всё это происходит?

Большинство не знают ответа. Некоторые задумываются впервые.

Этот удар тише двух предыдущих. Но бьёт больнее.

Налоговая давно перестала проверять только бумаги. Сегодня ФНС сопоставляет компании по цифровым следам — и ваш компьютер ей в этом помогает.

Работает это так.

У каждого устройства — ноутбука, роутера, даже телефона — есть уникальный MAC-адрес. Это как отпечаток пальца, только для техники.

А у каждого выхода в интернет — IP-адрес. Налоговая запрашивает у банков данные из систем «Банк-Клиент»: с какого устройства и с какого IP-адреса отправлялась отчётность каждой компании (ст. 93.1 НК РФ, Приказ ФНС ММВ-7-2/679@).

Если две разные компании сдают отчётность с одного компьютера или через одну сеть — система «АСК НДС-4» видит совпадение мгновенно.

Дальше — дело техники. Один IP-адрес, одна бухгалтерия, общие сотрудники, похожие контрагенты — и налоговая квалифицирует это как дробление бизнеса. Федеральный закон 176-ФЗ от 2024 года впервые закрепил это понятие в законе. Последствия: все ваши ООО и ИП объединяют в одного налогоплательщика, пересчитывают налоги по общей системе и доначисляют за три года.

По данным ФНС, 72% доначислений в 2025 году связаны именно с дроблением.

Если совпал IP — налоговая использует это как один из аргументов.

Если совпал MAC-адрес — судебная практика однозначна: не в пользу налогоплательщика. MAC привязан к конкретному устройству. Совпал — значит, отчётность шла с одного компьютера. Значит, компании подконтрольны. Точка.

А с 2026 года, после снижения НДС-порогов по 425-ФЗ с 60 до 10 миллионов рублей, в зону такого контроля попал практически весь малый бизнес. Цифровой след вашей компании стал полностью прозрачен для инспекции.

И вот тут замыкается цепочка. Доначисления → компания не может заплатить → банкротство → субсидиарная ответственность на руководителе лично. Не на ООО — на человеке. Его квартира, его счета, его машина (ст. 61.11–61.12 ФЗ-127). В 2025 году суммы субсидиарки превысили 500 млрд рублей.

Ваш Wi-Fi-роутер, ваш рабочий компьютер, ваш IP-адрес — это не техническая деталь. Это цифровой след.

За 14 лет мы выявили десятки типовых уязвимостей. Но одна стоит дороже всех остальных вместе взятых.

«Бухгалтер разберётся. Сисадмин разберётся. Они же должны за этим следить.» Должны. В теории.

На практике бухгалтер закрывает квартал, готовит отчётность и физически не успевает изучать 420-ФЗ. Штатный сисадмин — если он вообще есть — настраивает принтеры и переустанавливает Windows, а не выстраивает систему кибербезопасности. Приходящий айтишник появляется раз в месяц и знает о вашей инфраструктуре меньше, чем курьер, который приходит каждый день. Это всё равно что поручить автомеханику спроектировать мост. Он разбирается в технике — но не в этой.

Законы меняются каждый квартал.

Атаки усложняются каждый месяц.

Схемы мошенничества обновляются быстрее антивирусных баз.

Ни у бухгалтера, ни у сисадмина нет на это ни ресурсов, ни компетенций. И это не вопрос профессионализма — они хороши в своём деле. Просто информационная безопасность в 2026 году — это отдельная область, в которой нужна другая экспертиза. А руководитель об этом узнаёт обычно в один конкретный день. Когда уже прилетело.

Это не абстрактная статистика. Это конкретный клиент — средний бизнес, несколько десятков сотрудников.

Его атакуют каждый день.

Он об этом даже не думает — система отрабатывает автоматически.

Но если бы защиты не было хотя бы сутки — последствия были бы необратимыми.

Один фишинг.

Один шифровальщик.

Один уволившийся сотрудник с доступом ко всей базе.Малый бизнес атакуют не потому, что он интересен. А потому, что он не защищён. Данные есть — защиты нет. Для злоумышленника это открытая дверь.

Расскажем одну историю — потому что она типичная.

Один руководитель обратился с конкретным запросом — подключить шифрованную видеоконференцсвязь.

Вёл переговоры с контрагентами и не хотел, чтобы их прослушивали.

Подключили.

А заодно провели базовый аудит — просто посмотрели, как устроена IT-инфраструктура компании.

Стандартный набор: сервер без резервирования.

Бэкапы трёхмесячной давности.

Доступ к CRM через общий пароль.

Рабочие данные на личных устройствах сотрудников.

Он был уверен — у него всё нормально.

Девять из десяти, помните?

После аудита перевёл всю компанию к нам. Не потому, что мы продали страх. А потому, что увидел конкретные дыры, о которых не подозревал.

Так приходят почти все. За одним — находят другое.

Пять вопросов. Ответьте честно.

① Где физически хранятся данные вашей компании?

Если «на компьютере в офисе» или «не знаю» — это первая уязвимость.

② Когда делался последний бэкап?

Если больше недели назад или «не помню» — при атаке шифровальщика потеряете всё.

③ Кто имеет доступ к клиентской базе?

Если «все менеджеры» и нет логов — утечка может происходить прямо сейчас.

④ Что будет, если ключевой сотрудник уволится завтра?

Если унесёт с собой переписки, пароли и контакты — системы у вас нет.

⑤ Готовы ли вы к проверке ФНС или Роскомнадзора?

Если не можете ответить за 30 секунд — не готовы.

Это пять базовых вопросов. Если хотя бы на два нет чёткого ответа — ваш бизнес в зоне риска.

Более подробный лист самопроверки — с разбором по отраслям, конкретными рекомендациями и чек-листом соответствия новым законам — мы дарим на экскурсии по Безопасному Офису.

Универсальных решений не бывает. У стоматологии — одни требования к хранению данных. У логистической компании — другие. У IT-агентства — третьи.

За 14 лет мы подключили больше 6 000 рабочих мест в десятках отраслей. Каждый раз конфигурация собирается под конкретный бизнес — его данные, его риски, его законодательные требования.

На экскурсии видно, как это работает изнутри.

Не на слайдах и не в маркетинговой презентации — вживую.

Как средний бизнес защищает себя на уровне крупных игроков рынка.

Какие инструменты реально работают.

Что стоит внедрить в первую очередь, а на что можно не тратить деньги.

30 минут — и вы увидите изнутри IT-инфраструктуру, которая работает 5+ лет без единого простоя.

Проводим онлайн — через нашу шифрованную видеоконференцсвязь. Ту самую, с которой часто начинается знакомство.

Что будет на экскурсии:

— Живая демонстрация реальной системы — без слайдов и продающих презентаций

— Ответы на любые вопросы по безопасности вашего бизнеса

— Подробный чек-лист самопроверки в подарок — с рекомендациями под вашу отрасль

Бесплатно. Без обязательств.

Записаться на экскурсию

14 лет. 6 000+ рабочих мест.

Свидетельство о регистрации ПО № 2025685798.

Аккредитованная IT-компания.

Участник Московского инновационного кластера.

Профессиональная ответственность застрахована.

Вопросы — в комментариях. Ответим.