Чек-лист по информационной безопасности перед Новым годом: «1С-Битрикс» о ИБ в новогодние праздники

Пока мы отмечаем Новый год, тысячи людей продолжают работать, обеспечивая наши безопасность и комфорт: водители, энергетики, полицейские, врачи, пожарные и многие другие. Однако вместе с этим и хакеры продолжают «трудиться» в своих целях. Они знают, что в праздники реакция замедлена, а ущерб от атак максимален. 

Четыре из пяти атак, связанных с программами-вымогателями, начинаются вечером в пятницу или в период длинных выходных. Пока сотрудники не используют корпоративные системы и не могут быстро среагировать на инцидент, зловреды шифруют данные компании. Размер выкупа варьируется от сотен тысяч до десятков миллионов рублей. Также выходные дни — отличное время для незаметного расширения присутствия злоумышленника в сети, внесения изменений в критичные файлы, выгрузки конфиденциальных данных на внешние источники. Это приводит к деградации или остановке бизнес-процессов, финансовым и репутационным потерям, штрафам за утечку персональных данных. Не думайте, что ваш бизнес не интересен хакерам. Количество атак на малые и средние организации растет каждый год, при этом более 80% таких компаний уже сталкивались с кибер-инцидентами.

Рекомендуется до длинных выходных провести совещание с ИТ-экспертом, который сопровождает вашу инфраструктуру, и с ИБ-специалистом, если он есть у вас в компании. Оцените возможные риски атаки на вас и решите, за какими важными ИТ-сервисами требуется следить и в выходные.

Инструкция по мерам кибербезопасности перед длинными выходными

Обеспечьте быстрые коммуникации на случай инцидента

• Назначьте ответственного. Сделайте резервный чат на случай необходимости реагирования на инцидент, включите в него ЛПРов, ИТ/ИБ специалиста, безопасника, юриста, финансиста. 
• Свяжитесь с ИТ сервис-провайдерами, уточните у них режим работы в выходные, контакты по которым можно обращаться в случае инцидента. Это также полезно, если вы используете сторонний центр мониторинга информационной безопасности. 

Например, недавно был зафиксирован сбой в работе Cloudflare, через сеть которого проходит до 20% глобального веб-трафика.  В результате доступ к сайтам, которые используют Cloudflare, был ограничен более чем на 2,5 часа. Сбой затронул ряд популярных сервисов, в том числе Google, YouTube, ChatGPT, Bet365, League of Legends и Sage.  Хотя провайдер заявляет, что проблема была вызвана внутренним сбоем, а не стала последствием кибератаки, эксперты связывают подобные инциденты с  сильной зависимостью от других компаний. Олигополия на рынке провайдеров приводит к формированию эффекта «цепочки зависимости»: в результате качество и непрерывность работы сервисов, в частности, в финансовом и e-commerce секторах, оказываются под угрозой из-за сбоев единственного поставщика.

Оцените актуальность текущих мер защиты

• Проверьте, установлены ли актуальные обновления всего используемого ПО, которое работает в сети (не локально) и обновления сигнатур средств защиты. Особое внимание уделите антивирусному софту. Компрометация необновленного устаревшего ПО  — любимая тактика злоумышленников. Согласно опросу TechTarget 2025 года, 32% кибератак используют уязвимости программного обеспечения, для которых не установлены исправления.
• Сделайте резервные копии важных данных и системных компонентов (БД, конфигурации), проверьте их безопасное хранение, не позволяющее зловреду зашифровать еще и копии. В идеале у каждого резервируемого объекта должна быть одна-две копии в отдельных сетевых сегментах с  минимальным набором привилегий, и обязательно одна копия, которая хранится без сетевой связанности с основным продуктивным сегментом.
• Проверьте, что у вас реализовано сегментирование сети, публичные серверы расположены в отдельной зоне, внутренние важные серверы в другой, пользовательские рабочие места — в третьей. Доступ ко всем компонентам строго ограничен на сетевом уровне. 
• Проведите сканирование внешних IP вашей компании на предмет поиска критичных уязвимостей. Для этого есть бесплатные сервисы, например, ZAP, Nikto, OpenVAS, Nessus, Nmap. 
• Если у вас высоконагруженная система с большим количеством онлайн-покупателей, проверьте работу anti-DDoS сервиса, если еще не пользуетесь, то подключите.

Сейчас отмечается активное применение нового шифровальщика Kraken. От него уже пострадали компании из разных стран. Хакеры используют методы двойного вымогательства: оставляют на атакованной системе записку «readme_you_ws_hacked.txt» и угрожают пострадавшим публикацией данных на сайте утечек.  Kraken — «умный» зловред. Хакеры атакуют компании любых отраслей, потому что их система перед шифрованием оценивает мощность атакуемой системы и в зависимости от этого выбирает наиболее подходящий режим работы. В результате шифровальщик не перегружает систему и не вызывает подозрений у безопасников, пока не становится слишком поздно.

Защитите доступ во все IT-системы компании

• Обеспечьте удаленную работу ключевых сотрудников через зашифрованные каналы связи со строгой идентификацией, многофакторной аутентификацией и с контролем сессий подключения. Убедитесь в стабильности работы VPN.
• Проверьте, что во всех сервисах используются настройки, требующие использования сложных паролей (не менее 8 символов, заглавные и строчные буквы, цифры, специальные знаки).
• Если не используете двухфакторную аутентификацию, включите ее хотя бы на праздники. Обычно настройка занимает несколько минут. 

По статистике Verizon, в 2025 году при 88% атак на базовые веб-приложения использовались украденные учетные данные для входа в систему.

• Удалите неиспользуемые учетные записи, в частности, уволенных работников.
• Убедитесь, что доступ к инструментам административных прикладных и системных компонентов ограничен сложным паролем, двухфакторной аутентификацией. По возможности разрешите доступ только для конкретного списка IP-адресов.
• Сбросьте все авторизации удаленного доступа (RDP, VPN, web), разлогиньтесь на «доверенных устройствах».
• Отключите учетные записи сервис-провайдеров, если не планируется их работа в выходные дни. Если вы сами – сервис-провайдер, то там, где это применимо, попросите клиентов временно ограничить сетевой доступ в их инфраструктуру.

Во время Дня памяти в 2023 году группа вымогателей Clop эксплуатировала уязвимость в файловом менеджере MOVEit. Разработчик решения, компания Progress, выпустил патч, но из-за праздников многие организации не успели ее установить до того, как произошла масштабная утечка данных. Когда атака была завершена, у группы Clop, оказались  143 ГБ конфиденциальных данных ирландских телекоммуникационных компаний.

Усильте мониторинг безопасности

• Настройте автоматизированные уведомления о нетипичных входах или назначьте специалиста, который проверит журналы доступа основных прикладных бизнес-систем (например, CRM, админка портала) на предмет подозрительных входов (например, из-за рубежа или в нетипичное время).

• Не забудьте про физическую безопасность, проверьте работу и наличие записей и логов систем контроля доступа, видеонаблюдения, противопожарных и сигнализационных систем; проведите коммуникации со службой охраны вашего офисного здания на предмет организации пропускного режима в выходные дни и на предмет реагирования на инциденты. Если отмечаете новый год в офисе, также спланируйте контроль аспектов безопасности при проведении мероприятия и главное по его завершении. 

И в завершение, самый простой совет: если вы совсем не работаете в выходные, выключите серверы и компьютеры — пусть они тоже «отдохнут». Или хотя бы отключите компоненты, которые точно не понадобятся в праздники, это могут быть рабочие станции сотрудников, какие-то файловые серверы или интеграционные решения, системы, обеспечивающие работу периферийного оборудования и сами МФУ — принтеры, сканеры.

Подготовка к новогодним праздникам — это приятные хлопоты и отличный повод провести ИТ-ревизию, усилить кибербезопасность компании. Конечно, перечисленные меры полезно соблюдать и в рабочие будни. Это база стабильной и безопасной работы бизнеса в любое время года. Сделайте из этих рекомендаций постоянные практики и процессы. Оценка рисков, обновления, регулярные бэкапы, ролевая модель доступа должны стать привычкой, как включение утром и выключение вечером света в офисе.