Бизнес под защитой

«Загрузили документ в нейросети — все, вы его отдали». Почему кибербезопасность бизнеса начинается с сотрудников

Ольга Пасияк
Больше года в проекте «Бизнес под защитой» мы рассказывали о нюансах работы с персональными данными в различных компаниях. Нашими героями были представители ретейла, сферы недвижимости, лизинга, банков и даже аэропорта. В новой серии проекта при поддержке онлайн-сервиса «Битрикс24» мы решили сделать акцент на кибербезопасности для бизнеса из разных сфер. Статистика настораживает: Беларусь входит в топ-3 стран СНГ по числу угроз в интернете, а каждая третья утечка данных в последнее время связана с действиями персонала. И в первом материале вместе с Belkanton Group, которая в том числе управляет розничной сетью «Офистон Маркет», разбираем тонкости защиты бизнеса от фишинга, изучаем, как эту сферу поменял ИИ и почему в кибербезопасности не стоит верить на слово подрядчикам.
«Загрузили документ в нейросети — все, вы его отдали». Почему кибербезопасность бизнеса начинается с сотрудников

«Человек — самое слабое звено в безопасности компании»

Дмитрий Пасечный
Дмитрий Пасечный,
специалист по информационной безопасности, DPO компании «Смартон»

— Социальная инженерия, фишинг — самый популярный способ атаки у злоумышленников. На них приходится, по разным оценкам, от 50 до 70% атак, — объясняет Дмитрий Пасечный, специалист по информационной безопасности компании «Смартон» — юрлица группы компаний Belkanton Group. — Происходит это по двум причинам. Во-первых, это проще всего: не надо искать уязвимости, перебирать пароли. А во-вторых, человек — самое слабое звено в безопасности компании, особенно если его не обучать. И многие бизнесы, к сожалению, забывают об этом. Недостаточно технических мер защиты — нужно еще людей учить, показывать им, какие есть новые способы атак и тактики — злоумышленники ведь постоянно что-то придумывают.

Дмитрий вспоминает историю из своего опыта. Пятница, вечер, конец рабочего дня, звонок на внутренний телефон. Оказалось, это сотрудница регионального офиса. Специалист не успел ей ответить, но решил задержаться и перезвонить. А в это время на его почту падает письмо от этой же коллеги, мол, пришло такое-то сообщение с фишингом.

— Проверил ссылку — действительно фишинг. Готовлю стандартный ответ с советами, как действовать: по ссылке не переходите, ничего не делайте и не вводите. Но сотрудница опять перезванивает и говорит: «Знаете, я уже перешла и все данные ввела, а потом поняла, что что-то сделала не то...» Молодец, что не побоялась сразу позвонить. В итоге начали разбираться, что и как сделала. Айтишники компании тут же поменяли ей логины и пароли, проверили, не было ли попыток входа в систему по ее паролям — к счастью, прошло еще слишком мало времени.

Наш собеседник отмечает, что вредоносные вложения могут быть зашифрованы. Уже стали классикой истории, когда приходит закрытый паролем архив, и тут же либо в теле письма, либо в имени файла этот пароль прописан. Причем обычно это что-то простое вроде 1234. И важный момент, чтобы на определенные файлы в компании стоял запрет на запуск или скачивание, пользователь был ограничен в правах, то есть применяется принцип минимальных привилегий и ограниченного доступа, когда сотрудники не могут сами устанавливать ПО и запускать его из недоверенной среды.

Когда на компанию идет массовая рассылка, всегда нужно предупреждать об этом сотрудников, показывать примеры. Больше всего мошенники не дают покоя в напряженные для бизнеса периоды, например перед Новым годом. И этому есть объяснение: злоумышленники понимают, что даже обученного человека можно подловить в момент, когда у него запарка на работе и он перегружен задачами, а тут еще свои заботы перед праздниками. На внимательность также влияют даже такие банальные вещи, как неработающий кондиционер в кабинете или много людей — просто перегружается мозг, отключается аналитическое мышление и не срабатывают защитные механизмы.

Кстати, адреса с именем и фамилией сотрудников — это дополнительная защита от фишинга, так как их сложнее подобрать. Наиболее уязвимы адреса со стандартными именами пользователя, например info, contact и тому подобными.

Living of the land и другие популярные техники злоумышленников

«Загрузили документ в нейросети — все, вы его отдали». Почему кибербезопасность бизнеса начинается с сотрудников

Дмитрий Пасечный обращает внимание на две опасные техники, которые все чаще используют злоумышленники. Первая из них называется living of the land.

— Например, вам прислали файл с расширением *.lnk или *.url и обычный безобидный JPG, то есть картинку. Вы его откроете — там и будет картинка, но в ней еще окажется кусок вредоносного кода. Почему living of the land? Обращаются за пределы инфраструктуры, на вредоносный сервер злоумышленников, где лежит файлик. Он оттуда подгружается, и начинает выполняться вредоносное ПО. Проблема тут в чем? Мы имеем дело с ПО, у которого нет тела вируса — оно сразу загружается и обрабатывается в оперативной памяти компьютера. В такой ситуации антивирусу просто не с чем работать. Ему легко анализировать файл, который уже лежит записанный на диске, а тут lnk особо не проанализируешь. Во-первых, он зашифрован, его сначала надо расшифровать, а во-вторых, просто идет команда загрузки, на первый взгляд ничего опасного.

Специалист советует обязательно проверять почтовые антивирусы, чтобы стоял запрет на запуск подобного рода файлов.

Вторая набирающая популярность техника — ClickFix. Ее смысл в том, что сейчас много сайтов, прежде чем пустить к себе, проверяют пользователя, мол, докажите, что вы не робот. Что придумали злоумышленники? Либо создают специальный вредоносный сайт, либо взламывают чей-то действующий. Пользователь попадает на поддельный сайт и видит сообщение, будто во время проверки что-то пошло не так и нужно выполнить несколько действий. Сначала нажать командные клавиши win + R, которые запускают программы, вторым действием просят нажать Ctrl + V, то есть «вставить» — у вас автоматом виртуальная клавиатура закидывает вредоносную команду в буфер обмена, — а затем Enter.

Есть вариант и CrashFix, когда в браузере эмитируется «синий экран смерти» Windows. И та же история: запустите, вставьте, нажмите Enter.

Почему не все документы можно загружать в DeepSeek

«Загрузили документ в нейросети — все, вы его отдали». Почему кибербезопасность бизнеса начинается с сотрудников

Сферу кибербезопасности заметно изменил искусственный интеллект. Со стороны защиты постоянно добавляются какие-то новые способы, например тестирование на проникновение. Но и фишинг стал более подготовленным, качественным и правдоподобным, в том числе из-за применения злоумышленниками искусственного интеллекта, подчеркивает Дмитрий Пасечный. Мошенники всегда впереди, а средства защиты догоняют.

— Раньше всегда было четко видно: если письмо написано коряво, некачественные перевод с кальками с английского — не заметить это было сложно. Сейчас же активно применяют ИИ-платформы для перевода текста, в итоге письма выглядят все более правдоподобно. Хотя исследования показывают, что сложность фишингового шаблона не сильно влияет на его кликабельность. Важнее посыл письма, психология. Самые эффективные сценарии — это жажда халявы, например выгодные цены, скидки и страх потери доступа к аккаунту.

Кроме того, ИИ постепенно проникает в работу компаний, и это тоже один из рисков, которые нужно учитывать и просчитывать. Языковые модели настолько сложно устроены, что очень маленькое количество людей понимает, как это работает, уточняет специалист. И если данные туда попали, их уже никак не извлечь.

Сегодня бизнес все активнее внедряет AI-инструменты в ежедневную работу. В 2026 году автоматизация уже не требует навыков программирования: маркетологи, бухгалтеры, юристы и руководители могут собирать рабочие сценарии с помощью искусственного интеллекта буквально за считаные минуты.

Но вместе с удобством появляются и новые риски. Когда сотрудники начинают использовать внешние AI-сервисы без единых правил и контроля, компании все чаще сталкиваются с угрозами утечки данных и теневого использования ИИ. Поэтому бизнесу важно не только внедрять новые технологии, но и выстраивать безопасную среду для работы с ними.

Именно на это сегодня делают акцент современные корпоративные платформы. Например, в новом релизе Битрикс24 Вайбкод появились Проекты AI, Чекин 2.0, Открытый Синк и AI-агенты.

«Загрузили документ в нейросети — все, вы его отдали». Почему кибербезопасность бизнеса начинается с сотрудников

Мультифункциональная платформа «Битрикс24» дает сотрудникам удобную и безопасную среду для работы с AI: помогает хранить рабочие данные внутри корпоративного контура, централизовать коммуникации и снижать риски, связанные с использованием сторонних сервисов и мессенджеров.

— Конфиденциальный документ загрузили, чтобы нейросеть помогла, — все, вы его отдали. Новая область — новые риски, — говорит эксперт. — Есть такое понятие — Shadow AI, или теневой ИИ, когда такие инструменты применяются в работе «втихую», то есть IТ-отдел не знает, какие данные и как именно отправляются во внешние ИИ-сервисы. И мы тоже наблюдаем это явление, когда работники стали все больше ими пользоваться. Когда нет своих одобренных инструментов, а людям хочется попробовать автоматизировать свою работу, они используют все, что найдут: бесплатный DeepSeeк или Perplexity, различные чат-боты. Но не всегда понимают, что туда можно загружать, а что нельзя. В итоге отчет о каком-то совещании, где принимали стратегические решения компании, без задней мысли вместе с фамилиями участников загружают в чат и просят составить краткое описание. Но в каждом случае нужно оценивать киберриски, даже гипотетическую возможность, что эту информацию кто-то прочитает. Поэтому мы сейчас как раз на этапе оценивания этой ситуации и разработки политик и регламентов работы с ИИ. Люди пользуются этими инструментами, и им нужно устанавливать определенные рамки, что можно загружать, а что никак нельзя.

Почему рискованно использовать ИИ, о котором не знает ваша служба безопасности

  • Утечки конфиденциальных данных: коммерческая тайна, клиентские базы, исходники могут оказаться у внешнего провайдера и потенциально использоваться для дообучения моделей.

  • Рост поверхности атак: ИИ-расширения браузера, непроверенные боты и API могут содержать уязвимости или использоваться злоумышленниками.

  • Ошибочные решения: сотрудники опираются на непроверенный ИИ-вывод без внутреннего контроля качества и аудита.

Чек-лист: семь правил по управлению Shadow AI в компании

«Загрузили документ в нейросети — все, вы его отдали». Почему кибербезопасность бизнеса начинается с сотрудников

1) Сделайте утвержденный список ИИ-сервисов и моделей, которые можно использовать в работе, и отдельно список запрещенных. Если сервис не прошел проверку безопасников, юристов и IТ, он не должен использоваться для рабочих задач.

2) Запретите ввод чувствительных данных. Речь идет о коммерческой тайне, персданных, клиентских сведениях, исходном коде, внутренних документах и паролях.

3) Встройте ИИ в корпоративный контур: по возможности сотрудники должны входить в ИИ-сервисы через корпоративный SSO, а не через личные аккаунты. Хорошая практика — предоставлять безопасную внутреннюю альтернативу: корпоративный чат-бот, RAG-платформу, sandbox или on-premise LLM, чтобы «официальный путь» был проще теневого.

4) Настройте контроль и видимость, чтобы отслеживать использование ИИ по сети, устройствам и браузерным расширениям, а также вести журналы запросов и действий там, где это допустимо.

5) Доступ к ИИ должен зависеть от роли сотрудника, типа задачи и уровня данных с принципом наименьших привилегий. Например, маркетинг может пользоваться одними сервисами, разработка — другими, а доступ к работе с кодом и внутренними базами должен требовать отдельного одобрения.

6) Обучайте сотрудников на реальных примерах: политика не работает, если люди не понимают, что именно запрещено и почему.

7) Проводите проверку и реагирование.

Все ли бизнесы интересны для кибератак

«Загрузили документ в нейросети — все, вы его отдали». Почему кибербезопасность бизнеса начинается с сотрудников

— Нет абсолютно ни одной компании даже среди малого и среднего бизнеса, которая была бы злоумышленникам совсем неинтересна, — подчеркивает Дмитрий. — Иногда люди рассуждают: а кому мы нужны, у нас маленький сайт, баз нет, которые можно продать. Нужны все, потому что, даже если у вас маленькая база клиентов, ее можно объединить с большой и продать, как говорится, пакетом.

Часто их интересует просто взломанный сайт. Там можно разместить какой-то свой командный центр для вредоносного ПО, не вызывая подозрений у систем защиты. Или разместить фишинговую страницу на вашем взломанном сайте, где-то там, внутри, вложенную, вы даже знать не будете о ее существовании.

Мессенджеры, особенно популярный у нас Telegram, — это отличный инструмент для злоумышленников, чтобы передавать с вашего компьютера информацию или управлять вредоносным ПО.

Наш собеседник вспоминает еще одну любопытную попытку атаки на компанию из серии Fake boss. Создается поддельный аккаунт руководителя, потом секретный чат. Писать он начинает со стандартными вопросами, которые есть у любой организации, например проходила какая-то проверка.

— У нас была попытка обсудить инвентаризацию, мол, была недавно, есть вопросы. По логике инвентаризация проходит в компаниях ежегодно — какого-то оборудования, активов. И понятно, что она когда-то у кого-то была. И потом началось, что вам напишет сотрудник правоохранительных органов, предоставьте ему всю информацию, я даю свое добро как руководитель. Кто начинал высказывать какие-то сомнения и спорить, ему отвечали в духе «что вы себе позволяете». Слава богу, никто не повелся, только немного взбудоражили руководителя, потому что ответственные люди начали к нему обращаться, мол, это вы пишете или нет. Очень быстро разобрались, подготовили информационную рассылку.

Дмитрий Пасечный еще раз подчеркивает, что обучение сотрудников должно быть регулярным. Как показывает практика, провел обучение — и сразу становится больше поток обращений работников с какими-то темами, они уже настороже, начинают делиться, сообщать. Важно также активно поддерживать обратную связь, отвечать, анализировать, подсказывать. В тех почтовых ящиках, которые «смотрят в мир», например info@, contact@, всегда можно найти реальные примеры актуальных фишинговых писем.

«Инфраструктура подрядчика — продолжение вашей инфраструктуры»

«Загрузили документ в нейросети — все, вы его отдали». Почему кибербезопасность бизнеса начинается с сотрудников

Специалист по информационной безопасности отмечает, что мер предосторожности в офисе может быть недостаточно. Отдельная категория — те, кто работает удаленно, потому что этот канал связи тоже нужно защищать. В идеале — не подключаться к инфраструктуре компании с личных устройств.

Отдельная боль — IT-подрядчики. Компании не любят об этом говорить, но многие серьезные инциденты происходят именно из-за взлома подрядчика. Ты можешь круто защищаться, иметь отличных специалистов в штате, аттестовать свою систему защиты — но подключают подрядчика, у которого на словах все хорошо, а на деле совсем по-другому.

— Инфраструктура подрядчика — это продолжение вашей инфраструктуры, и относиться к ней нужно так же. Не верить на слово, а прийти и проверить. Если компания заинтересована в сотрудничестве, она разрешит это сделать. Тут важно не идти на поводу, применять всевозможные способы ограничения, минимальный доступ, словом, все контролировать.

Фото: Envato Elements, Pexels

Партнерский материал