Иногда кажется, что серьёзный аудит ИТ и безопасности — это история только для больших компаний и банков. Но практика показывает: маленький бизнес страдает от киберинцидентов не реже, а последствия для него — куда больнее.
Летом 2025 года к нам обратилась компания, которая помогает клиентам с бухгалтерией и кадрами. Всё работало, казалось бы, отлично — пока руководитель не решил проверить, насколько «всё под контролем» на самом деле. Мы провели комплексный аудит ИТ и ИБ, а также внутренний пентест. И, как это часто бывает, нашли несколько уязвимостей, которые могли бы обойтись дорого.
Ранее мы уже рассказывали о проекте для большого банка, но этот кейс — про другое. Про осознанность. Про то, что аудит — это не про масштаб компании, а про зрелость подхода к рискам.
Что мы сделали на проекте:
Аудит ИТ и информационной безопасности:
Мы посмотрели на всё, что влияет на стабильность и безопасность:
• оборудование и инфраструктуру,
• системный и прикладной софт,
• ключевые сервисы,
• внутренние процессы,
• документацию.
Внутренний пентест:
Проверили, насколько легко злоумышленник мог бы проникнуть в сеть:
• протестировали уязвимости внутреннего периметра,
• проверили безопасность учётных записей и рабочих станций,
• оценили, можно ли получить доступ к конфиденциальным данным или повысить привилегии.
В итоге нашли 60 потенциальных проблем и рисков, из них 40 — критичных.
Вот основные:
• неэффективное использование ресурсов ЦОД (лишние расходы),
• сбои в резервном копировании,
• технические уязвимости,
• устаревшие регламенты и документация.
На финальной встрече с руководством мы подробно разобрали результаты, расставили приоритеты и согласовали дорожную карту по улучшению защиты в 2026 году.
Летом 2025 года к нам обратилась компания, которая помогает клиентам с бухгалтерией и кадрами. Всё работало, казалось бы, отлично — пока руководитель не решил проверить, насколько «всё под контролем» на самом деле. Мы провели комплексный аудит ИТ и ИБ, а также внутренний пентест. И, как это часто бывает, нашли несколько уязвимостей, которые могли бы обойтись дорого.
Ранее мы уже рассказывали о проекте для большого банка, но этот кейс — про другое. Про осознанность. Про то, что аудит — это не про масштаб компании, а про зрелость подхода к рискам.
Что мы сделали на проекте:
Аудит ИТ и информационной безопасности:
Мы посмотрели на всё, что влияет на стабильность и безопасность:
• оборудование и инфраструктуру,
• системный и прикладной софт,
• ключевые сервисы,
• внутренние процессы,
• документацию.
Внутренний пентест:
Проверили, насколько легко злоумышленник мог бы проникнуть в сеть:
• протестировали уязвимости внутреннего периметра,
• проверили безопасность учётных записей и рабочих станций,
• оценили, можно ли получить доступ к конфиденциальным данным или повысить привилегии.
В итоге нашли 60 потенциальных проблем и рисков, из них 40 — критичных.
Вот основные:
• неэффективное использование ресурсов ЦОД (лишние расходы),
• сбои в резервном копировании,
• технические уязвимости,
• устаревшие регламенты и документация.
На финальной встрече с руководством мы подробно разобрали результаты, расставили приоритеты и согласовали дорожную карту по улучшению защиты в 2026 году.
