Иногда кажется, что серьёзный аудит ИТ и безопасности — это история только для больших компаний и банков. Но практика показывает: маленький бизнес страдает от киберинцидентов не реже, а последствия для него — куда больнее.
Летом 2025 года к нам обратилась компания, которая помогает клиентам с бухгалтерией и кадрами. Всё работало, казалось бы, отлично — пока руководитель не решил проверить, насколько «всё под контролем» на самом деле. Мы провели комплексный аудит ИТ и ИБ, а также внутренний пентест. И, как это часто бывает, нашли несколько уязвимостей, которые могли бы обойтись дорого.
Ранее мы уже рассказывали о проекте для большого банка, но этот кейс — про другое. Про осознанность. Про то, что аудит — это не про масштаб компании, а про зрелость подхода к рискам.
Что мы сделали на проекте:
Аудит ИТ и информационной безопасности: Мы посмотрели на всё, что влияет на стабильность и безопасность: • оборудование и инфраструктуру, • системный и прикладной софт, • ключевые сервисы, • внутренние процессы, • документацию.
Внутренний пентест: Проверили, насколько легко злоумышленник мог бы проникнуть в сеть: • протестировали уязвимости внутреннего периметра, • проверили безопасность учётных записей и рабочих станций, • оценили, можно ли получить доступ к конфиденциальным данным или повысить привилегии.
В итоге нашли 60 потенциальных проблем и рисков, из них 40 — критичных. Вот основные: • неэффективное использование ресурсов ЦОД (лишние расходы), • сбои в резервном копировании, • технические уязвимости, • устаревшие регламенты и документация.
На финальной встрече с руководством мы подробно разобрали результаты, расставили приоритеты и согласовали дорожную карту по улучшению защиты в 2026 году.