Как один аудит за 51 000 рублей сохранил компании 15 млн

С 30 мая 2025 года штрафы за утечку индивидуальных данных выросли до 15 млн рублей за 1-ый вариант и до 20 млн – за повторный. Для бизнеса это не теория, а весьма определенный риск: даже, чудилось, незначимая небрежность в отношении индивидуальных данных может стоить неким бизнесам выручки за несколько месяцев.

Один из наших клиентов сообразил это впору – и заказал аудит информационной сохранности. Цель была обычная: осознать, где тонко, пока не порвалось.

Что мы сделали

За 15 дней мы провели полный аудит инфраструктуры, веб-сайта и действий обработки индивидуальных данных. Инспектировали не формально, а так, как это делают злоумышленники и регулятор сразу – чтоб узреть и технические, и юридические опасности.

В рамках аудита мы оценили:

  • инфраструктуру и сервер – опции сохранности, актуальность версий ПО (то есть программное обеспечение — комплект программ для компьютеров и вычислительных устройств), правильность шифрования трафика;

  • веб-приложение – устойчивость к атакам, защищенность административной зоны, правильность прав доступа и форм;

  • соответствие требованиям 152-ФЗ – обработку индивидуальных данных, наличие извещений и документации, передачу данных посторонним сервисам.

Результатом стал подробный отчет с описанием уязвимостей, их критичности и планом устранения в порядке ценностей.

Что скрывал веб-сайт

Проверка выявила целую серию заморочек, которые снаружи были бы неприметны, но практически оставляли веб-сайт без защиты.

  1. Веб-сайт работал на устаревшей версии CMS и серверного ПО (то есть программное обеспечение — комплект программ для компьютеров и вычислительных устройств). Bitrix 17.5 и старенькый PHP больше не поддерживаются. Это означает, что 10-ки узнаваемых уязвимостей просто не запираются. Хоть какой бот, который сканирует сеть на такие версии, может взломать веб-сайт за минутки. Не считая того, старенькое ПО (то есть программное обеспечение — комплект программ для компьютеров и вычислительных устройств) конфликтует с современными модулями и понижает стабильность работы.

Возможный вред: при утечке данных – штраф до 15 млн руб., при повторном инциденте – до 20 млн руб. либо 1–3% годичный выручки.

  1. Админка без защиты. Вход на веб-сайт находился по обычному адресу, без двухфакторной авторизации и капчи. Проще говоря, если злодей понимает адресок веб-сайта, он может просто подбирать пароль, пока не угадает. Без всяких «хакерских инструментов».

Риск – несанкционированный доступ к базе клиентов, заказам и внутренним данным.

  1. Нет защиты пользовательских сессий. При определенных сценариях злодей мог перехватить активную сессию и действовать от имени админа. Это дает полный доступ к данным – от контактов клиентов до истории заказов.

Возможный штраф – до 15 млн руб. за 1-ый вариант утечки.

  1. Сервер с видимым IP-адресом. IP можно было найти за секунды, а означает – запустить DDoS впрямую, минуя всякую пасмурную защиту.

Для интернет-магазинов и сервисных компаний это значит остановку продаж и утраты оборота.

  1. Излишние админ-доступы. В панели было 22 учетные записи, часть из их – издавна неиспользуемые.

На практике конкретно такие «позабытые» аккаунты почаще всего стают точкой входа при взломах.

  1. Отсутствие современных эталонов шифрования и защиты. Веб-сайт употреблял устаревшие протоколы TLS и не имел базисных заголовков сохранности.

Это наращивает риск замены контента и перехвата данных, в особенности при работе через общественные сети.

  1. Нарушения закона о индивидуальных данных. И самая финансово накладная по сегодняшним временам уязвимость. На веб-сайте стояли забугорные аналитические трекеры, которые собирали данные юзеров без извещения и передавали их за границу.

С 2025 года это уже не попросту технический недостаток, а прямое нарушение 152-ФЗ со штрафом в миллионы рублей. Штраф за неправомерную передачу данных либо несвоевременное извещение Роскомнадзора – от 1 до 3 млн руб., а при повторных нарушениях – до 500 тыс. руб. по любому эпизоду.

По итогам аудита подготовили и реализовали программку защиты. Мы приоритизировали уязвимости по уровню риска: поначалу – юридические и финансово небезопасные, потом – технические и эксплуатационные.

Сначала убрали нарушения 152-ФЗ:

  • удалили забугорные трекеры, передававшие данные юзеров за границу;

  • обновили и локализовали политику обработки индивидуальных данных;

  • ввели систему журналирования и извещений на вариант инцидента.

Это позволило исключить штрафы и претензии регулятора – то, что могло обернуться потерями в 10-ки миллионов рублей.

Потом мы занялись защитой:

  • добавили двухфакторную авторизацию, капчу и фильтрацию по IP;

  • изменили обычные URL-пути и закрыли «сокрытые» сборники;

  • удалили излишние учетные записи и ограничили права доступа.

Дальше обновили CMS, PHP и Apache до поддерживаемых версий, настроили шифрование TLS 1.3 и главные HTTP-заголовки сохранности (HSTS, CSP, X-Frame-Options). Сейчас данные передаются по защищенным каналам, а веб-сайт устойчив к современным типам атак.

И в конце концов мы настроили неопасные логи, удалили диагностические файлы из открытого доступа и протестировали веб-сайт на стабильность.

Все конфигурации вносились без остановки бизнеса.

Итог: через 30 рабочих дней веб-сайт соответствовал требованиям 152-ФЗ, прошел проверку сохранности и сохранил полную работоспособность без простоев.

Заместо заключения

Большая часть компаний обновляют веб-сайт ради дизайна либо SEO. Но с 2025 года работы над сохранностью ресурса – это вопросец выживания. И если аудит за 51 000 руб. может показать, где находится слабенькое пространство веб-сайта – это не расход, а самое прибыльное вложение года.

Оригинал статьи на SEOnews

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *