По данным аналитических агентств, в 2025 году совокупный ущерб мировой экономики от киберпреступности впервые превысил отметку в $10 трлн — эта цифра превосходит ВВП большинства стран мира. Самая тревожная статистика заключается в том, что 92% всех инцидентов так или иначе основаны на человеческом факторе, для этого используются фишинговые атаки и методы социальной инженерии в расчете на потерю бдительности сотрудниками компаний.
За последние два года число целевых атак на компании увеличилось на 37%. При этом вектор интереса злоумышленников кардинально сместился: если раньше хакеры преимущественно охотились за базами персональных данных, то сегодня эпицентром их атак становятся финансовые подразделения.
Почему это происходит? Парализовав работу финансовых подразделений, особенно бухгалтерии, злоумышленники получают возможность полностью остановить операционные процессы. Это приводит к простою бизнеса на несколько дней и наносит материальный ущерб: прямой (кража денег) или косвенный (остановка работы).
Бухгалтер как ключ к счетам компании
Современная атака выглядит просто: злоумышленник находит информацию о компании и ее работниках в соцсетях, изучает деятельность компании и отправляет грамотно составленное письмо, например, от директора сотруднику или от ключевого клиента. Один клик по приложению в письме — и доступ к рабочему месту сотрудника открыт.
Почему именно бухгалтерия
Здесь аккумулируются данные о всех финансовых транзакциях.
Бухгалтер имеет доступ к системе «Клиент-Банк».
Сбои в работе бухгалтерии парализуют работу всей компании: невозможно выплатить зарплату, рассчитаться с поставщиками или сдать налоговую отчетность.
Далее злоумышленник либо подделывает счета с целью отправить перевод в подконтрольные ему компании, либо шифрует все на рабочих местах сотрудников и требует выкуп за восстановление доступа.
Основные угрозы
Перейдем к двум конкретным сценариям, с которыми сталкиваются финансовые подразделения в 80% инцидентов. Это не абстрактные риски, а реальные кейсы, зафиксированные в последние годы.
Шифровальщик (Ransomware) — блокировка работы
Этот тип атак бьет по самому больному — доступности к вашей информации. Вы теряете контроль над документами, отчетами и базами, например, 1С. Компания превращается в «застывшую» организацию, которая не может сделать ни одного движения, так как ничего не работает.
Как это выглядит в реальности: Вы включаете компьютер утром, а вместо папок с отчетностью — иероглифы имен файлов с расширениями .locked или .crypted. На рабочем столе — текстовый файл с инструкцией по выкупу.
Статистика:
48% компаний соглашаются платить злоумышленникам.
Однако только 60% из заплативших действительно получают рабочие ключи расшифровки.
Средний простой бизнеса после такой атаки — от 3 до 14 дней.
Прямые потери могут превышать сумму выкупа в 5–10 раз.
Реальный кейс: В 2024 году эксперты Positive Technologies зафиксировали необычную схему группировки Hive0117. Злоумышленники отправляли фишинговое письмо не бухгалтеру напрямую, а другому сотруднику компании, маскируя его под ответ на ранее отправленное сообщение. В тексте намекали на срочность («идет налоговая проверка») и просили переслать информацию в финансовый отдел. Бухгалтер, получив письмо от коллеги, которому доверял, не проверил его на признаки фишинга и открыл вредоносный архив. Эта тактика срабатывает потому, что письма от внутренних адресатов не вызывают подозрений, — доля успешных атак в рамках такой схемы значительно выше средней.
Подмена платежа (Man-in-the-Middle)
Если шифровальщик — это удар по процессам, то подмена платежа — это прямые потери денег.
Как это выглядит в реальности: Вы работаете штатно, отправляете платежку постоянному поставщику. Деньги списываются со счета. Через три дня поставщик звонит с вопросом: «Где деньги?». Вы открываете выписку и видите перевод на неизвестную «ООО Ромашка». В банке говорят: «Подпись верна, отзыв невозможен».
Механика атаки — злоумышленники заранее (за 2–4 недели до кражи) внедряют программу-шпиона на компьютер бухгалтера, наблюдают за перепиской, графиком оплат и реквизитами. Наступает «час Х» (обычно он в конце рабочего дня или перед праздниками), когда они подменяют реквизиты в самой учетной программе (вы видите старые данные, а в банк уходят чужие). И даже если это будет замечено почти сразу, то оперативно будет не так просто отменить, потому что банки уже не работают.
Бухгалтеру также трудно заметить подмену в момент отправки, потому что даже визуально на экране могут отображаться корректные данные.
Статистика:
Возвращается не более 15% украденных таким способом средств.
Средний чек одной такой кражи в сегменте среднего бизнеса — от 2,5 млн руб.
В 70% случаев атака происходит после длительного наблюдения (минимум 2 недели).
Реальный кейс: В 2026 году «Лаборатория Касперского» зафиксировала резкий всплеск атак на бухгалтерию через системы электронного документооборота (ЭДО) и деловую переписку. За первые пять месяцев этого года — уже 13 тысяч инцидентов, больше, чем за весь 2025 год. Под ударом предприятия малого и среднего бизнеса: производство, консалтинг, строительство, недвижимость, образование и здравоохранение. Злоумышленники рассылают вредоносные вложения под видом счетов, актов, договоров или накладных. После заражения хакеры получают доступ к переписке, документам и системе ДБО, подменяют реквизиты и инициируют мошеннические платежи. Нередко зараженная компания пересылает вредоносное сообщение контрагентам, запуская цепную реакцию.
Простые и недорогие правила, которые помогут уменьшить киберриски
1. Строгий контроль доступа. Используйте разграничение доступа, не нужно совершать операции или работу под правами администратора. Предоставляйте сотрудникам только минимально необходимые права доступа на рабочих местах.
2. Многофакторная аутентификация. Используйте многофакторную аутентификацию для всех учетных записей, связанных с бухгалтерией и банковскими системами.
3. Независимая проверка всех критичных транзакций. Любые изменения реквизитов контрагентов и крупные платежи должны подтверждаться по независимому каналу связи (например, звонком по заранее известному номеру) и проходить двойное согласование.
4. Безопасная удаленная работа. Если бухгалтер или руководство работают не только в офисе, используйте виртуальные комнаты данных (VDR). Например, российский сервис «Афина» или для других стран TazaDeal. Эти платформы дают доступ к документам на строго ограниченный срок, исключают копирование и слив данных, а также фиксируют каждый шаг пользователя.
5. Регулярное обучение сотрудников кибергигиене.
Главный вывод: человеческий фактор — главный рубеж защиты.
Но сами по себе эти правила остаются лишь текстом, пока не превратятся в рефлексы. Атак становится все больше, суммы растут, и главная защита — это устойчивые привычки к кибербезопасности. В конечном счете безопасность берет начало не с дорогого софта, а с первого действия сотрудника за компьютером — с секундной паузы, которая отделяет осмысленное решение от автоматического клика.

Начать дискуссию