Как один аудит за 51 000 рублей сохранил компании 15 млн.

С 30 мая 2025 года штрафы за утечку персональных данных выросли до 15 млн рублей за первый случай и до 20 млн — за повторный. Для бизнеса это не теория, а очень конкретный риск: даже, казалось незначительная небрежность в отношении персональных данных может стоить некоторым бизнесам выручки за несколько месяцев.

Один из наших клиентов понял это вовремя — и заказал аудит информационной безопасности. Цель была простая: понять, где тонко, пока не порвалось.

Что мы сделали

За 15 дней мы провели полный аудит инфраструктуры, сайта и процессов обработки персональных данных. Проверяли не формально, а так, как это делают злоумышленники и регулятор одновременно — чтобы увидеть и технические, и юридические риски.

В рамках аудита мы оценили:

• инфраструктуру и сервер — настройки безопасности, актуальность версий ПО, корректность шифрования трафика;

• веб-приложение — устойчивость к атакам, защищённость административной зоны, корректность прав доступа и форм;

• соответствие требованиям 152-ФЗ — обработку персональных данных, наличие уведомлений и документации, передачу данных сторонним сервисам.

Результатом стал подробный отчёт с описанием уязвимостей, их критичности и планом устранения в порядке приоритетов.

Что скрывал сайт

Проверка выявила целую серию проблем, которые снаружи могли быть незаметны, но фактически оставляли сайт без защиты.

1. Сайт работал на устаревшей версии CMS и серверного ПО. Bitrix 17.5 и старый PHP больше не поддерживаются. Это значит, что десятки известных уязвимостей просто не закрываются. Любой бот, который сканирует сеть на такие версии, может взломать сайт за минуты. Кроме того, старое ПО конфликтует с современными модулями и снижает стабильность работы.

Потенциальный ущерб: при утечке данных — штраф до 15 млн руб., при повторном инциденте — до 20 млн руб. или 1–3% годовой выручки.

2. Админка без защиты. Вход на сайт находился по стандартному адресу, без двухфакторной авторизации и капчи. Проще говоря, если злоумышленник знает адрес сайта, он может просто подбирать пароль, пока не угадает. Без всяких «хакерских инструментов».

Риск — несанкционированный доступ к базе клиентов, заказам и внутренним данным.

3. Нет защиты пользовательских сессий. При определённых сценариях злоумышленник мог перехватить активную сессию и действовать от имени администратора. Это даёт полный доступ к данным — от контактов клиентов до истории заказов. 

Потенциальный штраф — до 15 млн руб. за первый случай утечки.

4. Сервер с видимым IP-адресом. IP можно было определить за секунды, а значит — запустить DDoS напрямую, минуя любую облачную защиту. 

Для интернет-магазинов и сервисных компаний это означает остановку продаж и потери оборота.

5. Лишние админ-доступы. В панели было 22 учётные записи, часть из них — давно неиспользуемые.

На практике именно такие «забытые» аккаунты чаще всего становятся точкой входа при взломах.

6. Отсутствие современных стандартов шифрования и защиты. Сайт использовал устаревшие протоколы TLS и не имел базовых заголовков безопасности.

Это увеличивает риск подмены контента и перехвата данных, особенно при работе через публичные сети.

7. Нарушения закона о персональных данных. И самая дорогая по нынешним временам уязвимость. На сайте стояли зарубежные аналитические трекеры, которые собирали данные пользователей без уведомления и передавали их за границу.

С 2025 года это уже не просто технический недочёт, а прямое нарушение 152-ФЗ со штрафом в миллионы рублей. Штраф за неправомерную передачу данных или несвоевременное уведомление Роскомнадзора — от 1 до 3 млн руб., а при повторных нарушениях — до 500 тыс. руб. по каждому эпизоду.

По итогам аудита подготовили и реализовали программу защиты. Мы приоритизировали уязвимости по уровню риска: сначала — юридические и финансово опасные, затем — технические и эксплуатационные.

В первую очередь устранили нарушения 152-ФЗ:

• удалили зарубежные трекеры, передававшие данные пользователей за границу;

• обновили и локализовали политику обработки персональных данных;

• внедрили систему журналирования и уведомлений на случай инцидента.

Это позволило исключить штрафы и претензии регулятора — то, что могло обернуться потерями в десятки миллионов рублей.

Затем мы занялись защитой:

• добавили двухфакторную авторизацию, капчу и фильтрацию по IP;

• изменили стандартные URL-пути и закрыли “скрытые” каталоги;

• удалили лишние учётные записи и ограничили права доступа.

Далее обновили CMS, PHP и Apache до поддерживаемых версий, настроили шифрование TLS 1.3 и ключевые HTTP-заголовки безопасности (HSTS, CSP, X-Frame-Options). Теперь данные передаются по защищённым каналам, а сайт устойчив к современным типам атак.

И наконец мы настроили безопасные логи, удалили диагностические файлы из открытого доступа и протестировали сайт на стабильность.

Все изменения вносились без остановки бизнеса.

Результат: через 30 рабочих дней сайт соответствовал требованиям 152-ФЗ, прошёл проверку безопасности и сохранил полную работоспособность без простоев.

Вместо заключения

Большинство компаний обновляют сайт ради дизайна или SEO. Но с 2025 года работы над безопасностью ресурса — это вопрос выживания. И если аудит за 51 000 руб. может показать, где находится слабое место сайта — это не расход, а самое выгодное вложение года.