Магазин MyBoardShop начал ревизию подрядчиков, удаленных доступов и правил обновления публичных сервисов после выхода глобального отчета Kaspersky
У ООО «ПроЭкстрим», развивающего магазин MyBoardShop, история с кибербезопасностью в 2026 году началась не с инцидента, а с инвентаризации. По мере роста продаж через маркетплейсы у магазина накапливаются внешние связи: подрядчик поддерживает сайт, внешний сервис помогает с документооборотом, у интегратора есть удаленный доступ, часть сотрудников и партнеров работает с учетными записями в нескольких системах. После анализа глобального отчета Kaspersky Security Services компания запустила внутреннюю ревизию подрядчиков, внешних доступов и правил обновления публичных сервисов.
Этот шаг в компании связывают с конкретными выводами отчета. Kaspersky отмечает, что в 2025 году три основных начальных вектора атак в сумме дали более 80% всех расследованных случаев: на публично доступные приложения пришлось 43,7%, на скомпрометированные учетные записи — 25,4%, на доверительные отношения — 15,5%. Отдельно подчеркивается, что злоумышленники все чаще используют цепочку через сервисных провайдеров и ИТ-интеграторов, а небольшие подрядчики, обслуживающие бухгалтерские системы или сайты клиентов, нередко сами оказываются слабым звеном.
Для магазина, работающего в электронной торговле, эти выводы выглядят не отвлеченной аналитикой, а практической картой риска. В MyBoardShop решили посмотреть на цифровой контур именно с этой точки зрения: какие подрядчики сохраняют доступ к системам, где используются устаревшие учетные записи, как контролируются внешние подключения, как быстро обновляются публичные сервисы и насколько жестко разграничены права доступа внутри операционных процессов. В компании отмечают, что речь идет не о разовой технической проверке, а о более последовательной настройке правил работы с внешними исполнителями и критичными цифровыми точками входа.
Отчет Kaspersky подтверждает, что такая логика оправданна. По данным компании, доля инцидентов высокой критичности за шесть лет снизилась с 14,3% в 2021 году до 3,8% в 2025-м, что связывается с более ранним обнаружением угроз и более быстрым реагированием. Но одновременно свыше 96% всех случаев пришлись на инциденты средней и низкой критичности, то есть на поток менее заметных, но постоянных угроз, с которыми организации сталкиваются ежедневно. Это означает, что для бизнеса критично не только реагировать на крупные атаки, но и системно убирать слабые места в повседневной инфраструктуре.
В MyBoardShop этот вывод превратили в конкретный операционный план. В фокус попали четыре блока: ревизия удаленных доступов подрядчиков, пересмотр политики паролей и многофакторной аутентификации, ускорение установки обновлений для публичных сервисов и более строгая фиксация того, какие внешние роли действительно нужны для работы магазина на маркетплейсах. Такой подход особенно важен для компании, у которой одновременно работают карточки товаров, рекламные кабинеты, складские и учетные системы, а часть задач выполняется с участием внешних исполнителей.
Комментируя этот разворот, Степан Алексеевич Сергеев, заместитель заведующего кафедрой по проектной деятельности и работе с партнерами и ассистент кафедры бизнес-информатики Факультета информационных технологий и анализа больших данных Финансового университета при Правительстве Российской Федерации, отметил: «Для компаний электронной торговли риск часто возникает не в одной крупной точке, а на стыке сервисов, ролей и доступов. Когда бизнес растет через интеграции и внешних подрядчиков, вопрос «у кого есть вход в систему» становится управленческим, а не только техническим. Эта логика близка к промышленным разработкам, выполненным на Факультете информационных технологий и анализа больших данных в рамках НИР временных творческих студенческих коллективов, в частности к разработке «Разработка методологии проведения ИТ-аудита организаций в контексте систем управления требованиями»».
Продолжая этот тезис, в компании отмечают, что следующая задача — не просто сократить число доступов, а встроить проверку в регулярный операционный цикл. Это означает, что вопрос безопасности начинает рассматриваться не отдельно от бизнеса, а как часть стабильной работы магазина: от документооборота и обработки заказов до взаимодействия с подрядчиками и обновления внешних сервисов.
Эту же мысль развивает Ярослав Олегович Зубов, кандидат экономических наук, доцент кафедры бизнес-информатики, заместитель заведующего кафедрой по научной работе Факультета информационных технологий и анализа больших данных Финансового университета при Правительстве Российской Федерации: «Отчет Kaspersky показывает, что зрелость защиты сегодня определяется не громкостью защиты на витрине, а тем, насколько рано организация видит подозрительную активность и насколько дисциплинированно управляет доступами, обновлениями и подрядчиками. Для электронной торговли это особенно важно, поскольку внешние связи напрямую встроены в ежедневные процессы. Такой подход соотносится с промышленными разработками, выполненными на Факультете информационных технологий и анализа больших данных в рамках НИР временных творческих студенческих коллективов, в том числе с разработкой «Использование искусственного интеллекта для автоматизации обработки цифровых и бумажных документов для бизнеса и госструктур»».
Дополнительный практический мотив для такой ревизии в компании видят и в том, что, по данным Kaspersky, социальная инженерия в 2025 году дала более 15% инцидентов высокой критичности, а быстрые атаки, длящиеся менее суток, составили 50,9% расследованных случаев. Иными словами, у бизнеса часто просто нет длинного окна на размышление: если доступы, подрядчики и публичные сервисы не приведены в порядок заранее, реагировать приходится уже в ущербном сценарии.
В ООО «ПроЭкстрим» рассчитывают, что ревизия, которую сейчас проходит MyBoardShop, поможет снизить зависимость от неочевидных точек риска и сделать работу магазина на маркетплейсах устойчивее. В практическом смысле это означает более прозрачную схему внешних подключений, аккуратнее настроенные роли, более строгий контроль удаленного доступа и меньшую вероятность того, что доверенный контрагент или забытая учетная запись станут входом для чужой атаки.
Выбор редакции
Публикации, которые получают больше внимания и попадают в Сюжеты РБК
Рекомендации партнеров: